Changes

Jump to: navigation, search

TrutzBox Handbuch

17,876 bytes removed, 3 years ago
TrutzBox® Filter (altes UI)
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]
<br /><br />
 
=== TrutzBox<sup>®</sup> Filter (altes UI) ===
[[File:20160114 TB UI 5101.png|700x700px|link=]]
 
TrutzBox<sup>®</sup> Filter Funktionen werden aufgerufen, indem man z.B. von der "TrutzBox<sup>®</sup> Übersicht" Seite aus im Navigationsmenü am linken Rand den Menüpunkt TrutzBox<sup>®</sup> Filter anklickt, um danach einen der Untermenüpunkte
* Status
* Benutzer-Konfigurieren
* Benutzergruppen
* Filterlisten
* TrutzBrowse
auszuwählen.
<br><br>
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]
==== Status ====
 
Die TrutzBox bietet dem Administrator umfangreiche Funktionen zur Kontrolle der Internet-Kommunikation von Browser und sonstigen Apps. Der Menüpunkt TrutzBox Filter -> Status listet die Kommunikation für das gerade verwendete Gerät auf. Über weitere Tabs kann hier auch die Kommunikation der anderen Geräte abgerufen werden.<br><br>
 
[[File:05 03 01 Symbole erklären 030.png|700x700px|link=]]
<br><br>
Durch Anklicken des blauen Funktionsmenüs [[File:blaue Schieber.png|15x15px|link=]] neben der Uhrzeit wird ein Menü aktiviert, womit der Security-Slider-Level dieses Links geändert werden kann. Das ist vor allem für Nicht-Browser Apps, die keinen Security-Slider anzeigen können, nützlich. <br>
Die jeweils farblich gekennzeichneten Ziffern zeigen die für diesen Aufruf gesetzte Slider-Position, somit den Security-Level.<br>
Die Symbole links neben der Slider-Stellung [[File:WAarV.png|15x15px|link=]] (1) , [[File:SAgD.png|15x15px|link=]] (2) , [[File:HDV.png|15x15px|link=]] und [[File:WArD.png|15x15px|link=]] (3) zeigen den jeeiligen TrutzBox-Status:
<br>
 
<table width="700" border="1">
<tr>
<td width="30">(1)<br>[[File:WAarV.png|20x20px|link=]]</td>
<td width="110">Weißes<br>Ausrufezeichen<br>auf rotem<br>Quadrat</td>
<td width="560">Bei diesem Aufruf wurden Tracker gefunden und gestoppt.</td>
</tr>
<tr>
<td>(2)<br>[[File:SAgD.png|20x20px|link=]]</td>
<td>Schwarzes<br>Ausrufezeichen<br>auf gelbem<br>Dreieick</td>
<td>Bei diesem Aufruf wurde die TrutzBox umgangen. Nach Klick auf den Link rechts neben dem Symbol wird angezeigt: "SecSlider auf Position 10. Kein https-Filtering durchgeführt".</td>
</tr>
<tr>
<td>[[File:HDV.png|20x20px|link=]]</td>
<td>Halbes<br>Einfahrts-<br>verbots-<br>zeichen</td>
<td>TrutzContent kam zum Einsatz, d.h. eine Seite sollte aufgerufen werden, die durch TrutzContent gesperrt wurde.</td>
</tr>
<tr>
<td>(3)<br>[[File:WArD.png|20x20px|link=]]</td>
<td>Weißes<br>Ausrufezeichen<br>auf rotem<br>Dreieck</td>
<td>Die TrutzBox hat ein internes Problem beim Analysieren der Netzwerk-Verbindung zum Endgerät, zu einem Programm auf dem Endgerät (Client) oder zu einem Server erkannt. Nach Klick auf den Link rechts neben dem Symbol wird angezeigt, warum die Verbindung nicht aufgebaut werden konnte. </td>
</tr>
</table>
<br><br>
Hier beispielhaft zwei Ursachen für [[File:WArD.png|15x15px|link=]]:
 
Fall 3a - „CONNECT“: folgende oder ähnliche Erklärung wird angezeigt "CONNECT request without any subsequent Requests. This might indicate that the client application refused to connect through proxy“.
Eine solche Fehlermeldung wird von einem http-Connect Befehl verursacht. Mit einem http-Connect Befehl möchte ein Client an der TrutzBox vorbei eine Verbindung zum Server aufbauen (tunneln).(https://en.wikipedia.org/wiki/HTTP_tunnel#HTTP_CONNECT_tunneling). Da danach aber keine weiteren http-Requests zu diesem Server folgen, wird diese Message generiert. I.d.R. wollte der Client damit lediglich prüfen, ob sich zwischen ihm und dem Server ein Proxy (in diesem Fall die TrutzBox) befindet.
 
Fall 3b - „ERROR": folgende oder ähnliche Erklärung wird angezeigt: "Error: 3074291456:error:14094418:SSL routines:ssl3_read_bytes:tlsv1 alert unknown ca:../deps/openssl/openssl/ssl/s3_pkt.c:1472:SSL alert number 48 3074291456:error:140940E5:SSL routines:ssl3_read_bytes:ssl handshake failure:../deps/openssl/openssl/ssl/s3_pkt.c:1210:“
Eine solche Fehlermeldung wird generiert, wenn die TrutzBox ein internes Problem beim Verbindungsaufbau hat (in diesem Fall ein Problem in der SSL-Bibliothek).
 
Weitere Fälle können vorkommen.
 
I.d.R. wird eine solche Fehlermeldung von einer Client-Anwendung (App) und nicht von einem Browser generiert. Möglicherweise hat eine solche Fehlermeldung Einfluss auf das korrekte Funktionieren der Client-Anwendung. Falls Sie der Anwendung erlauben möchten, mit diesem Server Kontakt aufzunehmen, bitte durch Anklicken des blauen Funktionsmenüs [[File:blaue Schieber.png|15x15px|link=]], dort unter „Slider Einstellung ändern“, diesen Server auf L10 stellen.
<br><br>
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]
 
==== Filter-Konfigurieren ====
Hier werden Geräte konfiguriert, Benutzerrechte verwaltet und der Security-Slider eingerichtet.
<br /><br />
[[File:20170307 TB UI 53212.png|600px|link=]]
 
<br /><br />
Im Bedarfsfall wird hier das Root Zertifikat (für Browser- oder E-Mail-Nutzung)durch Klicken auf "Root Zertifikat herunterladen" auf das physisch genutzte Gerät (hier: Elitebook) heruntergeladen.
<br />
Setzen Sie einen Haken beim Schalter „Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten”, so wird für Anwendungen [Applikation)], die eine verschlüsselte Verbindung zu ihrem Server aufbauen möchten, für diesen Server automatisch ein Slider-Eintrag auf L10 (Umgehung des Proxys) gesetzt.
Gesetzt den Fall Sie setzen keinen Haken und eine App(likation) kann eine Verbindung nicht aufbauen, so können Sie für diesen speziellen Fall unter TrutzBox Filter/Status für die relevanten Verbindungen den Security-Slider auf L10 stellen.
 
In dieser Ansicht ist das aktive Gerät (hier: Elitebook) automatisch geöffnet, und es können ihm Benutzergruppen sowie Ausnahmen zugeordnet werden. Hier wird auch für das aktivierte Gerät (blau unterlegt) die Nutzung des Tor-Netzwerks ein- bzw. ausgeschaltet. Über den Menüpunkt „Tor-Netzwerk verwenden“ kann die Pseudonymisierung der IP-Adresse aktiviert werden. Allerdings ist
hierbei zu beachten, dass manche Web-Server bei der Benutzung von Tor zusätzliche Probleme bereiten können.<br />
Um weitere, angezeigte Geräte zu konfigurieren, bitte auf das jeweilige Gerät (Name oder IP-Adresse) klicken und wie oben beschrieben verfahren.<br />
Ist der Button "Unbekannte Nutzer blockieren" nicht abgehakt, gelten die Einstellungen für das Gerät, und eine Benutzeranmeldung ist nicht erforderlich.<br />
Ist der Button "Unbekannte Nutzer blockieren" abgehakt, gelten die Einstellungen für den einzelnen Benutzer, und er muss sich an diesem Gerät mit seiner TrutzMail Adresse und dem dazugehörigen Passwort anmelden (siehe Accounts/Benutzer verwalten).
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br />
Der Administrator ist in der Lage, für angeschlossene Geräte
oder einzelne Nutzer den Browser-Zugriff auf bestimmte Web-Inhalte zu
blockieren, die zuvor unter "Benutzergruppen Konfigurieren" als Blacklist (was soll verboten werden) bzw. Whitelist (was soll als Ausnahme erlaubt werden) übernommen oder definiert wurde. Damit können Eltern ungeeignete Inhalte für Kinder oder Jugendliche sperren. So ist es auch möglich, den Zugriff von Smart Devices, die selbst keinen Internet-Browser haben (Haushaltsgeräte, Uhren, Fitness-Armbänder...), auf vordefinierten Web-Adressen (Domains oder
URLs) einzuschränken.
Ebenso sind für „Smart Home“ Geräte besondere Zugriffsrechte einstellbar. Über den Menüpunkt „Tor
Netzwerk verwenden“ kann die Pseudonymisierung der IP-Adresse aktiviert werden,
indem dieses Gerät bei TrutzBrowse das Tor-Netzwerk verwendet. Allerdings ist
hierbei zu beachten, dass manche Web-Server bei der Benutzung von Tor
zusätzliche Probleme bereiten können.
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br /><br />
[[File:20160114 TB UI 53220.png|600px|link=]]
<br /><br />
Hier wird dem einzelnen Benutzer die für ihn relevante Benutzergruppe zugeordnet.
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br /><br />
[[File:20160114 TB UI 53231.png|600px|link=]]
<br /><br />
Hier sind Default Werte des Security-Sliders eingestellt, die der Administrator bedarfsgerecht anpasssen kann.
Hier können auch Host-Namen verwaltet werden, die nicht über den Browser aufgerufen werden können (z.B. TV-Gerät).
<br /><br />
Comidio liefert für einige oft genutzte Web-Server Standard Slider-Stellungen aus, die mit dem Symbol (weißes "i" auf schwarzer Kreisfläche) gekennzeichnet sind [Wer: "default"]. Diese können zwar nicht gelöscht werden, aber der TrutzBox Administrator kann den von Comidio vorgegebenen Security-Level auf seine Bedürfnisse anpassen. Durch "Add" können eigene Slider-Stellungen für Hosts eingetragen und mit "X" auch wieder gelöscht werden [Wer: "admin add"].
<br />
Durch einen „*“ im Hostnamen können alle URLs, die mit dem Namen rechts neben dem „*“ enden angesprochen werden. Falls der Proxy eine URL findet, die in dieser Liste mehrmals eingetragen ist, wird der Security-Level des längsten Eintrags verwendet.
Wenn die Option „Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten” im Menü “Filter-Konfigurieren” aktiviert ist, trägt hier der TrutzBox Proxy automatisch eine Freischaltung von Servern ein, die eine Client-Anwendung verschlüsselt zu diesem Server aufbauen wollte [Wer: "auto"].
Es gibt somit vier Möglichkeiten, wie ein Security-Slider Eintrag in diese zentrale Datenbank gelangt. Alle Benutzer und Geräte nutzen diese Datenbank:
#Standard-Einstellung von Comidio, diese können vom Benutzer geändert, aber nicht komplett gelöscht werden [Wer: "default" bzw. "admin change"].
#Eine Slider-Einstellung eines Benutzers durch den Securtiy-Slider im Browser hat statt gefunden [Wer: "slider"].
#Neuen Eintrag hier in dieser Maske. Hier können auch unqualifizierte Einträge „*.domain.com“ vorgenommen werden, allerdings nur auf der linken Seite des Domain-Namens [Wer: "admin add"].
#Die TrutzBox erkennt einen SSL-Fehler und das Flag „Falls SSL-Fehler auftreten, Filtering für angesteuerte Domain automatisch ausschalten” ist aktiviert. Dieser Eintrag findet allerdings nur statt, falls es dazu noch keinen Eintrag durch den Benutzer gibt. Also keinen Eintrag von Fall 2 oder Fall 3 [Wer: "auto"].
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br /><br />
 
==== Benutzergruppen konfigurieren ====
Der Administrator ist in der Lage, für angeschlossene Geräte
oder einzelne Nutzer den Browser-Zugriff auf bestimmte Web-Inhalte zu
blockieren. Damit können Eltern ungeeignete Inhalte für Kinder oder Jugendliche
sperren. So ist es auch möglich, den Zugriff von Smart Devices, die selbst keinen Internet-Browser haben (Haushaltsgeräte,
Uhren, Fitness-Armbänder...), auf vordefinierten Web-Adressen (Domains oder URLs) einzuschränken.
 
[[File:20160114 TB UI 53300.png|700px|link=]]
<br />
Im Menü "Benutzer-Konfigurieren" werden vorhandene Benutzergruppen verwaltet, neue angelegt und Filterlisten den Benutzergruppen zugeordnet.
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br />
 
==== Filterlisten ====
Unter dem Menüpunkt TrutzBox<sup>®</sup> Filterlisten -> Trutz Filter verwalten kann
der TrutzBox<sup>®</sup> Administrator Filterlisten, die Internet-Domains oder
Internet-URLs beinhalten, verwalten. Comidio liefert dazu ca. 110 Filterlisten,
die 55 unterschiedliche Internet-Themengebiete beinhalten, aus. Diese
Filterlisten werden von Comidio gepflegt, und die Updates werden in kurzen
Zeitabständen auf die TrutzBoxen überspielt. Der Administrator ist mit diesem
Menüpunkt in der Lage, diese von Comidio ausgelieferten Standardlisten
einzusehen, sie zu durchsuchen und eigene, neue Black- und Whitelisten zu
erstellen.
 
Die von der TrutzBox<sup>®</sup> verwalteten
Filterlisten finden sowohl bei TrutzBrowse (Pseudonymisierung und Tracker-Blockierung) als auch bei TrutzContent (Schutz vor ungeeigneten Webseiten) Verwendung:
 
[[File:20160114 TB UI 53400.png|700px|link=]]
<br />
In diesem TrutzBox<sup>®</sup> Menü können neue Black- und
Whitelisten angelegt werden (KLick auf "Neue Filter"), die dann sowohl bei TrutzBrowse als auch bei
TrutzContent verwendet werden können. Dazu muss eine neu angelegte Black- oder
Whiteliste allerdings zunächst unter TrutzContent
oder TrutzBrowse entsprechend aktiviert werden. Bei einem automatischen
Systemupdate durch Comidio werden nur Standard-TrutzBox Black- und Whitelisten
angepasst. Die vom Administrator angelegten und verwalteten Listen werden dadurch nicht verändert.
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br />
 
==== TrutzBrowse ====
Mit der TrutzBox<sup>®</sup> kann der TrutzBox<sup>®</sup>-Administrator
jedes internetfähige Gerät oder einen einzelnen Internet-Nutzer, individuell
konfigurieren. Des Weiteren kann unter dem TrutzBox<sup>®</sup> Filter-Menü
(TrutzBox Filter/Filter-Konfigurieren) auch die Security-Slider
Einstellung für jede Position angepasst werden.
Sämtliche Einstellungen wirken sich auf alle Geräte und Benutzer der TrutzBox<sup>®</sup> aus. Es ist nicht möglich TrutzBrowse
Einstellungen pro Benutzer oder Gerät unterschiedlich zu konfigurieren. Es ist lediglich möglich, für eine Webseite die TrutzBrowse Filter zu variieren indem der Anwender für diese Webseite den Security-Slider
wie gewünscht verstellt. Diese Einstellung für eine Webseite wird gespeichert und wirkt sich auf alle TrutzBox Anwender aus.
<br />
Für jede Position des Security-Sliders kann durch „Aufklappen“ des „+“-Symbols, die Beschreibung der Slider-Position, die
HTTP-Requests und HTTP-Response-Headers, Cookies und Domain-Blocker-Listen
angepasst werden:
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br /><br />
[[File:20160114 TB UI 53500.png|700px|link=]]
<br />
Comidio hat nach vielen Tests eine Voreinstellung (Default) festgelegt, die allerdings vom Administrator der TrutzBox<sup>®</sup> flexibel für seine Sicherheitsbedürfnisse verändert werden kann.
 
In dieser Voreinstellung gelten folgende 10 Sicherheitsstufen:
<br />
* L1: Alle Filter aktiv
* L2: Fester „Accept-Language“ Wert
* L3:„From“ Wert erlaubt
* L4: Unbekannte Header erlaubt
* L5: 'Accept-Language' Wert erlaubt
* L6: 'User-Agent' Wert erlaubt
* L7: Datentracker erlaubt
* L8: Cookies von fremden Seiten erlaubt
* L9: Reserviert für zukünftige Erweiterungen
* L10: keine Filter aktiv
<br />
Bei der Slider-Stellung L10 wird der TrutzBox<sup>®</sup> Proxy komplett umgangen. Die TrutzBox Schutzfunktion ist ausgeschaltet. Diese Sliderstellung macht Sinn z.B. bei Apps auf Android oder OSX, da diese i.d.R. gegen ein eigenes Zertifikat prüfen. Wenn der Slider auf L10 gestellt ist, und die Webseite neu geladen wird, wird wird kein TrutzBox<sup>®</sup> Slider-Symbol angezeigt, da der Proxy nicht mehr aktiv ist.
<br /><br />
[[File:20160114 TB UI 53520.png|700px|link=]]
<br />
In vier Rubriken können bei Bedarf durch Klick auf "+" die entsprechenden Kriterien individuell angepasst werden.
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br /><br />
[[File:20160114 TB UI 53530.png|700px|link=]]
<br />
Im Menüpunkt "TrutzBox Filter -> TrutzBrowse / Filter-Konfigurieren" kann der Administrator die Security-Slider-Beschreibung für jeden Level anpassen.
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]
<br /><br />
[[File:20160114 TB UI 53540.png|700px|link=]]
<br />
Diese Default Einstellung legt fest, welche HTTP-Request-Header-Daten durchgeleitet oder geblockt werden.
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br /><br />
[[File:20160114 TB UI 53550.png|700px|link=]]
<br />
Diese Default Einstellung legt fest, welche HTTP-Response-Header-Daten durchgeleitet oder geblockt werden.
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br /><br />
[[File:20160114 TB UI 53560.png|700px|link=]]
<br />
Hier können für jede Security-Slider-Stellung erweiterte Einstellungen vorgenommen werden.
<br />
Die per Default eingestellten Header-Filter basieren auf umfangreichen
Comidio Tests. Diese Filter-Werte sind je nach Security-Slider-Stellung ein
Kompromiss zwischen möglichst wenig Einschränkung der Funktionalität
typischer Webseiten einerseits und Schutz der Privatsphäre andererseits.
<br>
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]
<br><br>
 
[[File:20160114 TB UI 53570.png|700px|link=]]
<br />
Unter „Verwendete Filterlisten“ werden die Filterlisten aktiviert, die beim Browsen über die TrutzBox<sup>®</sup> (TrutzBrowse) aktiv sein sollen. Standardmäßig sind keine Filterlisten zu Werbefirmen aktiviert; d.h. TrutzBrowse filtert keine Werbung in den angezeigten Webseiten heraus. Dies kann der TrutzBox<sup>®</sup> Administrator aber an dieser Stelle aktivieren, indem er „adv_domain“ und „adv_url“ durch Haken setzen aktiviert.
<br /><br />
<br />[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]<br /><br />
 
==== Statistiken ====
Die zwei Listen zeigen die Top 100 der am meisten verwendeten (und damit geblockten!) Tracker und die Top 100 Webseiten mit der höchster (und damit geblockten!)Trackeranzahl und zwar seit dem letzten Zurücksetzen. Durch Drücken auf "Zurücksetzen" wird die Statistik auf 0 gesetzt und startet aufs Neue.
<br />
[[File:20160114 TB UI 53600.png|700px|link=]]
<br />
Durch Anklicken eines blauen Pfeils in der 1. Liste werden die Webseiten aufgelistet, auf denen dieser Tracker vertreten sind bzw. durch die TrutzBox geblockt wurden.
Durch Anklicken eines blauen Pfeils in der 2. Liste werden die Tracker aufgelistet, die auf diesen Webseiten gesetzt sind bzw. durch die TrutzBox geblockt wurden.
<br />
[[#top|-> <u>Inhaltsverzeichnis</u> (dieses Handbuchs)]]
<br />
== TrutzBox<sup>®</sup>-Zertifikate, -Anschlussmöglichkeiten und -Netzwerk ==

Navigation menu