Internet Access Control

Allgemein

Das Veyon Internet Access Control Add-on ermöglicht die Sperrung des Internetzugangs für die gesamte Klasse oder einzelne Computer in Situationen wie Prüfungen. Der Internetzugang wird clientseitig über die von den verschiedenen Backends bereitgestellten Mechanismen blockiert.

Initiale Einrichtung

Zunächst muss das Veyon Add-ons Paket installiert werden. Stellen Sie sicher, dass Sie die Version herunterladen und installieren, die Ihrer Veyon-Installation entspricht, d.h. Veyon 4.9.1 erfordert Veyon Add-ons 4.9.1, während Sie für Veyon 4.8.3 die Version 4.8.3 der Add-ons installieren müssen. Bitte lesen Sie Bereitstellung für weitere Informationen.

Nachdem die Installation abgeschlossen ist, sehen Sie einige neue Konfigurationsseiten im Veyon Configurator Programm. Eine davon heißt Internetzugriffskontrolle und erlaubt es, das Add-on einzurichten:

Konfigurationsseite der Internetzugriffssteuerung

In den meisten Fällen können Sie die Standardeinstellungen beibehalten und mit der Verteilung des Add-ons auf den Schülercomputern fortfahren.

Wichtig

Wenn Sie Änderungen an der Konfiguration vornehmen, denken Sie daran, dass Sie die aktualisierte Konfiguration immer auf die Schülercomputer übertragen müssen! Nur die clientseitigen Einstellungen wirken sich darauf aus, wie der Internetzugang auf den Clients blockiert wird.

Jetzt können Sie Veyon Master starten und auf die Schaltfläche Internetzugriff klicken, um das Menü mit den Einträgen Internetzugriff sperren und Internetzugriff freigeben zu öffnen. Nach der Aktivierung des Eintrags Internetzugriff sperren sollten die Benutzer auf dem/den ausgewählten Computer(n) nicht mehr in der Lage sein, eine Website im Internet zu öffnen. Sollte dies dennoch der Fall sein, überprüfen Sie bitte die Einstellungen und probieren Sie eventuell einen anderen Blockierungsmodus oder ein anderes Backend aus.

Backends

Derzeit gibt es zwei Backends, die unterschiedliche Mechanismen zur Sperrung des Internetzugriffs bieten. Beide Backends werden in den folgenden Unterabschnitten beschrieben.

Internetzugriff über Systemfirewall sperren

Dies ist das Standard-Backend, das bevorzugt verwendet werden sollte, da es die meiste Flexibilität bietet und am zuverlässigsten funktioniert. Wenn dieses Backend eingesetzt wird, nimmt der Veyon-Dienst zur Sperrung des Internetzugriffs Änderungen an der Systemfirewall vor. Hierbei gibt es plattformspezifische Unterschiede:

Windows

Veyon steuert die integrierte Windows-Firewall und nimmt temporäre Änderungen an deren Konfiguration vor. Dies bedeutet, dass die Windows-Firewall zwingend aktiviert sein muss. Außerdem dürfen Änderungen an der Konfiguration der Windows Firewall nicht durch Gruppenrichtlinien unterbunden sein.

Linux

Veyon arbeitet auf der Grundlage von nftables und ruft das zugehörige Kommandozeilentool nft auf. Hierüber werden temporär zusätzliche Regeln hinzugefügt, um den Internetzugriff zu blockieren.

Für beide Betriebssysteme ist die Backend-Konfiguration identisch. Grundsätzlich sind verschiedene Modi verfügbar. Die Auswahl des Modus hängt von der Netzwerkumgebung und dem gewünschten Blockierverhalten ab.

Allen ausgehenden Verkehr für TCP- und UDP-Ports blockieren

Dies ist der Standardmodus und sollte in den meisten Umgebungen funktionieren. In diesem Modus fügt der Veyon-Dienst der Firewall spezielle Regeln hinzu, die jeglichen Verkehr zu den konfigurierten Ports blockieren. Verwenden Sie diesen Modus, wenn das Blockieren der TCP- und UDP-Ports 80/443 und eines oder mehrerer benutzerdefinierter Ports (durch Leerzeichen getrennt) ausreicht. Um den gesamten Datenverkehr zu blockieren, verwenden Sie den zweiten Modus.

Allen ausgehenden Verkehr für nicht-lokale Subnetze blockieren

In diesem Modus wird der gesamte Netzwerkverkehr, der an Netzwerke außerhalb der lokalen Subnetze gerichtet ist, blockiert. Unter Windows ändert der Veyon Dienst temporär die Konfiguration aller Firewall-Profile (Domäne, privat, öffentlich) auf „Ausgehende Verbindungen, für die es keine Regel gibt, werden blockiert“. Wenn Ausnahmen konfiguriert werden, werden entsprechende Regeln ergänzt, um den Zugriff auf diese Netzwerke, Hosts oder Ports zuzulassen. Dies kann genutzt werden, um z.B. den Zugriff auf das Intranet und andere intern gehostete Plattformen beizubehalten. Auch externe Websiten können hier u.U. als Ausnahmen definiert werden, allerdings müssen dann auch die Adressen sämtlicher Server/CDNs angegeben werden, von denen die Website Ressourcen nachlädt.

Verkehr zu (z.B. Proxy- oder DNS-) Servern blockieren

Wenn die Schülercomputer über einen Proxy-Server auf das Internet zugreifen, können Sie diese Option wählen. Es wird dann eine Firewall-Regel hinzugefügt, die einfach den gesamten Verkehr zur Proxy-Adresse blockiert. Alternativ kann auch der Zugriff auf bestimmte DNS-Server blockiert werden, was allerdings in den meisten Fällen zu Problemen beim Zugriff auf interne Ressourcen wie Netzlaufwerke usw. führt.

Vorkonfigurierte Firewall-Regel aktivieren

Wenn die drei oben genannten Modi für Ihr Netzwerk nicht geeignet sind, können Sie auch eine eigene benutzerdefinierte Regel in der Windows-Firewall konfigurieren. Diese Regel sollte standardmäßig deaktiviert sein. Der Veyon Service aktiviert diese Regel, wenn der Internetzugang blockiert werden soll. Unter Linux ruft der Veyon Service nft auf, um die nftables Regeln aus der Datei /etc/veyon/iac/firewall/rules.d/<RULENAME> zu laden. Sie können beliebige nftables-Regeln in dieser Datei definieren.

Internetzugriff durch Modifizierung der Routingtabelle sperren

Wenn das Firewall-Backend nicht verwendet werden kann (z.B. wenn eine Firewall-Software eines Drittanbieters anstelle der Windows-Firewall verwendet wird), können Sie dieses Backend als Ausweichlösung verwenden. Es funktioniert auf sehr einfache Art und Weise, indem es zum Blockieren des Internetzugriffs temporär wahlweise die Standardroute aus der Routingtabelle entfernt und/oder eine benutzerdefinierte (unter Umständen gewollt ungültige) Route hinzufügt. In jedem Fall sollten die Einstellungen sorgfältig vorgenommen werden, so dass der Zugriff auf das interne Netzwerk weiterhin ordnungsgemäß funktioniert. Gerade in größeren segmentierten Netzwerk sollten beide Optionen kombiniert werden, indem einerseits die Standardroute entfernt wird, andererseits eine Route auf das interne Netzwerk hinzugefügt wird.