Sie sind hier: Produkte » Netzdienste » Jugendschutzfilter

Änderungen beim BelWü-Jugendschutzfilter

Wichtige Mitteliung für alle Nutzer des BelWü-Jugendschutzfilters:

Wir stellen den Jugendschutzfilter von einer bisher Proxy-basierten Lösung auf eine DNS-basierte Lösung um. Dies erfordert auf Schulseite einige Anpassungen.

Erfolderliche Änderungen an Ihrer Konfiguration:

Achtung: Gilt nicht für Schulverwaltungen, diese brauchen weiterhin den Proxy (ohne Filter), um ins öffentliche Internet zu kommen

  • Bisherigen Proxy entfernen:

    Der bisher eingetragene Proxy "wwwproxy.belwue.de Port:8080"
    muss aus Ihrer Konfiguration entfernt werden. In den meisten Fällen wird er in einem lokalen Proxy an der Schule als übergeordneter (Forward-, Parent- oder Upstream-) Proxy eingetragen sein, diese Einstellung sollte entfernt werden und von nun an der lokale Proxy direkt ins Internet gehen.

    Falls kein lokaler Proxy vorhanden ist, sondern der BelWü-Proxy direkt in den Browsereinstellungen eingetragen wurde, sollte er dort entfernt werden. Falls bisher eine Sperrung der Ports 80 und 443 auf dem Router für Ihre Schule eingerichtet war, sollten Sie diese durch unsere Schulhotline (anschluss(at)belwue.de, 0711/685-88020) entfernen lassen.

  • DNS-Server des Jugendschutzfilters eintragen:

    Der DNS-Server des Jugendschutzfilters ist:

    • 129.143.4.3

    (Falls Ihr Anschluß IPv6-fähig ist, können Sie auch die folgende IPv6-Adresse verwenden: 2001:7c0::53:3 )

    Auch wenn Sie hier nur eine IP-Adresse sehen, ist das ganze redundand ausgelegt, hinter dieser IP-Adresse verbergen sich über ein ebenfalls redundantes dynamisches Routing-Verfahren mehrere DNS-Server.

    Im Falle eines lokalen Proxies oder Servers mit NAT an der Schule sollte dieser am sinnvollsten im dortigen Proxy/Server als DNS-Server anstelle der bisherigen DNS-Server 129.143.2.4 und 129.143.2.1 eingetragen werden.
    Ansonsten müssen die obigen DNS-Server auf dem DHCP-Server oder schlimmstenfalls auf den einzelnen Geräten anstelle der bisherigen DNS-Server eingetragen werden.


    Um die Verwendung anderer DNS-Server und damit eine Umgehung des Filters zu verhindern, können Sie sich durch unsere Schulhotline anschluss(at)belwue.de, 0711/685-88020) den Zugriff auf Port 53 nach aussen auf den genannten DNS-Server einschränken lassen.

    Für Firefox gilt noch speziell:

    Firefox plant, in zukünftigen Versionen standardmässig "DNS over HTTPs" (DoH) zu aktivieren und als DNS-Server die Server von Cloudflare zu verwenden. Dies würde den Filter aushebeln, daher ist hier folgendes zu tun:

    • Sperren der Cloudflare-Server entweder im lokalen Proxy/Firewall oder durch uns auf dem Router:
      Der Zugriff auf die IP-Adressen 1.0.0.1 und 1.1.1.1 sollte gesperrt werden.
      Wenn Ihr Anschluss IPv6-fähig ist, sollten zusätzlich die IP-Adressen 2606:4700:4700::1001 und 2606:4700:4700::1111 gesperrt werden.

    • Deaktivieren von DoH im Firefox:
      - Geben Sie in der URL-Zeile ein: about:config
      - Suchen Sie nach "network.trr.mode", und setzen Sie diesen Wert auf 5 (Doppelklick auf die Zeile).

  • Wurzelzertifikat des Jugendschutzfilters importieren:

    Wenn gesperrte HTTPS-Seiten auf unsere Sperrseite geleitet werden, kommt es zu Zertifikatswarnungen, was zwar nicht sicherheitskritisch aber lästig ist. Dies kann durch Importieren des Wurzelzertifikats des Jugendschutzfilters verhindert werden.

Übergangsfrist:

Es wird eine lange Übergangsfrist bis Ende Januar 2019 geben, in der Sie in Ruhe umstellen können. Während dieser Zeit läuft der bisherige Proxy wie bisher weiter

Vorteile:

Die DNS-basierte Umsetzung des Jugendschutzfilters bringt viele Vorteile mit sich, die uns zum Umstellen bewogen haben:
  • Die längst überfällige Filterung von HTTPS-URLs ist endlich möglich. Insbesondere im Zuge der massenhaften Umstellung von Seiten im Zuge der DSGVO ist dies zusätzlich drängend.
  • Es findet (im Gegensatz zu einer Proxy-Lösung) keine Entschlüsselung zum Zweck der Filterung von HTTPS-Zugriffen statt und es muss somit auch nicht mit einem gefälschten Zertifikat neu verschlüsselt werden. Dies ist ein Gewinn an Sicherheit und an Performance
  • Kein "Flaschenhals" mehr durch den Proxy oder den VPN-Tunnel, die trotz hoher Bandbreiten Ihrer Anbindung Ihren Internetzugang ausbremsen können
  • Es sollten keine Probleme mehr mit Google Captcha-Anforderungen mehr auftreten (ausser für die Verursacher selbst), da jede Schule mit ihren eigenen IP-Adressen auf Google zugreift
  • Der Google-SafeSearch-Modus, der nur jugendfreie Suchergebnisse bringt, kann nun wieder für alle Schulen aktiviert werden. Ebenso haben wir einen jugendfreien Suchmodus für Bing aktiviert.
  • Es gibt keine Beeinträchtigungen mehr durch Sperrung unserer Proxies durch externe Webhoster
  • Obskure Probleme mit manchen Webseiten und -Anwendungen, die durch Dazwischenschalten eines Proxy nicht mehr richtig oder gar nicht mehr dargestellt werden, fallen weg

Allgemeine Informationen zum neuen Jugendschutzfilter:

Die allgemeine Beschreibung des Jugendschutzfilters und seiner Funktionsweise findet sich hier: Jugendschutzfilter

Nach oben