[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Einsatz von Filtersoftware ueber Proxy?



Hallo,


On Wed, May 24, 2000 at 11:14:12AM +0200, hwirtz _at__ stadtdo.de wrote:
> wie spaetestens seit der letzten Inetbib Tagung bekannt sein duerfte,
> sollten Bibliotheken, die Kunden unter achtzehn Jahren Zugang zu
> oeffentlichen Internet PCs gewaehren, aus rechtlichen Gruenden eine
> Filtersoftware einsetzen.
> In unserem Hause stehen in Kuerze 17 oeffentliche Internet-PCs bereit.
> Daher wird nach einer praktikablen Filter-Loesung im Netzbetrieb gesucht.
> 
> Gibt es in dieser Liste Teilnehmer, die eine Filtersoftware ueber Firewall
> oder Proxyserver laufen lassen???? Entsprechende Erfahrungen interessieren
> uns sehr.

an der USB K"oln (in Zusammenarbeit mit der ZBMED) experimentieren wir seit
einiger Zeit mit einem authentifizierenden und filternden Proxy f"ur unsere
Internetarbeitspl"atze der Studenten und Besucher. Bevor dieser jedoch
praktisch zum Einsatz kommt, sind aber sicherlich noch administrative und
rechtliche Unklarheiten zu beseitigen. Dennoch ist er technisch schon
(ann"ahernd) voll funktionsf"ahig.

Unsere L"osung basiert auf Squid, einem freien und hochkonfigurierbaren
Web-Proxy, der auf einem Linux-Server l"auft. Da die Sourcen frei verf"ugbar
sind, sollte einem Betrieb unter einem anderen Unix, z.B. Solaris, jedoch
nichts im Wege stehen. Squid zeichnet sich auch dadurch aus, da"s man
verschiedene Squid-Server zum gegenseitigen Lookup miteinander koppeln kann.

F"ur die Authentifizierung und Filterung k"onnen im Squid zwei externe
Programme unter den Direktiven authenticate_program bzw. redirect_program
genannt werden.

Das authenticate_program f"uhrt bzgl. der beim Benutzer eingeforderten
Informationen zu Benutzernamen und Passwort die Authentifizierung durch. In
der derzeitigen Fassung verwenden wir ein selbstgeschriebenes Programm, das
"uber SLNP eine Anfrage an unsere SISIS-Datenbank stellt um dort die zum
Benutzer geh"orige OpacPin zwecks Vergleichs mit dem vom Benutzer
eingegebenen Passwort zu ermitteln.

Nach erfolgreicher Authentifikation tauchen alle angeforderten Webseiten des
Nutzers ihm zuordbar in den Log-Files des Squid auf. F"ur den Umgang mit
diesen Daten mu"s eine rechtliche Absicherung erfolgen. Auf der einen Seite
m"ussen personenbezogene Daten f"ur eine etwaige Strafverfolgung vorgehalten
werden, auf der anderen Seite sieht das Datenschutzgesetz eine
Maximalzeitspanne f"ur die Lagerung vor. Nach dieser Zeitspanne k"onnte man
die Daten anonymisieren und nur noch f"ur statistische Auswertungen
verwenden. Sollen auch Zugriffe der Mitarbeiter "uber diesen Proxy laufen,
dann mu"s auf jeden Fall vorher der Personalrat diezbzgl konsultiert werden.
Da ich kein Jurist bin, kann ich mich hierzu jedoch nicht weitergehend
"au"sern. Vielleicht wei"s ja jemand hier mehr zu diesem Problemkreis.

Da http als Protokoll stateless ist - zumindest in den Versionen, die
"ublicherweise eingesetzt werden - besteht bei der Authentifizierung
prinzipbedingt ein Problem mit der Abmeldung. Hierzu haben wir bereits
einige Ideen, die aber noch ausgetestet werden m"ussen.

Soweit zur Authentifikation. F"ur die Filterfunktion verwenden wir das freie
Programm squidGuard (www.squidguard.org) als redirect_program f"ur squid.
Der Filter wird also "uber einen Redirect realisiert. Dabei geschieht die
Einordnung einer jeden aufgerufenen Webseite in verschiedene Gruppen
aufrufender Rechner und Evaluierung entsprechend vorgegebener Listen. Falls
die entsprechende Webseite als "fragw"urdig"' entsprechend der Listen
identifiziert wurde, wird ein weiterer Redirect mittels eines externen
Programms blockiert.pl auf eine Informationsseite f"ur den Benutzer
durchgef"uhrt. Als Listen sind Domain-, URL- und RegExp-Listen m"oglich, die
von verschiedenen Stellen im Internet aktualisiert und bereitgestellt
werden.

Theretisch ist mit squidGuard auch eine Filterung entsprechend aufrufender
Benutzer, und nicht nur anhand aufrufender Rechner, einstellbar. Leider wird
zur Benutzeridentifizierung jedoch nicht der entsprechend dem
Authentifizierungsprogramm bereits evaluierte Name verwendet. Stattdessen
wird ein Ident-Lookup gemacht. Da dieser nicht bei allen Klienten m"oglich
ist, kann eine personenbezogenene Filterung derzeit mit squidGuard nicht
vorgenommen werden. Es ist also momentan nur eine Filterung entsprechend
aufrufender Rechner m"oglich. Da der Source-Code von squidGuard frei
erh"altlich ist, sollte sich dieses Problem jedoch irgendwann einmal l"osen
lassen.

F"ur die statistische Auswertung der Log-Files von Squid sind eine Vielzahl
frei erh"altlicher Programme vorhanden. Es ist auch problemlos m"oglich, die
Auswertung durch ein selbstgeschriebenes Programm anzufertigen.

Die komplette L"osung besteht somit aus freien und kostenlosen Programmen,
ist - auch durch die Verwendung von Linux als darunterliegendem System -
sehr stabil und braucht sich IMHO hinter kommerziellen Alternativen
sicherlich nicht zu verstecken.

Dennoch sei hier auch nicht verschwiegen, da"s eine abschlie"sende Bewertung
nat"urlich erst im Echtbetrieb getroffen werden kann.

Gru"s

Oliver

-- 
Oliver Flimm                                E-mail: flimm _at__ ub.uni-koeln.de
Computing Department                        Voice : +492214703330 (Room 303)
Central Library (USB)                       Adress: Universitaetsstr. 33
University of Cologne, Germany                      D-50931 Koeln


Listeninformationen unter http://www.inetbib.de.