Filter für Jugendarbeit und Internetcafe mit W-Lan

Andre

Hallo,

ich bin Medienpädagoge und arbeite als Angestellter in einer Kommune.

In den Jugendtreffs haben wir inzwischen ein pädagogisches Netz aufgebaut, das aus Rechnern der KollegInnen, den Rechner der Internetcafes und aus privaten "Mobildevices" besteht, sprich wir haben auch ein W-Lan aber das PW ist nur den MitarbeiterInnen bekannt.

Wie nicht anders zu erwarten, läuft das ganze natürlich jeweils über einen Endian (v. 2.4.1.) und ich bin mit der Funktionsweise bisher ganz zufrieden.

Was ich bisher eingestellt habe ist folgendes:
- Die Geräte der Mitarbeiterinnen sind mit den Macadressen bekannt (bekommen eine feste IP zugewiesen) und gehen am Proxy vorbei ungefiltert ins Netz
- Die Internetcaferechner bekommen eine feste IP und laufen durch den Filter (das volle Programm mit Black- und Whitelisting / Kontentfilter etc.)
DHCP ist an -> hab ich mal ausgemacht, weil ich dachte die bekannten Geräte bekommen ja sowieso eine feste IP, aber die sind dann alle nicht mehr rein gekommen

Nun möchten wir aber das W-Lan frei geben und da macht sich für mich ein Problem auf --> wie kann ich den Internetzugang dieser "unbekannten" Geräte so weit einschränken, dass eigentlich nur noch reines surfen möglich ist? --> wir stehen ja immer in der Störerhaftung und ich will das Risiko des Missbrauchs weitestgehend minimieren --> habt ihr da eine Idee zu?

MLG Andre

Sabine

Hallo,
ich bin in einer Schule mit ca. 2200 Schülern und 110 Lehrer.
Bei mir hat jeder User einen Benutzernamen und ein Passwort ! ( Holt sich die Endian direkt vom Server )
Ich habe bei mir für die Access Point noch eine Endian laufen. Die Schüler kriegen eine eigene IP wenn Sie sich Anmelden die außerhalb des Schulnetzes liegen
und können nur über diese Endian auf den Proxy Port auf die Haupt- Endian zugrifen, da kommt dann die Anmeldung.

Hast du den Access Point im Grünen Netz ?
( Dann werden die die Schüler Trojaner und Viren einschleppen )

Wenn du keinen Server mit allen Usern hast bleibt dir nichts anderes übrig als alle mit der Hand anzulegen !
Du bist nämlich der Dumme wenn die Staatsanwalt vor der Tür steht und du nicht anhand der Logfiles sagen kannst : Der war es ! :idea:

Gruß Sabine

Grenzwert

Wäre es nicht das einfachste eine zusätzliche Netwerkkarte zu verwenden, und hier ein zweites W-lan (orange) mit einem zusätzlichen Accespoint draufzuschalten ?

Zugang normal per Paßwort, eventuell dieses regelmäßig ändern.
Internetbegrenzungen dann wie gehabt so wie an den CafèPC`s.

Die Arbeit der Staatsanwaltschaft auszuführen und im voreilenden Gehorsam angesurfte Seiten oder gar noch Inhalte zu speichern und Personen zuzuordnen, ist nicht notwendig. Letzten Endes muß die Staatsanwaltschaft tatsächliche Straftaten nachweisen, und dazu reicht kein Logfile angesurfter Seiten sondern als Indiz müssen die Inhalte (Drohmails, download illegaler Inhalte etc.) auf dem PC sichergestellt werden. Und diese sind mobil.
Diese dananch Nutzern zuzuordnen ist heikel. Aber bist du Staatsanwalt ? Laß den auch was machen.

Hänge doch Nutzungsbedingungen aus: Illegales ist verboten. Fertig.

ffischer

Hallo,
ich hab das bei einem Kunden mit der 2.4.1 Community in Betrieb.

Internes Netzwerk für die eigenen PC Systeme.
WLAN das Blaue DHCP ist dort an, Proxy und Inhaltsfilter auf Transparent und recht zickig eingestellt das ganze.

Funktioniert Tadellos, ab und zu schau ich mir die Log Files an ob was dabei ist was da nicht hingehört und pack es auf die Blacklist.

gruß

minti

Wenn Du (Deine Organisation) einen Telekommunikationsdienst anbietest, und es wird darüber eine Straftat begangen dann musst Du nachweisen können, wer es zum Zeitpunkt genutzt hat. Kannst Du es nicht, so wirst Du riesen große Probleme haben, aus der Haftung herauszukommen.

Netze von Mitarbeitern und Internetcafénetz sowie WLAN sind unbedingt zu trennen!

ffischer

Zitat von "minti"

musst Du nachweisen können, wer es zum Zeitpunkt genutzt hat.

was die EFW leider nicht kann, du hast da nur eine IP Adresse zum PC mehr nicht.
Was aber im HotSpot Modul der Appliance wohl funktioniert mit WLAN Tickets

Sabine

Grenzwert
Ich glaube da bist du auf den Holzweg.
Wenn du Fremden Personen einen Netzzugang zur Verfügung stellest bist du dafür verantwortlich !

Gruß Sabine

Sabine

ffischer
Ich habe hier den Anmeldenamen und die besuchten Webseiten im Proxy- Log !
Die Logs sichere ich jeden Tag.
Wenn mich eine fragt wer war am 03.06.20011 auf der Seite xy.com , dann kann ich das ganz schnell sagen !

Gruß Sabine

Sabine

Hiermal ein Beispiel:

Der User 444tes war auf web.de um 10:38 Uhr am 28 Juni .

ffischer

ist bei dir möglich jedem Schüler ein Name zu geben den kannst du dann ja auch zuordnen.

Ist in einem Inet Cafe schwieriger.

Da das Laufkundschaft ist ist es mit dem Zuweisen schon problematischer.
Klar kannst Proxy Benutzer anlegen, aber du musst dem Proxy Benutzer ja noch zuweisen wer er wirklich ist.
Müsstest von jedem Gast der ins Internet will Perso verlangen anschauen dann Benutzer anlegen und los kann es gehen.

Weil wenn du dann die Logs durchsuchst steht ja nur z.B. User9452
so wer ist das aber bei dir in der Schule recht einfach die Schüler sind ja viel länger da.

Im Cafe müsstest jetzt jeden angelegten Benutzer so ablegen das später sagen kannst das der user9452 der Herr Mustermann in Musterhausen ist in der Musterstrasse 0190

Sabine

Richtig !!
Um wirklich auf der sicheren Seite zu sein müsstest du jeden nach der Vorlage des Ausweises erst anlegen.
Deshalb gibt es ja auch in Firmen Ticketsysteme ….

http://www.funkwerk-ec.com/prod_wlan_hots…,90571,194.html

Gruß Sabine

ffischer

oder das hier

http://www.endian.com/de/solutions/technology/endianhotspot/

Dort kann sich der Benutzer wenn ich mich nicht Irre selbst anmelden.
Haben wir uns doch auf der ITSA 2010 angesehen, aber das geht nur auf der Appliance Version

Sabine

Genau, so ist man auf der sicheren Seite und hat die Logs für den Fall der Fälle.
Hast du das mit deiner " Vollversion " der Endian schon mal probiert ?

Gruß Sabine

ffischer

nein bisher noch kein Kunde gehabt der das mit einer Appliance haben wollte.

gruß

Sabine

Schade, hätte gerne mal ein paar gescheite Screenshot gesehen.
Sieht ja schon sehr interessant aus was ich da gefunden habe.

https://endian.zendesk.com/entries/200613…th-free-tickets

Gruß Sabine

minti

Zitat von "ffischer"

ist bei dir möglich jedem Schüler ein Name zu geben den kannst du dann ja auch zuordnen.
Ist in einem Inet Cafe schwieriger.
Da das Laufkundschaft ist ist es mit dem Zuweisen schon problematischer.
Klar kannst Proxy Benutzer anlegen, aber du musst dem Proxy Benutzer ja noch zuweisen wer er wirklich ist.
Müsstest von jedem Gast der ins Internet will Perso verlangen anschauen dann Benutzer anlegen und los kann es gehen.
Weil wenn du dann die Logs durchsuchst steht ja nur z.B. User9452
so wer ist das aber bei dir in der Schule recht einfach die Schüler sind ja viel länger da.
Im Cafe müsstest jetzt jeden angelegten Benutzer so ablegen das später sagen kannst das der user9452 der Herr Mustermann in Musterhausen ist in der Musterstrasse 0190

Alles anzeigen

Genau.
So ist es in jedem Hotel, dass Dir kostenlosen Netzzugang anbietet: Du erhälst Passwort zu einer ID oder Zimmernummer.
So ist es bei großen Firmen, die externen Dienstleistern Internetzugang zur Verfügung stellen (der Zugang zum Firmennetz wäre ja auch 3 fache Totsünde): Du erhälst am Empfang oder von der IT-Abteilung eine ID und Passwort mit dem Du Dich zeitlich befristet am Hotspot oder dedizierten Anschlußdosen per Kabel anmelden kannst.

Ich habe in meinen wenigen Jahren als IT-Consultant einige solcher Lösungen gesehen. Auch Fälle bei denen solche Lösungen nicht implementiert waren durfte ich erleben. Bei denen konnte auch die hochbezahlte Rechtsabteilung eines Konzerns die Haftbarkeit für das Tun eines unbekannten Nutzers nicht abwenden.

8-)

andre.guelzow@gmx.de

Hallo,

ich bin ja überwältigt von der Fülle der Antworten hier, dafür schon mal vielen Dank

und ich versuche mal die Meinungen zusammen zu fassen:

1. am Besten ist es, wenn alle Leute im Netz bekannt sind und alles protokolliert wird
1.a. es kann so immer bewiesen werden wer, was, wann gemacht hat
1.b. das braucht die Polizei / der Staatsanwalt
1.c. und ich, damit ich aus der Störerhaftung heraus bin
1.d. dazu sollten alle User in einer Datenbank verzeichnet sein und sich bei der Endian anmelden (hier wüsste ich gern wie das geht, da brauche ich Nachhilfe)
1e. wenn die User unbekannt sind, habe ich ein Problem, wenn etwas illegales gemacht wird

zu diesen Punkten habe ich mich mal mit einem Juristen unterhalten und der meinte ich muss in einem Internetcafé nicht beweisen wer was gemacht hat, das wäre Aufgabe der Staatsanwaltschaft .... ich muss nur beweisen, dass ich eine Menge gemacht haben, damit die Kids keinen Mist machen also mit ihnen darüber Reden was erlaubt ist und was nicht, mit ihnen die regeln durchgehen, die hin und bieder beaufsichtigen, die Regeln immer mal wieder zeigen (Bildschirmhintergrund oder so) <-- wobei das auf ein freigegebenes W-Lan nicht zutrifft ....

2. in der Endian community müsste eine dritte Netzwerkkarte eingebaut werden, die dann für das W-Lan zuständig ist --> und dort könnten dann ganz restriktive Filtereinstellungen vorgenommen werden --> das könnte für den Punkt 1.e hilfreich sein
2.a. oder laut ffischer --> Internes Netzwerk für die eigenen PC Systeme.
WLAN das Blaue DHCP ist dort an, Proxy und Inhaltsfilter auf Transparent und recht zickig eingestellt das ganze. -> machen ... wobei ichdas noch nicht so ganz verstanden habe ...
2.c. oder ich nehme ein Ticketsystem ... was ich nicht kann bei einem Internetcafé das den Jugendlichen und Andren auch zu nicht Öffnungszeiten zur Verfügung stehen soll ...

... durch die Einstellmöglichkeiten steige ich noch nicht so recht durch, habe aber das Gefühl, dass das noch nicht so recht passt ...

soweit richtig?