Alle Schulen sind nach derzeitiger Rechtsauffassung angehalten, "alles – im Rahmen der Technik – Mögliche zu tun", um Schüler vor jugendgefährdenden Internet-Inhalten in der Schule zu schützen. "FilterSurf" ist ein System, das den Internetzugang in einem Netzwerk kontrolliert und dabei versucht, jugendgefährdende (und auch andere) Seiten soweit wie möglich zu sperren. Prinzipiell ist für den Einsatz von FilterSurf Squid-Proxy-Server im eigenen Netzwerk erforderlich. Auf diesem Proxy-Server wird dann die FilterSurf-Software eingerichtet: Ein Perl-Programm, das alle Browseranfragen überwacht und dazu mit dem FilterSurf-Server kommuniziert.

Die FilterSurf-Box (abgekürzt einfach FSB) erleichtert die Installation von FilterSurf im lokalen Netzwerk erheblich. Es spielt dabei keine Rolle, ob ein Squid-Proxy-Server vorhanden ist oder nicht. Dadurch kann FilterSurf auch zum Einsatz kommen, wenn noch kein Squid-Proxy-Server vorhanden ist. Die Box wird einfach zwischen Internet-Router und Arbeitsplatzrechner eingebaut und kümmert sich (nach der menügeführten Konfiguration) fortan selbständig um die Internet-Filterung. Die FilterSurf-Box ist ein Mini-PC, der ohne Lüfter und Festplatte auskommt. Auf der FSB kommt ein spezielles Debian-Linux zum Einsatz, das nach dem Einschalten innerhalb weniger Minuten hochfährt und dann einsatzbereit ist. Die FSB ist dafür ausgelegt, ohne menschliche Beaufsichtigung betrieben zu werden.

Um den FilterSurf-Server müssen Sie sich normalerweise nicht kümmern. Dieser wird von den Entwicklern von FilterSurf gewartet. Es handelt sich dabei um einen "handelsüblichen" Rootserver, auf dem ein Debian-Linux mit der Server-Software von FilterSurf läuft. Prinzipiell ist es auch möglich, einen eigenen FilterSurf-Server an Stelle des "offiziellen" FilterSurf-Servers zu betreiben. Dieses Szenario ist aber nur in wenigen Ausnahmefällen sinnvoll. Falls Sie daran interessiert sind, melden Sie sich am besten bei den Entwicklern.

Squid, eine sehr populäre Linux-Software, ist der Web-Proxy-Server, der auf der FilterSurf-Box zum Einsatz kommt. Mit seiner umfangreichen Konfigurationsdatei /etc/squid/squid.conf lässt er sich mit einer Vielzahl von Parametern an fast jede erdenkliche Einsatzumgebung anpassen.

Proxy-Server kommen üblicherweise zum Einsatz, um die Geschwindigkeit des Internet-Zugangs in einem Netzwerk zu erhöhen. Alle Web-Browser auf den Arbeitsplatz-Rechnern werden dabei so konfiguriert, dass sie den gesamten Datenverkehr über den Proxy-Server abwickeln. Dazu ist die Kenntniss der IP-Adresse und des TCP-Ports des Proxy-Servers erforderlich. Der Proxy-Server nimmt dann die Anfragen der Browser entgegen, lädt die gewünschten Internetseiten herunter und schickt sie an die Browser zurück. Der Clou: Eine Kopie der abgerufenen Seite inkl. Bilder verbleibt auf dem Proxy-Server. Wenn nun mehrere Browser die gleiche Internetseite kurz nacheinander aufrufen, muss diese nur einmal aus dem Internet heruntergeladen werden. Der Proxy-Server kann sie ab dann in einem Bruchteil der Zeit aus seinem Cache (Zwischenspeicher) holen und direkt an die wartenden Browser schicken. Darüber hinaus sind Proxy-Server nützlich, um eine Zugriffskontrolle für den Internetzugang einzurichten. Sie können so konfiguriert werden, dass der Internetzugang nur für ausgewählte Rechner oder nur nach Eingabe eines Passworts freigeschaltet ist, während alle anderen nicht surfen dürfen.

FilterSurf macht besonders von der sog. Redirector-Funktion Gebrauch, die in der Squid-Konfigurationsdatei mit dem Schlüsselwort redirect_program bezeichnet wird. Falls Sie bereits einen Proxy-Server in Ihrem Netzwerk verwenden, kann der Squid auf der FSB diesen verwenden (sogenannter cache_peer). In einigen Fällen ist die Verwendung des vorhandenen Proxy-Servers sogar unumgänglich. Man spricht dann vom Betrieb mit "Zwangsproxy".

Egal ob bereits ein Zwangsproxy vorhanden ist oder nicht: Die Arbeitsplatzrechner, die sich "hinter" der FSB befinden, werden durch ein spezielles Verfahren nach der Installation der FSB dazu "gezwungen", den Squid auf der FSB zu verwenden - selbst dann, wenn gar kein Proxy-Server in den Browsereinstellungen eingetragen ist! Man spricht hierbei von einem sogenannten transparenten Proxy-Server. Weitere Details dazu gibt es im Abschnitt Netzwerk-Bridge.

Der Redirector ist eine wichtige Softwarekomponente von FilterSurf. Der Squid-Proxy-Server auf der FSB startet beim Booten der Box gleich mehrere dieser Redirectoren. Jede URL (z. B. http://www.google.de/), die in den Browsern auf den Arbeitsplatzrechnern eingetippt wird, erreicht zunächst den Squid-Proxy auf der FSB. Squid ist so konfiguriert, dass er jede URL vor dem Herunterladen an einen freien Redirector übergibt. Zur Erhöhung der Antwortgeschwindigkeit werden dabei wie erwähnt mehrere Redirectoren parallel angesteuert. Der Redirector leitet die aktuelle URL nun an den FilterSurf-Server weiter. Dieser entscheidet dann, ob die URL erlaubt ist oder gesperrt wird. Der Redirector veranlasst dann entweder den Download der URL oder stellt eine Zugriff-Verweigert-Seite dar. Eine schematische Darstellung dieses Vorgangs finden Sie im Anhang C.

Der FSB-Stick ist ein normaler USB-Memorystick mit z. B. 128 MB Speicher. Der Stick ist bootfähig und dafür gedacht, in besonderen Fällen in die FilterSurf-Box gesteckt zu werden. Wenn die FSB mit eingestecktem Stick eingeschaltet wird, bootet über SYSLINUX ein Mini-Linux-Betriebssystem vom Stick. Nach einigen Minuten kann man mit Tastatur und Monitor oder über SSH das automatisch startende Stick-Menü verwenden, um Sicherungen von der FSB anzufertigen und wiederherzustellen oder Updates der FSB-Software einzuspielen. Solche Vorgänge werden aus Sicherheits- und Stabilitätsgründen nicht im laufenden Betrieb vorgenommen. Genau dafür kommt der FSB-Stick zum Einsatz.

Beim Einsatz der FilterSurf-Box gibt es einen großen Vorteil im Vergleich zu den bisher am Markt existierenden Filter-Lösungen: Nach dem Einbau und der Verkabelung der FSB mit dem lokalen Netzwerk sind in den allermeisten Fällen keinerlei Änderungen an existierenden Servern oder an den Arbeitsplatzrechnern erforderlich. Das Netzwerk muss nicht an die FSB angepasst werden. Es muss stattdessen nur die FSB an die örtlichen Gegebenheiten angepasst werden. Die Konfiguration der FSB erfolgt dabei mit einer grafischen Oberfläche (menügeführt). Fehleingaben werden dadurch schon von Anfang an verhindert. Zusätzlich unterstützen kontextsensitive Erklärungen den Benutzer bei allen Einstellungen.

Die nachfolgende Erklärung richtet sich eher an den interessierten Netzwerk-Administrator als an einen FilterSurf-Benutzer. Das genaue Verständnis ist für die Installation der FSB nicht erforderlich.

Die FSB arbeitet als sogenannte Netzwerk-Bridge: Sie verbindet das Internet mit den zu schützenden Arbeitsplatzrechnern. Im Prinzip kann man sich die FSB wie einen Netzwerk-Switch mit lediglich 2 Ports vorstellen. Das besondere dabei ist jedoch, dass die Netzwerk-Pakete nicht wie bei einem Switch unverändert vom einen Port an den anderen weitergeleitet werden. Stattdessen werden alle Pakete in Echtzeit analysiert und anhand von Regeln bei Bedarf einer Sonderbehandlung unterzogen. Von Interesse sind bei FilterSurf dabei alle HTTP-Requests (TCP Ports 80, 8080, 3128). Diese werden nicht einfach ins Internet weitergeleitet, sondern an den auf der FSB laufenden lokalen Squid-Proxy-Server umgeleitet. Dieser leitet die Anfragen dann im nächsten Schritt an den Redirector weiter. Der Redirector befragt dann (wieder mit einem HTTP-Request) den FilterSurf-Server im Internet und wartet auf dessen Antwort. Nach wenigen Millisekunden trifft diese ein und der Redirector meldet die Filter-Entscheidung an den Squid, der nun abschließend die Seite aus dem Internet lädt und an den anfragenden Browser sendet. Diese Konstellation bezeichnet man auch als transparenten Proxy-Server, da die Arbeitsplatzrechner gar nicht merken, dass ihre Anfragen über einen Proxy-Server geleitet werden.

Hier ist eine Liste mit Teilen, die Sie für den Einbau der FSB benötigen:

• die FSB selbst
• ein bzw. zwei Patch-Kabel
• ein bzw. zwei Cross-Link-Kabel (gekreuztes Patch-Kabel)
• funktionierende Steckdose

Bevor Sie aber ihren Netzwerkschrank aufsperren und Patchkabel umstecken, sollten Sie einige Parameter abklären, die im Laufe der Installation von Interesse sind. Hier ist eine Checkliste (im Anhang A können Sie nachlesen, wenn Sie Probleme mit der Beantwortung einer Frage haben):

1. Kommt ein Hardware-DSL-Router (kleines Kästchen) zum Einsatz oder haben Sie einen vollwertigen Proxy-Server (z.B. Linux-/Windows-Internet-Server)?
2. Verwenden die Arbeitsplatzrechner einen DHCP-Server oder sind die IPs statisch eingerichtet?

   DHCP-Server:

   dann ist dieser Punkt abgehandelt

   Statische IP-Vergabe:

   Ermitteln Sie eine freie IP-Adresse, die Netzwerk-Maske, den Standard-Gateway und die IP-Adresse eines DNS-Servers!

3. Verwenden die Browser einen Proxy-Server?

   Falls ja:

   Ermitteln Sie IP-Adresse und Port des Proxy-Servers. Sofern mehrere Ports zur Auswahl stehen, verwenden Sie den Port für http. Ermitteln Sie, ob es sich dabei um einen Zwangsproxy handelt.

   Falls nein:

   dann ist dieser Punkt abgehandelt

Alle in dieser Checkliste erwähnten Parameter werden für die erfolgreiche Installation der FSB benötigt.

Da sich die FSB sofort nach dem Einstecken des Stromkabels einschaltet, sollten Sie mit dem Einstecken solange warten, bis es hier in dieser Anleitung explizit verlangt wird.

Sofern für den Zugang zum Internet ein Hardware-Router (DSL oder auch ISDN) verwendet wird, sieht die Ausgangssituation wie folgt aus:

Jetzt bauen Sie die FSB wie unten skizziert zwischen Switch und Router ein. Verwenden Sie dafür die FSB-Anschlüsse mit der Bezeichnungen "Lan1" bzw. "Lan2".

Das Kabel, welches die FSB mit dem Switch verbindet, ist immer ein Patch-Kabel. Interressant bei dieser ganzen Umbau Aktion ist nur die Frage, welches Kabel L ("normales" Patch-Kabel oder Cross-Link-Kabel) Sie verwenden. Sollte Ihr Router gleichzeitig (wie eingezeichnet) ein Hub bzw. ein Switch sein, so nehmen Sie ein Patch-Kabel. Sofern das Kabel K ein Cross-Link-Kabel war, nehmen Sie auch ein Patch-Kabel. In den anderen Fällen wird meist ein Cross-Link-Kabel benötigt. Keine Angst: Falls Sie das falsche Kabel verwenden, geht nichts kaputt. Bei falscher Verkabelung ist die FSB im Netzwerk jedoch unerreichbar.

Für den Fall, dass Sie einen eigenen Rechner (Internet-Gatway, Proxy-Server, usw.) für den Internet-Zugang verwenden, sieht die Ausgangssituation so aus:

Jetzt bauen Sie die FSB wie unten skizziert zwischen Switch und Gateway ein. Verwenden Sie dafür die FSB-Anschlüsse mit der Bezeichnung "Lan1" bzw. "Lan2". Das Kabel L muss nun ein Cross-Link-Kabel sein. Das Kabel, welches die FSB mit dem Switch verbindet, ist immer ein Patch-Kabel.

Falls Sie jetzt unsicher sind, ob Sie die richtigen Kabel für die Verbindung gewählt haben, haben Sie nach dem Einschalten der FilterSurf-Box eine einfache Möglichkeit, die Verkabelung zu überprüfen. Dazu werfen Sie einen Blick auf die Netzwerkbuchsen am Switch, an der FSB und am Gateway/Router. Wenn alles stimmt, sollten diese nach dem Einschalten je nach Modell gelb oder grün leuchten.

Bevor Sie jetzt die FSB einschalten, müssen Sie sie noch konfigurieren (irgendwo müssen ja, wie versprochen, die ganzen anderen ermittelten Parameter Verwendung finden). Dazu haben Sie zwei Möglichkeiten, die in den nächsten beiden Abschnitten beschrieben werden.

Falls Sie eine PS/2-Tastatur und einen Monitor in Reichweite haben, können Sie diese an die FSB anschließen. Dies ist die einfachste Möglichkeit für die Konfiguration der FSB.

Jetzt ist es an der Zeit, die FSB einzuschalten. Schließen Sie dazu das Stromkabel an. Die FSB bootet dann automatisch; dies können Sie auch am Bildschirm verfolgen. Nach ca. 3 Minuten erscheint die Login-Aufforderung. Gleichzeitig gibt die FSB eine charakteristische Tonfolge von sich. Diese können Sie getrost ignorieren; sie ist nur für Leute ohne Monitor wichtig. Lesen Sie nun in Kapitel 3 weiter.

Das Fehlen von Tastatur und Monitor muss jetzt durch Software kompensiert werden. Die Konfiguration der FSB kann nämlich auch über das Netzwerk von einem anderen Rechner aus erfolgen. Für diese Methode der Konfiguration benötigen Sie einen funktionierenden Windows-Rechner, einen SSH-Client (z. B. PuTTY) und eine Leitung zwischen diesem Rechner und der FSB.

Hierzu ist der bisher unerwähnte "Lan3" Anschluss vorhanden. Sie können hier entweder einen Rechner/Laptop direkt mit einem Cross-Link-Kabel anschließen oder mit einem Patch-Kabel einen Switch anschließen, an dem dann wiederum der Rechner für Konfiguration angeschlossen ist. Beide Möglichkeiten sind in untenstehender Skizze nochmals dargestellt.

Nach der erfolgreichen Verkabelung (die nur zur Konfiguration notwendig ist) gehen Sie wie folgt vor.

1. Jetzt ist es an der Zeit, die FSB einzuschalten. Schließen Sie dazu das Stromkabel an. Die FSB bootet dann automatisch (dauert ca. 3 Minuten). Warten Sie das Ende des Bootvorgangs ab. Dies ist an einer charakteristischen Tonfolge (dreimal kurzes tiefes Piepen, einmal langes hohes Piepen) erkennbar.
2. Booten Sie nun den Konfigurationsrechner und konfigurieren Sie die Netzwerkkarte auf "IP-Adresse automatisch beziehen" (DHCP). Ihr Rechner sollte dann eine IP-Adresse im 192.168.88.*-Netz bekommen. Sollte dies auch nach einem Windows-Neustart nicht funktionieren, liegt ein Verbindungsproblem (Kabelweg) vor.
3. Starten Sie den SSH-Client. Im Folgenden wird davon ausgegangen, dass Sie PuTTY verwenden. Tragen Sie unter Host Name (or IP address) die IP 192.168.88.8 ein und wählen Sie Open.
   
4. Eventuell (beim allerersten Verbinden mit der FSB) erscheint folgende Warnmeldung.
   
   Überprüfen Sie, ob die Zeile, die mit "ssh-rsa" beginnt, exakt mit der oben abgebildeten Zeile übereinstimmt. Klicken Sie dann auf "Ja".
5. Es erscheint nun die login-Aufforderung. Lesen Sie nun in Kapitel 3 weiter.

Für die Erst-Konfiguration ist diese Vorgehensweise nicht möglich, da der FSB noch wichtige Konfigurationsparameter fehlen.

Prinzipiell ist die oben beschriebene Verbindung mit dem Lan3-Anschluss immer möglich. Allerdings ist es im Alltagsbetrieb sehr mühsam bzw. umständlich immer einen Rechner bzw. Switch an Lan3 zu klemmen. Daher können nachträgliche Änderungen an der Konfiguration auch von jedem Rechner aus durchgeführt werden, der am selben Switch (oder wiederum an daran angeschlossenen Switches) hängt wie die FSB mit Lan1 oder Lan2. Zur Konfiguration muss man nun entweder die IP-Adresse der FSB im lokalen Netzwerk (das an Lan1 bzw. Lan2 angeschlossen ist; nicht die bereits bekannte IP-Adresse 192.168.88.8, denn diese gilt nur an Lan3, den wir ja nicht verwenden wollen) kennen oder die Config-Port-Funktion aktivieren.

In diesem Fall läuft die Verbindungsaufnahme mit der FSB völlig analog zum beschriebenen Verfahren bei Verwendung von Lan3 ab. Es muss lediglich die IP-Adresse der FSB eingetragen werden. Falls die Verbindung über den Config-Port aufgebaut werden soll, ist als IP-Adresse z. B. 1.1.1.1 (es funktioniert auch jede andere externe IP-Adresse) zu verwenden und als Port nicht 22, sondern der Config-Port (z. B. 22922).

Geben Sie bei der login-Aufforderung als Benutzername setup ein. Bei der ersten Anmeldung lautet das Passwort putes. Dieses Passwort sollten Sie sofort nach der erfolgreichen Anmeldung ändern (vgl. Abschnitt 4.5).

Es erscheint folgendes Konfigurationsmenü:

Beginnen Sie nun mit den Grundeinstellungen.

Wählen Sie im Hauptmenü den Punkt Grundeinstellungen. Es erscheint folgendes Menü:

Die Gesamtkonfiguration ist in kleine Häppchen aufgeteilt. Gehen Sie nun von oben nach unten alle Menüpunkte durch und beantworten Sie mit Hilfe der nachfolgenden Erläuterungen und der automatisch erscheinenden Hilfetexten bei den jeweiligen Menüpunkten alle gestellten Fragen.

Bei der Lieferung der FSB wurde Ihnen auch eine User-ID mitgeliefert. Diese Kennung müssen Sie hier eintragen. Diese Kennung wird verwendet, um die FSB am FilterSurf-Server zu identifizieren. Nur mit gültiger Kennung ist die Filterung möglich.

Hier müssen Sie nun der FSB mitteilen, ob es im Netz einen DHCP-Server (IP-Adressen werden automatisch bezogen) gibt oder ob statische IPs vergeben werden. Im Falle von statischen IPs müssen Sie jetzt auch eine IP für die FSB festlegen sowie alle weiteren Parameter (z. B. Netzwerkmaske, Standard-Gateway und DNS-Nameserver) eintragen.

Am Ende der Netzwerkeinstellungen werden Sie darauf hingewiesen, dass Ihre Einstellungen erst nach einem Neustart der FSB wirksam werden. Da Sie aber bei der Erst-Konfiguration noch weitere Parameter eintragen müssen, lohnt sich der Neustart an dieser Stelle noch nicht. Verlassen Sie stattdessen das Netzwerk-Menü und lesen Sie im Falle der Erst-Konfiguration weiter.

Hier erscheint folgendes Menü:

Wählen Sie Konfiguration: Alles um alle relevanten Fragen in einem Durchlauf abzuarbeiten.

Wenn Sie in der Checkliste im Abschnitt Einbau der FSB einen Proxy-Server ermittelt haben, so sollte dieser hier als sog. cache_peer eingetragen werden. Sie benötigen dann dazu den Namen oder die IP des Proxy-Servers sowie den Port.

Wenn Sie alle Einstellungen eingegeben haben, werden Sie darauf hingewiesen, dass alle Änderungen erst nach dem Neustart des squid wirksam werden. Bei der Erst-Konfiguration kann man auf den Squid-Neustart verzichten, da Sie die FSB in Kürze neu booten werden.

Verlassen Sie nun das Untermenü Squid-Konfiguration und lesen Sie weiter.

Wir wenden uns nun dem Herzstück der FSB zu, dem Redirector. Ähnlich wie bei der Konfiguration des Squid-Proxy-Servers muss auch der Redirector wissen, ob er direkt oder über einen Zwangsproxy die Verbindung zum FilterSurf-Server aufbauen soll. Beim Redirector muss aber unbedingt die IP-Adresse des Proxy-Servers eingetragen werden (bei der Squid-Konfiguration war ja auch die Eingabe seines DNS-Namens möglich).

Bitte beachten Sie, dass hierfür momentan nur Proxy-Server ohne User-Authentifizierung verwendet werden können. Falls Sie einen Proxy-Server mit obligatorischer Anmeldung betreiben und diesen hier verwenden wollen, teilen Sie uns diesen (Sonder-)Wunsch einfach als Erweiterungsvortschlag per E-Mail mit (Kontaktdaten auf der FilterSurf Homepage).

Weiterhin können Sie in diesem Menü auch auswählen, welche Inhalts-Kategorien von der FSB gefiltert werden sollen.

Sofern es sich um die Erst-Konfiguration handelt, ist jetzt ein guter Zeitpunkt, um die FSB neu zu booten, damit alle Änderungen übernommen werden. Wählen Sie dazu im Hauptmenü den Punkt reboot: FSB neu booten.

Für die weiteren Schritte müssen Sie sich nach dem Reboot wieder an der FSB anmelden. Dies wurde ja schon im Abschnitt 2.3 bzw. Abschnitt 2.4 erklärt.

Im Hauptmenü können Sie mit dem Punkt test: Verbindungstest prüfen, ob Ihre bis jetzt getätigten Angaben korrekt sind und die FSB somit eine Verbindung zum FilterSurf-Server herstellen kann. Dazu muss natürlich sichergestellt sein, dass prinzipiell eine Verbindung zum Internet möglich ist (Router/Gateway betriebsbetreit und "online").

Im Erfolgsfall sollte folgende Ausgabe beim Verbindungstest erscheinen:

Bei Fehlern konsultieren Sie Anhang B. Andernfalls können Sie sich jetzt an einen Client setzen und testen, ob die FSB wie gewünscht filtert. Dies wird im nächsten Abschnitt besprochen.

Starten Sie an einem Client Ihren bevorzugten Browser und versuchen Sie z. B. www.google.de zu erreichen. Falls die Google-Seite nicht erscheint konsultieren Sie Anhang B. Andernfalls überprüfen Sie die Filterung, indem Sie beispielsweise die Seite www.sex.de aufrufen (dieser Test kann natürlich nur klappen, wenn auch der Bereich "adult/porn" in den zu filternden Kategorien enthalten ist). Es sollte folgende Seite im Browser erscheinen:

Sollte die Seite wider Erwarten geladen werden, probieren Sie die Lösungsvorschläge in Anhang B.

Damit ist die Grundkonfiguration der FSB abgeschlossen. Im nächsten Kapitel werden die erweiterten Einstellungen beschrieben. Diese sind für die Inbetriebnahme der FSB nicht erforderlich. Sie sollten jedoch sofort dort den Menüpunkt passwd: Setup-Passwort ändern aufrufen, um das Standard-Passwort des setup-Benutzers auf ein sicheres Passwort zu setzen.

Wie Sie vielleicht aus der Überschrift schließen, läuft auf der FSB eine Firewall (iptables). Die Firewall regelt den Netzwerkverkehr aller IP-Pakete, die durch die FSB hindurch (oder auch direkt zur FSB) müssen. Die Konfiguration einer Firewall wird normalerweise von versierten Netzwerkadministratoren vorgenommen. Daher sind zum Verständnis dieses Menüpunkts zumindest grundlegende Kenntnisse im Umgang mit Paketfiltern notwendig (grober Überblick: Wikipedia: Firewall).

Sofern die FSB ihre IP-Adresse über einen DHCP-Server bezieht besteht für den Systembetreuer das prinzipielle Problem, die dynamisch zugewiesene IP-Adresse der FSB zu ermitteln. Um nachträgliche Änderungen an der Konfiguration der FSB ohne Monitor und Tastatur durchzuführen, wird jedoch normalerweise die IP-Adresse unbedingt benötigt (vgl. hierzu Verbindung ohne Lan3-Anschluss). Aus diesem Grund kann man der FSB beibringen, Pakete, die an einen speziellen TCP-Port addressiert sind, unabhängig von der IP-Adresse, abzufangen. Dieser Port heißt ab jetzt bei der FSB Config-Port. Es ist nämlich damit möglich, die Konfiguration der FSB über eine passwortgesicherte SSH-Verbindung zur FSB durchzuführen, ohne ihre IP-Adresse zu kennen. Lediglich die Kenntnis des Config-Ports reicht dazu aus (vgl. hierzu Verbindung ohne Lan3-Anschluss).

Es leuchtet ein, dass möglichst kein anderer Netzwerkdienst den Port verwenden sollte, der als Config-Port vorgesehen ist. Sollte der Standard-Wert 22922 mit dieser Forderrung kollidieren, kann die Port-Nummer in diesem Menü geändert werden oder sogar der Config-Port komplett deaktiviert werden.

In diesem Dialogfenster sind z. B. Eingaben nötig, falls Sie in Ihrem lokalen Netzwerk (Web-)Server betreiben, die auch vom Internet aus erreichbar sein sollen.

Alle folgenden Firewall-Einstellungen beziehen sich auf das Filter-Verhalten der Firewall. Sie werden in den Dialogen an Ort und Stelle erklärt.

Es ist mit der FSB möglich, den Internetzugang für einzelne Rechner wie auch Rechnergruppen zu sperren bzw. freizugeben. Die Sperrung erfolgt nicht lokal auf den Clients sondern auf der FSB. Dadurch werden Manipulationsversuche erschwert. Dazu ist es zuerst notwendig auf der FSB die einzelnen Rechner bzw. Rechnergruppen einzutragen. Es erscheint folgendes Menü:

Im Menüpunkt groups: Rechnergruppen ansehen/editieren können Rechnergruppen bearbeitet werden und im Menüpunkt single: Einzelne Rechner ansehen/editieren können individuelle Rechner bearbeitet werden.

Die Verwaltung der Einzelrechner ist selbsterklärend. Man kann für jeden Rechner einen frei wählbaren Namen und seine IP-Adresse eintragen. Zu beachten ist jedoch: Sollten die Rechner die IP-Adressen dynamisch beziehen (DHCP), dann muss der DHCP-Server so konfiguriert sein, dass jeder Rechner immer wieder die gleiche IP bekommt (anhand der MAC-Adresse). Falls der DHCP-Server das nicht tut, hat die FSB keine Möglichkeit anhand der IP den Rechner zu ermitteln. Sie haben dann folgende Möglichkeien:

• statische IP-Adressen vergeben
• Konfiguration des DHCP-Servers anpassen
• auf die Sperre von Einzelrechnern verzichten

Die Verwaltung von Rechnergruppen hat einen Vorteil: sie ist nicht darauf angewiesen, dass einzelne Rechner immer dieselbe IP bekommen. Sie arbeitet dagegen vorzugsweise mit ganzen Subnetzen. Dementsprechend ist beim Anlegen einer neuen Gruppe ein Subnetz anzugeben.

Beispiele:

Mehr Informationen zum Thema Subnetze und Netzwerkmasken findet man im IP Adress Subnetting Tutorial.

Zusätzlich besteht die Möglichkeit, auch hier individuelle Rechner (anhand ihrer IP-Adressen) zu einer Gruppe zusammenzufassen. Es gilt dann jedoch die bereits oben erwähnte Einschränkung, dass die Rechner vom DHCP-Server eine feste IP bekommen müssen.

In diesem Menüpunkt kann man für jede eingetragene Gruppe und für jeden eingetragenen Einzelrechner den Internetzugang sperren bzw. freigeben.

Für den Fall, dass für einen Rechner mehrere Regeln zutreffen, gilt: Die oberste Regel erhält den Zuschlag. In diesem Zusammenhang ist wichtig, dass die Einzelrechner-Einträge vor den Gruppen-Einträgen abgearbeitet werden.
Hier dazu ein Beispiel: Wir nehmen an, wir haben eine Gruppe 10.0.0.0/255.255.255.0 mit dem Namen "Raum1" und einen Rechner 10.0.0.15 mit dem Namen "PC15". Ist nun der Internetzugang von "Raum1" gesperrt, aber für "PC15" erlaubt, so kann im 10.0.0.0 Netz nur der PC15 surfen. Ist der Internetzugang von "Raum1" erlaubt, aber für "PC15" gesperrt, so kann jeder im 10.0.0.0 Netz surfen, außer PC15.

Die soeben beschriebene Möglichkeit, im laufenden Betrieb den Internetzugang für Einzelrechner und Rechnergruppen zu verwalten, setzt ja die Kenntnis des Setup-Passworts voraus. Zudem ist diese Bedienoberfläche nicht besonders benutzerfreundlich. Sie ist nicht für den täglichen Gebrauch bestimmt. Eine wesentlich komfortablere Möglichkeit wird in Abschnitt 5.3 beschrieben. Dabei handelt es sich um eine Java-Anwendung, die z. B. auf dem Lehrerrechner läuft.

Hinweis: Dieses Passwort wird nur bei Verwendung der Java-Anwendung (vgl. Abschnitt 5.3) benötigt. Es sollte insbesondere nicht mit dem Setup-Passwort übereinstimmen. Voreingestellt ist als Passwort tuersteher. Dieses Passwort sollte natürlich auch sofort geändert werden.

Bei aktivierter Fernwartung fragt die FSB in regelmäßigen Zeitabständen beim FilterSurf-Server nach, ob eine (verschlüsselte) ssh-Verbindung zur Fernwartung zu ihm aufgebaut werden soll. So ist es den Entwicklern der FSB bei Bedarf möglich, auf die komplette FSB zuzugreifen.

Falls Sie bei der Konfiguration des Redirectors einen Proxy-Server eingetragen haben, wird dieser auch für die Fernwartung verwendet.

Bitte beachten Sie, dass momentan nur Proxy-Server ohne User-Authentifizierung verwendet werden können.

Die nachfolgenden Erläuterungen richten sich an versierte Netzwerk- oder Linuxadministratoren, die wissen möchten, wie die Fernwartung technisch realisiert ist. Dadurch können Sie die Sicherheit des verwendeten Konzepts besser einschätzen und entscheiden, ob Sie die Fernwartung im Bedarfsfall durch Aktivieren des entsprechenden Eintrags im Konfigurationsmenü zulassen möchten.
Für die Fernwartung kommt ausschließlich eine authentifizierte und verschlüsselte SSH-Verbindung zum Einsatz. Diese wird am Anfang einer Fernwartungssitzung automatisch von der FSB aus zum FilterSurf-Server aufgebaut. Von dort aus erfolgt der Zugriff durch die Entwickler über einen sogenannten Remote Tunnel. Bei Bedarf wird der Datenverkehr über Zwangs-Proxy-Server in Form eines CONNECT-Requests geleitet (dazu sollte der Zwangs-Proxy-Server so konfiguriert sein, dass er die CONNECT-Methode für Port 443 erlaubt, also HTTPS-Verbindungen unterstützt). Der gesamte Datenverkehr wird von der FSB verschlüsselt. Man-in-the-Middle-Attacken wird durch striktes HostKey-Checking vorgebeugt. Nach dem Beenden der Fernwartungssitzung wird der Remote Tunnel wieder geschlossen.
Damit die Entwickler eine Fernwartung durchführen können, müssen Sie das root-Passwort der FSB kennen. Sie sollten es daher nicht verändern. Das verwendete (sichere) Initialpasswort ist nur den Entwicklern bekannt.

In diesem Menüpunkt bestehen folgende Möglichkeiten:

• Datum und Uhrzeit manuell setzen
• Datum und Uhrzeit von einem Zeitserver (NTP) holen
• Automatische Zeit-Aktualisierung (de-)aktivieren

Das Setup-Passwort wird benötigt, um sich an der FSB für Konfigurationszwecke anzumelden. Es sollte lediglich dem Systembetreuer bekannt sein. Das Standard-Passwort ist putes. Sie sollten es unbedingt sofort nach der Erst-Installation ändern.

Die FSB verfügt über eine lokale Blacklist und Whitelist. Adressen (URLs), die in der lokalen Blacklist stehen, werden unabhängig vom FilterSurf-Server in jedem Fall gesperrt. Seiten, die in der lokalen Whitelist enthalten sind, werden unabhängig vom FilterSurf-Server in jedem Fall zugelassen.

Da der FilterSurf-Server das sogenannte BPjM-Modul der Bundesprüfstelle für jugendgefährdende Medien verwendet, ist folgender Nutzungshinweis bei der lokalen Whitelist unbedingt zu beachten.

Nutzungshinweise zur lokalen Whitelist
www.filtersurf.de erlaubt die Verwendung einer sog. "lokalen" Whiteliste, die von jedem FilterSurf-Benutzer (Systemadministrator) selbst gepflegt werden kann. In diese Whiteliste können Internet-Domains aufgenommen werden, die nicht gesperrt werden sollen. Mit solchen Einträgen ist es daher möglich, einzelne Einträge den Endbenutzern zugänglich zu machen, auch wenn Sie ohne Whitelist gesperrt worden wären. Wenn sich ein Systemadministrator Klarheit verschaffen möchte, ob ein beabsichtigter Whitelist-Eintrag mit dem BPjM-Modul kollidiert, kann er die fragliche Internetadresse in einer Einzelabfrage an die BPjM schicken: liste@bundespruefstelle.de.

Das sogenannte BPjM-Modul sperrt nur solche Seiten, die von der BPjM auf Antrag indiziert wurden. Es handelt sich dabei um eine kleine, erlesene Auswahl an Internet-Seiten, die teilweise auch strafrechtlich von Belang sind. Das normale Surfen wird durch das BPjM-Modul in keiner Weise beeinträchtigt. Sie müssen sich dabei sowieso um nichts kümmern: Die Einbeziehung des BPjM-Moduls übernimmt ja der FilterSurf-Server für Sie.

Sie haben zur Verwaltung der lokalen Listen zwei Möglichkeiten, die nachfolgend erklärt werden.

Hinweis: Um diese Funktion nutzen zu können, müssen Sie zuerst den Expertenmodus im Hauptmenü aktivieren.
Die Verwaltung der lokalen Listen befindet sich im Menü basic: Grundeinstellungen unter dem Punkt redir: Redirector-Einstellungen. Nach den vom Standardmodus bereits bekannten Fragen können Sie nacheinander Black- und Whitelisteneinträge editieren. Die darauf folgenden Fragen können Sie mit dem Vorgabewert beantworten.

Hinweis: Um diese Funktion nutzen zu können, benötigen Sie die Anwendung WinSCP. Nach dem Download und der Installation von WinSCP gehen Sie wie folgt vor:

1. Starten Sie WinSCP
2. Geben Sie als IP-Adresse und Port die gleichen Werte ein, die Sie im Abschnitt 2.4 Konfiguration ohne Tastatur und Monitor (ohne Lan3-Anschluss) ermittelt haben.
3. Verwenden Sie den Benutzernamen setup und das zugehörige Passwort. Wählen Sie als Verbindungsmethode SCP aus (nicht die Voreinstellung SFTP).
4. Stellen Sie die Verbindung zur FSB her. Falls Sie dabei eine Warnung sehen, die besagt, dass der Host-Key der FSB noch unbekannt ist, sollten Sie diesen mit der Abbildung in Abschnitt 2.4 vergleichen und danach die Verbindung herstellen lassen.
5. Kopieren Sie mit WinSCP die Datei redirector.conf.current auf Ihren lokalen PC, an dem Sie gerade arbeiten
6. Öffnen Sie diese Datei in einem Unix-fähigen Editor
7. Suchen Sie den Abschnitt LOKALE BLACKLISTE bzw. LOKALE WHITELISTE und tragen Sie die entsprechenden URLs wie dort erläutert ein.
8. Bennenn Sie die Datei in redirector.conf um und kopieren Sie diese mit WinSCP auf die FSB zurück.
9. Innerhalb von zwei Minuten werden die neue Konfigurationsdatei übernommen und im Home-Verzeichnis des setup-Benutzers entfernt. Falls dabei Syntaxfehler entdeckt werden, erscheint eine Datei namens fehler.txt, die die genaue Fehlermeldung enthält.

Wichtig: Sie sollten die Verzeichnis-Anzeige in WinSCP regelmäßig mit Strg-R (oder dem entsprechenden Icon in der Symbolleiste) aktualisieren, um das Verschwinden der redirector.conf-Datei bzw. das Auftauchen der fehler.txt-Datei zu erkennen.

Beachten Sie beim Editieren der Datei, dass Sie hierbei auch auf andere Einstellungen des Redirectors Einfluss nehmen können. Da diese Datei jedoch vom FSB-Konfigurationsmenü ausgelesen wird, sollten keine "unkonventionellen" Änderungen vorgenommen werden.

Hinweis: Um diese Funktion nutzen zu können, müssen Sie zuerst den Expertenmodus im Hauptmenü aktivieren.
Anschließend muss die Protokollierung im Menü basic: Grundeinstellungen unter dem Punkt redir: Redirector-Einstellungen eingeschaltet werden. Nach den vom Standardmodus bereits bekannten Fragen beantworten Sie die Frage "Soll der Redirector alle Zugriffe in ein Log-File schreiben?" mit "Ja". Die darauf folgenden Fragen können Sie mit dem Vorgabewert beantworten.

Nachdem Sie den Squid neu gestartet haben, protokollieren die Redirector-Skripte jeden Internet-Zugriff einzeln in die Datei /var/log/messages. Um die Auswertung der Logfiles zu vereinfachen, besteht die Möglichkeit, im setup-Homeverzeichnis unter logs über WinSCP (vgl. vorheriger Abschnitt) die letzten Logs einzusehen. Die relevanten Zeilen sind mit redirector ... ACCGRANT/ACCDENY gekennzeichnet.

Der Aufbau einer solchen Log-Zeile ist wie folgt:
Mar 5 16:30:23 pebble redirector: [10.1.1.5] ACCGRANT http://www.url.de/

Nach dem Datum und der Uhrzeit folgt der Hostname (pebble; hier irrelevant) und das Wort "redirector". Danach werden protokolliert: IP-Adresse des anfragenden Rechners, Filter-Ergebnis (ACCGRANT: erlaubte Seite, ACCDENY: gesperrte Seite), aufgerufene Web-Adresse.

Da der zur Verfügung stehende Speicherplatz auf der FSB begrenzt ist, wird nur eine begrenzte Anzahl an Logfiles aufgehoben (20 Dateien). Außerdem wird darauf hingewiesen, dass die Logfiles beim Ausschalten der FSB gelöscht werden.

Im Abschnitt 4.2 wurde schon beschrieben, wie man Rechnergruppen bzw. Einzelrechner auf der FSB anlegt. Dort wurde auch gezeigt, wie mit Hilfe des setup-Benutzers der Internetzugang für einzelne Rechner oder Gruppen gesperrt bzw. freigegeben werden kann. In diesem Abschnitt wird nun eine komfortablere Möglichkeit vorgestellt, die zudem auch ohne Kenntnis des setup-Passworts funktioniert (und damit für den Einsatz im Unterricht geeignet ist).

Dazu muss auf dem Lehrer-Rechner das Java-Programm Internetsperre, welches sich auf dem FSB-Stick befindet, installiert werden. Falls noch keine Java-Virtual-Machine (JVM) auf dem Lehrer-Rechner vorhanden ist, kann die JVM mit Hilfe des Installers zusätzlich installiert werden.

Anmerkung: Die aktuelle Version des Programms Internetsperre befindet sich auf der FilterSurf-Homepage. Allerdings gibt ist bei diesem Installer keine JVM enthalten.

Nach der Installation befindet sich ein Symbol "Internetsperre" auf dem Desktop. Starten Sie nun dieses Programm. Es erscheint das Hauptfenster.

Nach dem ersten Start müssen im Menü Verbindung ⇒ Parameter ändern die Verbindungseinstellungen einmalig gesetzt werden.

Tragen Sie hier die gleichen Verbindungsparamter ein, wie Sie sie im Abschnitt 2.4 beim Punkt Verbindung ohne Lan3-Anschluss ermittelt haben. Danach müssen Sie das Passwort des Benutzers netcontrol eingeben. Der Standard-Wert ist hier tuersteher. Natürlich sollten Sie dieses Passwort sofort ändern (vgl. Abschnitt 4.2).

Es erscheinen nun alle von Ihnen festgelegten Gruppen und Einzelrechner in der linken oberen Ecke. Diese sollten nun an benutzerfreundliche Positionen verschoben werden. Aktivieren Sie dazu im Menü Ansicht ⇒ verschieben zulassen und verschieben Sie die Symbole wie gewünscht.

Danach deaktivieren Sie die Einstellung Ansicht ⇒ verschieben zulassen wieder, um unbeabsichtigtes Verschieben zu vermeiden. Beenden Sie nun das Programm, um die Verbindungseinstellungen und Positionen zu speichern.

Bei jedem weiteren Start erscheinen alle Symbole an den festgelegten Positionen und es muss nur noch das Passwort des Benutzers netcontrol eingegeben werden. Danach kann der Internet-Zugang für jedes einzelne Symbol separat gesperrt oder freigegeben werden. Folgende intuitive Farbkodierung wurde verwendet: rot bedeutet gesperrt, grün bedeutet freigegeben.

Bitte beachten Sie, dass alle Änderungen erst wirksam werden, wenn Sie Zustand übernehmen ausgewählt haben.

Die folgenden Aussagen treffen in obigen Beispiel zu:

• Der Lehrer-PC im Raum 209 kann surfen.
• Alle anderen Rechner im Raum 209 können nicht surfen.
• Der Lehrer-PC im Raum 109 kann nicht surfen.
• Alle anderen Rechner im Raum 109 können surfen.

Die FSB kann Software-Updates, die Fehler beheben oder neue Funktionen enthalten, automatisch vom FilterSurf-Server herunterladen. Dies wird als AutoUpdate bezeichnet. Im Auslieferungszustand der FSB ist die AutoUpdate-Funktion aktiviert, da wir den Einsatz ausdrücklich empfehlen. Sie können dieses Verhalten jedoch im Menü advanced: Erweiterte Einstellungen jederzeit ändern. Dort besteht auch die Möglichkeit, bereits heruntergeladene Updates einzusehen.

AutoUpdates können derzeit auf Grund der dabei zum Einsatz kommenden Technik nur kleinere Veränderungen an der FSB vornehmen. Größere Veränderungen oder Aktualisierungen des zu Grunde liegenden Linux-Betriebssystems werden damit nicht durchgeführt. Stattdessen bieten wir in solchen Fällen ein vollständiges Abbild des FSB-Betriebssystems zum Download an (sogenannte FSB Revisionen). Dieses kann dann mit Hilfe des FSB-Sticks auf die FSB überspielt werden.

Wenn die Funktion AutoUpdate aktiviert ist, sieht die FSB einmal am Tag auf dem FilterSurf-Server nach, ob es Updates gibt, die noch nicht heruntergeladen wurden. Falls es keine neuen Updates gibt, gibt es nichts zu tun. Andernfalls werden alle verfügbaren Updates nacheinander heruntergeladen und installiert. Um die Integrität der Updates sicherzustellen signieren wir diese mit einem GPG-Schlüssel. Die FSB prüft nach dem Download diese Signatur und fährt nur bei einer gültigen Signatur mit der Installation fort. Durch dieses Vorgehen wird sichergestellt, dass keine gefälschten oder kompromittierten Updates auf die FSB gelangen.

Mit Hilfe des FSB-Sticks sind folgende Aktionen möglich:

• Sichern/Zurückspielen der FSB-Konfigruationsdateien
• Sichern/Zurückspielen von komplett Images der FSB
• Einspielen neuer FSB-Revisionen

Alle Punkte werden hier genauer beschrieben. Bei allen diesen Aktionen muss immer zunächst die FSB mit dem FSB-Stick gebootet werden. Gehen Sie dazu wie folgt vor:

1. Beenden Sie alle eventuell laufenden Konfigurations-Verbindungen zur FSB.
2. Schalten Sie die FSB aus.
3. Stecken Sie den FSB-Stick an eine USB-Buchse der FSB an. Darauf befindet sich ein kleines Linux-System, welches gleich gebootet wird.
4. Überlegen Sie sich vorher, wie Sie mit diesem Linux-System kommunizieren wollen. Sie haben dazu die "üblichen" zwei Möglichkeiten. Entweder Sie stecken eine Tastatur und einen Monitor an, oder Sie schließen an LAN3 einen PC an. Beide Möglichkeiten sind im Abschnitt 2.3 bzw. im Abschnitt 2.4 erklärt.
5. Schalten Sie nun die FSB wieder ein. Das Mini-Linux-System auf dem FSB-Stick wird gebootet. Dieser Vorgang dauert ca. 3 Minuten. Sofern Sie keinen Monitor angesteckt haben, erkennen Sie an der charakteristischen Tonfolge (dreimal kurzes tiefes Piepen, einmal langes hohes Piepen), dass das Mini-Linux auf dem FSB-Stick fertig gebootet hat.
6. Loggen Sie sich als User root mit dem Passwort root ein (ohne Tastatur/Monitor verwenden Sie PuTTY, wie in Abschnitt 2.4 erklärt) und geben Sie menu ein. Es erscheint ein Menü, von dem aus alle Aktionen erreichbar sind.

Die Konfigurationsdateien mit allen getroffenen Einstellungen können auf den Stick gespeichert werden. Dies ist in mehreren Situationen sinnvoll: Zum einen können Sie eine funktionierende Konfiguration so bequem sichern, zum anderen können Sie eine gesicherte Konfiguration nach einem Revisions-Update (vgl. unten) wieder zurückspielen.

Größere Updates, wie etwa Austausch des Linux-Betriebssystems (neuer Kernel), die nicht über die AutoUpdate-Funktion (vgl. Abschnitt 5.4) erfolgen, sind als Revisions-Updates unter www.filtersurf.de verfügbar. Dabei handelt es sich um komplett-Images der FSB. Da beim Aufspielen einer neuen Revision die komplette FSB überschrieben wird, werden insbesondere auch Ihre individuellen Einstellungen überschrieben. Daher müssen die Konfigurationsdateien vorher auf den FSB-Stick gesichert werden (vgl. oben).

Um eine neue Revision auf die FSB zu spielen, also eine Revisions-Update vorzunehmen, gehen Sie wie folgt vor:

1. Laden Sie sich das neue FSB-Revisions-Image (z. B. fsb-rev1.dd.bz2) von www.filtersurf.de auf den Stick.
2. Booten Sie wie oben beschrieben die FSB mit dem FSB-Stick.
3. Sichern Sie die FSB-Konfigurationsdateien mit allen Ihren Einstellungen auf den FSB-Stick (vgl. oben). Zusätzlich empfiehlt sich eine Komplett-Sicherung (vgl. unten).
4. Wählen Sie im Menü den Punkt update: FSB installieren oder Update einspielen. Daraufhin werden Ihnen alle auf dem Stick befindlichen FSB-Revisionen gezeigt. Spielen Sie die neue Revision auf die FSB.
5. Stellen Sie nun die FSB-Konfigurationsdateien wieder her.

Der FSB-Stick bietet Ihnen auch die Möglichkeit die komplette FSB in einem Image auf den FSB-Stick zu sichern.

Ein komplettes Images benötigt typischerweise knapp 40 MB. Mit einem Komplett-Image ist es möglich, die FSB zu jedem späteren Zeitpunkt auf genau den gesicherten Zustand zurückzusetzen. Wir empfehlen daher eine solche Komplett-Sicherung vor jedem Revisionsupdate.