Archiv der Kategorie: ICT

Content-Filter für SSL Seiten auf Sophos UTM einrichten

18 Antworten

In diesem Beitrag habe ich beschrieben, dass wir neu auch https Verkehr scannen.

Um die https Filterung zu aktivieren, entfernt man unter “Web Protection” –> “Web Filtering” –> Registerkarte “HTTPS” das Häklein bei “Do not proxy HTTPS traffic in Transparent Mode” und wählt “Decrypt and scan”.

image

Damit wird nun der SSL Verkehr aufgebrochen und gescannt. Nun kann kann die SafeSearch Einstellungen der einzelnen Suchdienste erzwingen, indem man unter “Web Protection” –> “Web Filtering” –> Registerkarte “Policies” –> “Additional Options” die entsprechenden Häklein auswählt.

image

Damit wäre nun das Ziel erreicht. Eine entsprechende Bildersuche auf Google läuft nun dank SafeSearch ins Leere.

image

Wie in diesem Dokument beschrieben, reklamieren die Browser, dass das verwendete Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde.

image

Das Zertifikat findet sich unter “Web Protection” –> “Filtering Options” –> Registerkarte “HTTPS CAs” –> “Download”.

image

Das Zertifikat ohne privaten Schlüssel (.cer) kann nun über eine Gruppenrichtlinie auf alle Computer verteilt werden. Dazu importiert man das Zertifikat unter “Computerkonfiguration” –> “Richtlinien” –> “Windows-Einstellungen” –> “Sicherheitseinstellungen” –> “Richtlinien für öffentliche Schlüssel” –> “Vertrauenswürdige Stammzertifizierungsstellen”.

image

image

Danach funktioniert der Aufruf von https Seiten ohne Warnhinweis, da dem Zertifikat vertraut wird. Wenn man aber auf das Schloss in der Adresszeile klickt, sieht man, dass der Herausgeber des Zertifikats durch “Schule Altstaetten Proxy CA” ersetzt wurde.

image

Für die internen Computer ist also alles wie gewünscht umgesetzt. Ein Problem bleibt aber. Die privaten Geräte von Lehrpersonen und Schüler/-innen müssen das Zertifikat manuell auch installieren, wenn die Fehlermeldung nicht mehr kommen soll.

Sophos hat dafür die Domain fw-notify.net registriert, auf der aber nichts veröffentlicht ist. Die Sophos UTM besitzt aber diesen DNS Eintrag, der auf die UTM selber zeigt. Das Zertifikat ist so unter http://passthrough.fw-notify.net/cacert.pem erreichbar.

Da diese Seite nicht einfach zu merken ist, habe ich sie auf unserer Homepage verlinkt. Ausserdem habe ich den Hotspot so angepasst, dass man nach erfolgreicher Eingabe des Tagespassworts direkt auf diese Seite weitergeleitet wird.

image

Damit ist auch sichergestellt, dass alle, die unser WLAN benutzen, darauf hingewiesen wurden, dass SSL aufgebrochen wird.

Nachtrag
Das Zertifikat, das unter http://passthrough.fw-notify.net/cacert.pem erreichbar ist, kann unter Android nicht installiert werden. Daher muss für Android das Zertifikat anders abgespeichert werden. Dazu kann man das importierte Zertifikat unter Windows exportieren.

image

image

Das Zertifikat für Android muss man dann noch von .cer auf .crt umbenennen. So musste ich also zwei Zertifikate veröffentlichen, eines für Windows und iOS und ein anderes für Android.

Eine Anleitung für die verschiedenen Geräte findet sich hier.

Nachtrag 2
Der AppStore auf iPads funktioniert nach der Umstellung nicht mehr richtig. Ich habe unter “Filtering Options” –> “Exceptions” eine Ausnahme für “URL Filter” und “SSL scanning” für die Seiten von Apple und mzstatic (gehört zu Apple) erstellt. Danach funktioniert auch der AppStore wieder.

image

Content-Filter für SSL Seiten

2 Antworten

Wir haben unseren Internetzugang von Swisscoms “Schulen ans Internet” Angebot auf einen lokalen Kabelnetzbetreiber gewechselt.

Damit sind wir auch selber zuständig für das vom Kanton verlangte “Web Content Screening”. Auch wenn einige Gründe gegen ein Aufbrechen des SSL Verkehrs sprechen (vgl. z.B. Blogbeitrag von Beat Döbeli), machen wir das nun auch.

MITMAweiss

  • Da der Kanton dies vorgibt, ist der Spielraum sehr klein. Wenn Schüler/-innen z.B. bei der Bildersuche von Google z.B. nach pornografischen Begriffen suchen, kommen sie definitiv auf Bilder, die zu den unerwünschten Inhalten gehören, die gemeint sind.
  • Auf den Computern in der Schule müssen nur Seiten aufgerufen werden, die einen schulischen Bezug haben. Wer den Personen, die Zugang zur Firewall haben, nicht traut, sollte private https Seiten nicht mehr in der Schule aufrufen.
  • Viele Seiten sind immer noch unverschlüsselt, dort kann jeder, der unterwegs Zugang zu dem Datenverkehr hat, mitlesen.
  • Die Daten liegen dem Serverbetreiber unverschlüsselt vor. Bei einer Google-Suche wertet Google alle gesuchten Daten aus und versucht ein Profil des Benutzers zu erstellen.
  • Wenn bei einem Mailprovider ein Spamfilter auf dem Server aktiviert ist, muss dieser auch alle Mails durchsuchen, um sie als Spam zu klassifizieren.

Trotz all dieser Gründe ist und bleibt es ein Eingriff in die Privatsphäre der Benutzer. Daher erscheint mir sehr wichtig, dass die Benutzer auf diesen Umstand hingewiesen werden. Wir haben daher auf unserer Homepage ein Dokument veröffentlicht, das auch technisch nicht so versierten Benutzern erklären soll, was denn da genau passiert.

Nachtrag
Hier ist beschrieben, wie man das mit einer Sophos UTM umsetzen kann.

Netzwerk testen mit iperf

Kommentar verfassen

Es gibt verschiedene Tools um den Netzwerkdurchsatz zu testen. Eine Zusammenstellung einiger Tools findet man z.B. hier.  Ich habe mich mal für das open-source Programm iperf entschlossen. Version 3 ist noch nicht verfügbar für Windows, daher verwende ich die Version 2, die man hier herunterladen kann.

Ein Computer muss als Server gestartet werden, der andere als Client. Der Server wird durch “iperf.exe –s” gestartet.

image

Mit “iperf –help” bekommt man die ganzen Parameter angezeigt, die man verändern könnte, wenn man z.B. den Server nicht mit den Standardwerten (TCP Port 5001, window size 64kb) starten möchte. 

image

Um den Client mit den Standardwerten zu starten, kann man “iperf –c “ip-adresse des Servers”” starten und bekommt dann die Bandbreite angezeigt.

image

Um nun z.B. Schwankungen auf den Grund zu gehen, könnte man ein Intervall (-i) während längerer Zeit (-t) testen. Also z.B. “iperf –c 10.11.1.100 –i 1 –t 60”. In der letzten Zeile wird dann der Schnitt angezeigt.

image

Man kann auch parallele Zugriffe simulieren, indem man den Parameter “-P” verwendet. Auch hier wird wieder in der letzten Zeile die Zusammenfassung angezeigt.

image

Mit iperf können auch udp Zugriffe getestet werden. Dazu muss der Server mit –s –u gestartet werden.

image

Auf der Clientseite muss der Parameter –u auch angegeben werden. Standardmässig wird die Bandbreite auf 1Mbit/s begrenzt, daher habe ich auch noch den Parameter –b 1000m angegeben.

image

Die Ausgabe im Bild oben bedeutet nun, dass 178 MBytes mit 149Mbit/sec verschickt wurden. Der Jitter beträgt 0.914ms und es gingen 0 Pakete verloren (0/126865).

Office 365: ProPlus Benefit Self Sign-Up

Kommentar verfassen

Der Bezug vom kostenlosen Office Paket von Microsoft für Schüler/-innen und Angestellte von Schulen funktioniert neu über Self Sign-Up. Nachdem man als Administrator die Domänen gemeldet hat, können die Schüler/-innen einfach auf die Seite www.office.com/getoffice365 und dort ihre Mailaddresse eingeben und auf „Erste Schritte“ klicken.

Weiterlesen

Office 365: Ausführbare Anhänge blockieren

Kommentar verfassen

Das ist nun schon das zweite Mal, dass uns Malware per Mail erreicht.

Auch dieses Mal befindet sich die Malware in einem Zip-Archiv. Die Absenderadresse ist gefälscht und kann aber durchaus eine sein, die man kennt. Scheinbar kommen Absender und Empfänger aus einem infizierten Adressbuch, so dass die Chance gross ist, dass der Empfänger den Absender kennt und für vertrauenswürdig hält.

image

Wenn man das angehängte “Report.zip” (oder ähnlich) herunterlädt, handelt es sich um eine ausführbare “exe” Datei, die aber durch ein falsches Symbol (z.B. PDF) vertrauenswürdig erscheinen möchte.

image

Bei beiden Malen war es so, dass der Virenscanner die Datei noch nicht als Virus oder Trojaner erkennt. Auch bei diesem Mal wird die Datei auf www.virustotal.com nur von 3 aus total 57 Scannern als Malware erkannt wird.

image

Erfahrungen vom letzten Mal haben gezeigt, dass die gleiche Datei am nächsten Tag von allen 57 Scannern erkannt wird. Aber in dieser Zeit kann ein Befall stattfinden. Wir setzen Endpoint Protection von Microsoft ein. Um zu erreichen, dass der Scanner noch schneller angepasst wird, kann man ein “sample” an Microsoft schicken. Dazu verpackt man die Datei in ein mit dem Passwort “infected” geschütztes Archiv.

image

Dieses kann man über diese Seite an Microsoft zur Überprüfung senden, damit der Virenscanner möglichst schnell angepasst wird.

image

Eine Möglichkeit ist es, die Anwender per Mail zu informieren. Zum einen weiss ich aber, dass meine Mails oft nicht oder nicht richtig gelesen werden Zwinkerndes Smiley und zum anderen haben wir auch noch Schüler/-innen, die nach einer solchen Mitteilung vielleicht erst recht die Datei ausführen.

Es gibt aber nicht viele Gründe, wieso ausführbare Dateien überhaupt per Mail geschickt werden müssten. Besser ist es also, wenn man diese schon blockiert, bevor sie beim Benutzer ankommen.

Dazu wählt man im “Exchange Admin Center” –> “Nachrichtenfluss” –> “Regeln”.

image

Durch einen Klick auf das Plus kann man eine neue Regel erstellen.

image

Nun wählt man zuerst “weitere Optionen…”

image

Der Regel muss man einen Namen geben und dann wählt man “Mindestens eine Anlage hat ausführbaren Inhalt” und “Die Nachricht ohne Benachrichtigung anderer Benutzer löschen”. Man könnte die Nachricht auch an den Absender zurückschicken mit einer Meldung, dass wir keine angehängten ausführbaren Dateien akzeptieren. Aber bei gefälschten Absenderadressen ist das eher kontraproduktiv (am Schluss meint man noch wir seien die Virenversender).

image

Gemäss diversen Internetressourcen dauert es eine gewisse Zeit, bis die neue Regel aktiviert ist. Danach sollte man die Regel unbedingt mit einem Testdokument von einer externen Adresse überprüfen.

Hier findet sich ein entsprechender Blogbeitrag auf MSDN und hier auf dem Technet. Falls es zu Problemen kommt, findet man hier einen Beitrag, der allenfalls eine Lösung bietet.

Nachtrag

Schon kurze Zeit später werden Mails mit ausführbaren Anhängen korrekt gelöscht. Es wurde sogar erkannt, dass ein umbenanntes Worddokument keine ausführbare Datei ist. Ich musste eine richtige exe nehmen um zu testen…

image

zurück zur Übersicht

Office 365: Änderungen an ProPlus Benefit

Kommentar verfassen

Bisher musste man den Lehrpersonen und Schüler/-innen die Lizenz für den ProPlus Benefit freischalten, damit sie auf privaten Geräten Office gratis installieren konnten.

Neu bietet Microsoft einen “Self Sign-Up Prozess” an. Somit muss die Schule das Ganze nicht mehr verwalten, sondern nur noch die entsprechenden Domänen melden. Den Rest übernimmt Microsoft. Nach erfolgreicher Validierung können Schüler/-innen das Officepaket unter www.office.com/getoffice365 und Lehrpersonen unter www.office.com/teachers beziehen.

Wenn man wie wir den ProPlus Benefit bereits angeboten hat, muss man ein paar Änderungen vornehmen, wenn man auf die automatisierte Lösung wechseln möchte. Man kann aber auch bei der alten Version bleiben.

image

Mit dem folgenden Befehl kann man überprüfen, ob der Office 365 Tenant korrekt eingerichtet ist.

Get-MsolCompanyInformation | fl allow*

image

Wie oben beschrieben, muss man nun also noch den Befehl verwenden, damit sich die Schüler/-innen und Mitarbeiter selbständig anmelden können.

Set-MsolCompanySettings -AllowEmailVerifiedUsers $true

Danach stimmt alles.

image

zurück zur Übersicht

Office 365: Intranet mit Sharepoint

Kommentar verfassen

Zusammen mit Office 365 bekommt man ja neben einem Exchange- und Lyncserver auch einen Sharepointserver für die eigene Organisation in der Cloud. Sharepoint bietet sehr viele Möglichkeiten (man kann das nur schon am entsprechend langen Wikipedia Artikel ablesen). Vielleicht versuche ich später einmal, noch mehr von Sharepoint zu nutzen. Im Moment ging es aber nur darum, als totaler Anfänger einen Ersatz für unser bisheriges Intranet anzubieten.

Vereinfacht gesagt, gibt es eine hierarchische Struktur:

Webseitesammlung –> Webseite –> Webseiteinhalte

Obwohl man auf jeder Stufe Berechtigungen vergeben kann, habe ich mich nach einer kurzen Recherche dafür entschieden, für eigenständige Bereiche (z.B. das Führungshandbuch einer einzelnen Schulgemeinde) mit anderen Berechtigungen eine eigene Webseitesammlung zu eröffnen.

Dazu wählt man im “SharePoint Admin Center” –> “Websitesammlungen” und dann “Neu” –> “Private Websitesammlung”.

image

Im sich öffnenden Fenster muss man Titel und Namen angeben, eine Vorlage auswählen und die Zeitzone richtig setzen.

image

Die weitere Konfiguration nimmt man als Administrator unter Websites vor.

image

Man kann nun die neue Website über die Suche öffnen.

image

Über das Zahnrad rechts aussen kann man die Einstellungen der Website vornehmen.

image

Als erstes habe ich die Berechtigungen angepasst. Besucher haben Leseberechtigung, Mitglieder können die Dokumente bearbeiten oder hochladen.

image

Damit die Oberfläche möglichst einfach aussieht, habe ich unter Schnellstart alle Einträge gelöscht. Ziel ist es nur eine einfache Dateiablage ähnlich dem Explorer auf dem Computer anzubieten, die möglichst selbsterklärend für die Benutzer ist.

Über “Seite” –> “Seite bearbeiten” kann man den Begrüssungstext anpassen und die nicht benötigten Elemente entfernen.

image

Danach habe ich links unten einen neuen Webpart “Dokumente” hinzugefügt.

image

image

Standardmässig ist bei “Dokumente” eine Versionierung und die Funktion Ein- und Auschecken aktiviert, die ja sehr nützlich sein kann, wenn verschiedene Personen an den gleichen Dokumenten arbeiten. Bei uns ändern ja nur einzelne oder wenige Personen die Dokumente, die meisten haben nur Leseberechtigung. Daher sind diese Funktionen bei uns kein Mehrwert, sondern verkomplizieren nur die Handhabung.

Dazu wählt man bei “Dokumente” –> “Bibliothek” –> “Bibliothekeinstellungen” und danach “Versionsverwaltungseinstellungen”.

image

image

Hier stellt man dann ein, dass “keine Versionskontrolle” nötig und auch das “Auschecken von Dokumenten” nicht erforderlich ist.

image

Als letztes habe ich noch “Die heraufgestuften Websites unten verwalten” ausgewählt und die Website hochgestuft.

image

Wenn sich nun eine Lehrkraft am Office 365 Portal anmeldet und Websites auswählt, kommt sie auf die Ansicht oben, kann auf die gewünschte Kachel klicken und kommt auf die entsprechende Website. Dort gibt es nur die Ansicht mit den Dokumenten. Mit “Datei suchen” wird nicht nur nach dem passenden Dateinamen, sondern auch im Inhalt der Dokumente gesucht.

Also nur einen kleinsten Bruchteil der Möglichkeiten von Sharepoint benutzt, aber dafür ist alles sehr einfach in der Handhabung.

image

zurück zur Übersicht

Office 365: Benutzernamen ändern

2 Antworten

Wie hier beschrieben, synchronisieren wir die meisten unsere Benutzer über DirSync vom lokalen Active Directory nach Office 365.

Dies bedeutet, dass man auch Änderungen an Benutzern im lokalen AD durchführen muss. Im Office 365 Portal wird darauf hingewiesen: “Dieser Benutzer wird mit Ihrem lokalen Active Directory synchronisiert. Bestimmte Details können nur in Ihrem lokalen Active Directory bearbeitet werden.”

Nun musste ich für eine Lehrperson eine Namensänderung durchführen. Alle Änderungen wurden dann ins Portal synchronisiert. Die Lehrperson hatte danach eine funktionierende neue Mailadresse, aber für die Anmeldung am Portal musste sie immer noch die alte Adresse verwenden. Im Portal sieht man unter Benutzernamen noch den alten Namen von der Erstsynchronisierung. Dieser kann im Portal nicht geändert werden und vom AD wird er auch nicht synchronisiert.

image

Um diesen Benutzernamen trotzdem zu ändern, muss man sich über das Azure Active Directory-Modul für Windows PowerShell (vgl. diesen Beitrag) mit Office 365 verbinden.

Danach kann man den folgenden Befehl verwenden:

Set-MsolUserPrincipalName -UserPrincipalName altername@schalt.ch –NewUserPrincipalName neuername@schalt.ch

image

NACHTRAG

Der E-Mail Alias benutzername@tenantname.onmicrosoft.com lässt sich leider nicht ändern. So kann es also passieren, dass nach einem Namenswechsel noch ein solcher Alias im System ist, der für einen neuen Benutzer wieder gebraucht würde. Office 365 löst das aber selber. Der neue Benutzername bekommt dann einen Alias mit einer angehängten Nummer.

tennant

Man kann sich diesen Alias also als eine Art eindeutige User-ID für Office 365 vorstellen. Da dieser ja weder für eine Computeranmeldung, noch für Mails verwendet wird, muss man ihn nicht weiter beachten.

zurück zur Übersicht