Ziel: Snapchat und Umgehungsmethoden (VPNs etc.) blockieren mit Sophos Firewall

🎯 Ziel: Snapchat und Umgehungsmethoden (VPNs etc.) blockieren mit Sophos Firewall

Hier kommt die empfohlene Vorgehensweise, Schritt für Schritt:

✅ 1. Application Control aktivieren

Snapchat ist in der Sophos App Control enthalten.

📌 Schritte:

1. Gehe zu: Protect > Application Control
2. Erstelle oder bearbeite ein Profil.
3. Suche nach Snapchat → auf „Blockieren“ setzen
4. Zusätzlich blockieren:
   • „Proxies & VPNs“
   • „Anonymizer“
   • „Instant Messaging“
5. Profil speichern.

➡️ Weise dieses Profil dann im Firewall-Regelwerk zu (z. B. in deiner „Internet-Regel für Schüler“).

✅ 2. Web-Filter (URL-Kategoriefilterung)

📌 Schritte:

1. Gehe zu: Web > Policies > Web Filter
2. Erstelle ein Profil für Schüler.
3. Setze folgende Kategorien auf Blockieren:
   • „Social Networking“
   • „Instant Messaging“
   • „Anonymizers“
   • „Proxy Avoidance“
   • „VPN Services“
4. Speichere und weise das Profil zu.

✅ 3. Benutzerdefinierte Domains blockieren (Web > URL Groups)

Erstelle eine URL-Gruppe mit den folgenden Einträgen:

📌 Schritte:

1. Gehe zu: Web > URL Groups → Neue Gruppe: „Block_Snapchat“
2. Füge die Domains oben hinzu.
3. Im Web-Filterprofil: Setze Gruppe auf blockieren

✅ 4. DNS-Filter aktivieren (Web > DNS Policy)

Blockiere alle nicht erlaubten DNS-Dienste, um z. B. DoH (DNS-over-HTTPS) zu verhindern.

📌 Schritte:

1. Gehe zu: Web > DNS Policies
2. Blockiere:
   • dns.google
   • cloudflare-dns.com
   • mozilla.cloudflare-dns.com
3. Erzwinge, dass nur euer eigener DNS (z. B. der von Sophos) verwendet wird.

✅ 5. VPN & Umgehungsmethoden erkennen und sperren

In der Application Control:

• Blockiere zusätzlich:
  • OpenVPN
  • WireGuard
  • AnyConnect
  • ProtonVPN
  • NordVPN
  • Tor

Optional:

• Unter Web > Categories → „Technology“ → VPN-Webseiten blockieren

🔐 6. SSL-Inspection aktivieren (optional, empfohlen)

Snapchat nutzt HTTPS – um die App-Kommunikation vollständig zu erkennen/blockieren, ist SSL-Decryption (MITM) nötig.

Voraussetzungen:

• Du brauchst ein gültiges interne Root-Zertifikat
• Dieses muss auf allen Schülergeräten installiert sein

Dann:

1. Gehe zu: Web > SSL/TLS Inspection Rules
2. Aktiviere „Decrypt & Scan HTTPS“ für Schülerregel
3. Erlaube Ausnahmen für vertrauenswürdige Seiten (Whitelist)

✅ Beispiel-Strategie (übersichtlich)

Klar! Hier kommt ein konkreter Regelsatz für deine Sophos XG/XGS Firewall, um Snapchat + VPNs effektiv zu blockieren – ideal für ein Schulnetzwerk mit verwalteten Schülergeräten (z. B. Tablets, Laptops per MDM).

📋 Voraussetzungen

• Sophos Firmware v18.x oder v19.x (kompatibel)
• Schülernetz hat eine eigene Netzwerkregel (z. B. VLAN oder IP-Range)
• Du nutzt Web Filtering, Application Control und ggf. SSL Inspection
• Schülergeräte nutzen eure DNS-Infrastruktur (keine eigenen DNS-Apps)

🔧 REGELSATZ: „Schüler – Social Media & VPN blockieren“

🔹 Firewall-Regel

Unter Rules and Policies > Firewall Rules:

🔹 Application Control Regel

Unter Protect > Application Control → Neue Regel:

| Name | Block_Snapchat_VPN |
| Blockierte Apps |
✅ Snapchat
✅ Snapchat Video
✅ Snap Ads
✅ OpenVPN
✅ WireGuard
✅ NordVPN
✅ ProtonVPN
✅ Tor
✅ Psiphon
✅ Hotspot Shield
✅ AnyConnect
✅ TeamViewer (wenn auch problematisch)

🔹 Web-Filter-Profil

Unter Web > Policies → Neue Webfilter-Regel: Schüler_Webfilter

➡️ Füge unter „Custom URL Groups“ deine Snapchat-Blockliste ein.

🔹 Benutzerdefinierte URL-Gruppe

Unter Web > URL Groups → Neue Gruppe: Block_Snapchat_Domains

Dann im Webfilter bei „Custom Category Action“: → Blockieren

🔹 SSL Inspection Regel (optional, empfohlen)

Nur wenn dein CA-Zertifikat auf allen Schülergeräten installiert ist.

Unter Rules and Policies > SSL/TLS Inspection Rules:

| Name | Schüler_SSL_Inspection |
| Quelle | Schülernetz |
| Ziel | Any |
| Dienste | HTTPS, SSL, QUIC |
| Aktion | Decrypt & Scan |

🔹 DNS Enforcement (DoH blockieren)

In DNS Policies oder Webfilter:

• Blockiere diese Domains:

dns.google
cloudflare-dns.com
mozilla.cloudflare-dns.com

Oder: Erlaube nur eure internen DNS-Server → alle anderen blockieren/redirecten

✅ Ergebnis

Mit diesem Regelwerk erreichst du:

• Snapchat App-Verkehr wird zuverlässig blockiert
• Schüler können VPNs nicht zur Umgehung nutzen
• HTTPS wird auf Wunsch analysiert (inkl. Snapchat-API)
• DNS-Verschlüsselung & externe Resolver werden verhindert

• 
  Taschenmesser: Kleine Helfer mit großer Praxis24/10/2025
  Warum ein Taschenmesser? Ein gutes Taschenmesser ist mehr als ein Werkzeug — es ist ein praktischer Alltagsbegleiter. Ob beim Camping, beim Basteln, beim Öffnen von Paketen oder als Notfallwerkzeug: ein gut ausgewähltes Taschenmesser spart Zeit und Sorgen.
• 
  Bundesgerichtshof: Handy-Firma darf SIM-Sperre nicht vom Passwort abhängig machen24/10/2025
  Der Bundesgerichtshof (BGH) hat entschieden: Ein Handy-Anbieter darf in seinen Allgemeinen Geschäftsbedingungen (AGB) nicht festlegen, dass Kundinnen und Kunden nur dann ihre SIM-Karte sperren lassen können, wenn sie neben der Telefonnummer auch ihr persönliches Kennwort angeben.
• 
  Wenn Halloween auf die Fasnet trifft – Masken, Mythen & Monster in Süddeutschland23/10/2025
  Es ist ein eigenartiger Zauber, wenn Ende Oktober die Narren in Baden-Württemberg schon mit den Hufen scharren, während Kinder in gruseligen Kostümen durch die Straßen ziehen und „Süßes oder Saures“ rufen. Halloween und die Fasnet – zwei Feste, die auf den ersten Blick nichts miteinander zu tun haben, doch bei genauerem Hinsehen überraschend viele Gemeinsamkeiten teilen. 👻