dorian84
Goto Top

einzelne internetseiten ZULASSEN?!

hallo
also folgendes habe ein netzwerk mit folgender hardware
1 Server 2003 R2
1 Router (Netgear FVS124G)
9 clients vista business

aufgesetzt ist eine domain
druckserver
dhcp
dns
Wsus 3.0
und verwende klarerweise die gruppenrichtlinie
... das wars glaub ich

will nun also nur einzelne seiten wie telefonbuch oder map24 zulassen... das wars sonst absolut nichts mehr!

will somit sicherstellen das ich keine viren oder so reinbekomme...

wie realsier ich das am besten?
thx
mfg

PS: habe zz nur alle aktuellen swupdates auf den clients und server und den router als sicherheit vor einbrüchen... ist es empfehlenswert dennoch einen virenscanner auf jeden clientzu haben?

Content-Key: 69068

Url: https://administrator.de/contentid/69068

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: Connor1980
Connor1980 19.09.2007 um 21:13:02 Uhr
Goto Top
Seiten im Internet zu blocken hält nicht unbedingt Viren ab, die kommen ja sehr häufig als Mailanhang...
Router und Software-Updates als alternative Sicherheit zu Virenscanner? Nicht wirklich! Überhaupt nicht! Du solltest auf jeden Fall auf jedem deiner Systeme einen Virenscanner installiert haben
Zur eigentlichen Frage: eine Möglichkeit wäre ein Proxy mit whitelist und den Proxy über Gruppenrichtlinie zuweisen.
Mitglied: Dorian84
Dorian84 19.09.2007 um 21:31:27 Uhr
Goto Top
naja die mails hätte ich an einem client abgerufen der direkt an dem router angschlossen ist und nicht in der domain aingebunden ist...

was gibts denn da für "günstige" alternativen als virenscanner? normale virenscanner dürfen meist ja nicht verwendet werden weil die ausschließlich für heimgebrauch lizensiert sind und nicht in einer Firma eingesetzt werden dürfen( z.b bei kaspersky wo 3 lizenzen dabei sind für 40€) für die firma kostet der ca 730€ für 2 jahre...

dumme frage...
ist bein server 2003 ein proxy dabei? kompliziert oder zu vergleichen mit dhcp installation und verwaltung?
Mitglied: Connor1980
Connor1980 19.09.2007 um 21:58:01 Uhr
Goto Top
Proxy ist eine Möglichkeit, in der c't gab es mal eine Artikel, wo das ganze noch anders gelöst wurde, über Dateien die in den IE einzubinden sind, aber frag mich bitte nicht nach der c't-Ausgabe ;)
Proxy wäre aber meine erste Wahl: eine Maschine klarmachen, darf durchaus eine ältere sein. Da eine Linux-Distri installieren und Squid-Proxy drauf. Wenn du dich mit dem Thema Linux noch nie befasst hast, vllt. nicht ganz so trivial, aber sollte mit etwas Einarbeitung zu schaffen sein face-smile

Ich bin mir nicht sicher ob der IIS sowas auch kann, aber selbst wenn, würde ich davon die finger lassen und den Proxy physikalisch davon trennen.

Virenscanner gibt es z.B. von Norman, F-Secure, McAfee, Symantec, etc. Mit Norman habe ich bisher sehr gute Erfahrung gemacht, McAffee ist mir zu lahm und Symantec zu ressourcenlastig. Wichtig ist ja auch, dass du einen Virenscanner hast, der auf deinem Serverbetriebssystem läuft.
Mitglied: Dani
Dani 19.09.2007 um 22:19:04 Uhr
Goto Top
Moin!

@Dorian84
Die Lösung deines Problems ist ein Proxyserver. Dabei kannst du auf ISA oder aber wie schon erwähnt Squid zurückgreifen. Der ISA liegt nur bei SBS 2003 Premium dabei. Bei allen anderen Versionen von M$ muss dieses Produkt extra eingekauft werden.
Die Lösung hängt auch ein bisschen von der Netzwerkgröße und der Useranzahl ab. Wir haben hier z.B. 240.000 Entanwender, wir werden nie den Proxy zusammen mit den Fileservern legen. *g* Ich sag mal, wenn du 5-20 User hast und der Server ordentlich bestückt ist, würde ich ihn auf die gleiche Maschine ballern.
Sobald du den Proxy auf eine eigene Maschine installiert, stellt sich die Frage ob über das Internet der Webserver o.ä. erreichbar sein sollte. Dann wiederrum solltest du über ein DMZ System nachdenken. Mehr dazu, wenn es zutrifft! face-smile

Proxy ist am Einfachsten zum konfigurieren. Am Besten du verpasst dem Server 2 Netzwerkkarten. 1. NIC ist mit dem Router verbunden und bilden ein eigenes Netz (10.10.10.0). Die andere NIC stellt die Verbindung ins LAN her (auch eines Netz - 192.168.168.0). Der LAN-Karte keinen GW hinterlegen und als DNS die 127.0.0.1. Bei der anderen Karte als GW den Router (muss natürlich auch noch angepasst werden). Als 1. DNS den Server als 2. DNS den Router.
Somit läuft der Internettraffic über den Server und du brauchst nichts an den Clients umstellen. Sprich du hinterlegst eine Blacklist / Whitelist und schon gilt es für alle!

will somit sicherstellen das ich keine viren oder so reinbekomme...
Ziemlich naiv, so zu denken! Wir können auch durch Popup der zugelassenen Seite kommen.

habe zz nur alle aktuellen swupdates auf den clients und server und den router als
sicherheit
Somit ist mal die bekanntesten und größten Löcher gestopft. *g* Guter Anfang....

ist es empfehlenswert dennoch einen virenscanner auf jeden clientzu haben?
Die Produktplatte ist breit. Ich würde mich für ein Produkt entscheiden, bei dem du einfach den Lizenzmodus abändern / erweitern kannst (z.B. Antivirus für Exchange oder sogar ISA) und die Verwaltung der Clients über eine Managementconsole möglich ist. Ich kann dir nur Sophos empfehlen.... Frisst kaum Ressourcen, ist einfach zu bedienen und mit wenigen Klicks der Console ist das Virenscanner "Safe". Das erweitern ist kein Problem.... Die Produkteplatte findest du auf der Homepage wieder oder du stellst einfach mal an cykes (User hier) eine kl. Anfrage. face-smile

@Connor1980
Ich bin mir nicht sicher ob der IIS sowas auch kann,....
Der IIS ist ein reiner M$ Webserver und hat NULL mit einem Proxy zu tun. aber

....und den Proxy physikalisch davon trennen.
Siehe 1. Absatz oben.


Grüße
Dani
Mitglied: c-webber
c-webber 20.09.2007 um 00:09:07 Uhr
Goto Top
Hab mich schon intensiver mit dem Thema befasst, in dem Umfeld das Du beschrieben hast würde ich dir keinen ISA-Server empfehlen, kannst ja mal nach dem Preis googlen, meines Wissens nach kostet der gut 2000€ !

Ich habe auf mehreren SBS und 2003Std-Servern die Windows-Variante von squid am laufen.

Klappt super, ich habe eine txt-file in die ich alle domains bzw url's reinschreibe, die erlaubt sind.

Und bisher 0 (in Worten 'NULL' face-smile) Probleme.
Und das kostenlos, was gibts besseres ?

Musst nur Anfangs einmal die standard-config durchforschen und alles deinen Ansprüchen genügend einstellen und ab gehts.

Falls Du Probleme mit der config hast, schreib mir einfach ne PM

Ach und Virenscanner auf den Clients ist meiner Meinung nach Pflicht !!!
Solltest Du wirklich keine einsetzen gibts von mir ein dickes 'pfui!' ;)
Schau dir mal die Scanner AVG von Grisoft an, die sind erschwinglich im Preis und leisten mir bisher gute Dienste. Hatte bisher nur einen Fehl-alarm, und das in nun fast 2 Jahren.

Es gibt auch eine kostenlose Version von AVG, den findest Du allerdings nicht auf der HP von grisoft. Einfach mal nach 'AVG free' googlen. Da findest Du was, ist zwar nur in English verfügbar, dafür aber kostenlos.
Mitglied: Dani
Dani 20.09.2007 um 08:04:59 Uhr
Goto Top
Moin!
keinen ISA-Server empfehlen, kannst ja mal nach dem Preis googlen, meines Wissens nach
kostet der gut 2000€
Hmm....ist vllt. der falsche Weg! Im Internet stehen immer nur die offizielle Preise. Wir fordern direkt von M$ immer das Angebot an oder aber über einen Partner. Das kommt auch immer auf das Lizenzmodell drauf an. Da wir z.B. alle Lizenzen über M$ direkt kaufen (eine Art Vertrag), wird das Produkt noch um 25-50% günstiger. Ist zwar dann immer noch ein stolzer Preis, aber wie gesagt kommt auf deine Vorgaben von oben an und welche Funktionen du nutzen möchtest.


Grüße
Dani
Mitglied: Dorian84
Dorian84 20.09.2007 um 10:06:24 Uhr
Goto Top
vielen dank für die zahlreichen und schnellen antworten!

also squid hört sich mal ganz gut an... ist es klüger den proxy auf meinem server laufen zu lassen oder rgendeine alte maschiene mit win xp?( bin noch eher unbeholfen in linux und das internet sollte bald laufen) und zwei nics und ab geht die post? oder steigt dann die gefahr von angrifefn oder so? alte rechner haben wir genügend, dh daran solls nicht scheitern! aber den hardwarerouter von netgear lass ich aber dennoch noch voll laufen oder?

wegen den virusscanner hab ich mir nun den "AVG Internet Security SBS Edition" angesehn... meintest du den? und ist dieser gut? wenn das eine gute scanner ist dann zahl ichs gern... (ca9 clients) besser als kaspersky? kostet ca das selbe...

bei sophos hab ich gesehn das die firewall für clients nur für win xp und 200 clients möglich ist.

:EDIT:
ist es bei zb avg auch möglich das sich der virenscanner vom server aus bedienen lässt? updates automatisch ohne das ich zu jedem client gehn muss? bei fehlermeldungenauf irged einen client bekomme ich eine email oder sonstige benachrichtigung?
Mitglied: c-webber
c-webber 20.09.2007 um 18:41:03 Uhr
Goto Top
Für AVG-Produkte gint es den AVGAdmin, ein Tool mit dem Du alle Virenscanner auf den Clients von einer zentralen Maschine aus managen kannst, also Updates verteilen, gplatne Aufgaben erstellen, Scanner installieren usw...

Ob nun die SBS-Edition Sinn macht bin ich mir nicht sicher. Da Du, wie Du sagst, ja hinter einer SPI-Firewall vom Router sitzt denke ich, daß "AVG Anti-Virus Pro" ausreicht, ich benutze auch nur die "Pro"-Version, die kann Dateien und E-Mails prüfen. Ich denke das reicht !
Benutzt Du die XP-Firewall an den Clients ??

Zu Squid:
Auf Linux musst Du dich gar nicht einlassen. Wenn Du dich nicht gut damit auskennst ist es wahrscheinlich nur eine zusätzliche Belastung für dich. Ich würde dir wie gesagt zur Windows-Variante von Squid raten.

http://www.heise.de/software/download/squid_for_windows/21859

Ich lasse den Squid als Dienst auf den SBS- oder 2003Std-Servern laufen. Geht auch mit nur einer NIC im Rechner.
Als Proxy-Adresse trägst Du dann an den Clients die Server-IP und den Port von Squid ein (std. 3128) also z.B. 192.168.1.1:3128

Jetzt fängt der Server die Internetanfragen ab, übergibt Sie an den Proxy und der stellt dir dann die Verbindung her (oder auch nicht, je nachdem obs ne erlaubte Seite ist oder nicht). Das alles klappt problemlos über eine Netzwerkkarte.

Du solltest die Proxy-Einstellungen am besten per Gruppenrichtlinie an die Clients verteilen und gleichzeitig über die RL im IE die Proxy-Einstellungen sperren, denn solange der Client ein Gateway hat, kann er am Proxy vorbei über das Gateway ins Internet - ungefiltert !

Vorsicht:
Wenn sich ein User Firefox o.ä. installiert und keinen Proxy einträgt waren alle anstrengungen für die Katz, denn dann hat er auch uneingeschränkten Zugang zum I-Net.

Das einzige was hier hilft ist, den Clients keine Gateway-Adresse zu geben. Das hat allerdings den Nachteil, das ausser den Programmen, bei denen Du den Proxy aktiviert hat, kein anderes mehr Internetzugang hat.
Jetzt musst Du wissen ob das eher gut oder eher schlecht für dich wäre...
Mitglied: c-webber
c-webber 20.09.2007 um 19:09:09 Uhr
Goto Top
wird das
Produkt noch um 25-50% günstiger.

Das könnte vielleicht daran liegen, daß Ihr aufgrund eures hohen Umsatzes mit MS andere Preise bekommt. Wenn du schon sagst, daß bei euch die 2k3 EE zum Einsatz kommt scheint ihr ein etwas anderes Kaliber zu sein wie Dorian, mit seinen 10 Clients in ner Domäne.
Mitglied: Dani
Dani 20.09.2007, aktualisiert am 18.10.2012 um 18:32:28 Uhr
Goto Top
Moin!

@ c-webber
Das könnte vielleicht daran liegen, daß Ihr aufgrund eures hohen Umsatzes mit MS andere
Preise bekommt
Unter anderem... (habe ich auch oben als Größenordung mal angegeben) aber wenn du sagst, als Unternehmen du bleibst dabei, fallen immer ein "paar" Euro weg. face-smile


@Dorian84
Geht auch mit nur einer NIC im Rechner
Wenn sich ein User Firefox o.ä. installiert und keinen Proxy einträgt waren alle
anstrengungen für die Katz, denn dann hat er auch uneingeschränkten Zugang zum I-Net.
Das ist sicherheittechnisch wohl für die Katz! Sobald einer sein Firefox-Portable dabei hat ist er bzw. sich das rumsppricht, bist wieder genau da wo du jettz stehst.
Wenn du wirklich was mit deinem Proxy erreichen möchtest, würde ich 2 Netz bilden wie schon oben beschrieben. Somit musst du keinen Proxy bei den Clients hinterlegen und dir entgeht kein Zugriff bzw. es ist kein Umgehen mehr möglich! Und das willst du ja erreichen...alle anderen Varianten kannst du den Hasen geben (außer du hast einen "richtigen" Router (z.B. LanCOm oder Cisco). face-smile


Grüße
Dani
Mitglied: Connor1980
Connor1980 20.09.2007 um 23:36:21 Uhr
Goto Top
@Dani
@Connor1980
> Ich bin mir nicht sicher ob der IIS
sowas auch kann,....
Der IIS ist ein reiner M$ Webserver und hat
NULL mit einem Proxy zu tun. aber
ISA meinte ich doch, hab mich vertippt ;)

> ....und den Proxy physikalisch davon
trennen.
Siehe 1. Absatz oben.
volle Zustimmung meinerseits

@Dorian84
auf Linux musst du dich natürlich nicht einlassen. Squid gibt auch für Windows, wie c-webber schon gesagt hat. Aber das kostet natürlich auch eine Windows-Lizenz. Linux ist kostenlos. Wenn du dich aber mit Linux nur rumquälst, ist das natürlich keine Lösung. Aber das musst du wissen face-smile

Wegen Antivirus würde ich mich noch bei F-Secure und Norman umschauen. Letztere haben aus eigener Erfahrung sehr guten Support.

Wen es interessiert: Zum Thema Firefox und Gruppenrichlinie gibt es Proxyeinstellungen per Gruppenrichtlinien bei Firefox und Co einen Thread
Mitglied: c-webber
c-webber 24.09.2007 um 17:31:15 Uhr
Goto Top
Das ist sicherheittechnisch wohl für die Katz! Sobald einer sein Firefox-Portable dabei hat ist er > bzw. sich das rumsppricht, bist wieder genau da wo du jettz stehst.

Deshalb sollte man ja auch, nachdem man dem Proxy per Richtlinie zugewiesen hat, den Clients das Default-Gateway wegnehmen.

Somit kommt keiner mehr aus dem internen Netz raus, es sei denn über den Proxy eben...

Da kann er gerne mit Firefox portable kommen, der schaut dann auch in die Röhre !!! face-smile

Wirkliche Sicherheit bekommt man eben nicht mit 2-3 Mausklicks hin, da muss alles ineinandergreifen. Proxy allein hilft nicht viel, wenn die User einfach "am Proxy vorbei" ins I-Net können.

Als erstes solltest Du dir überlegen was Du mit deinen Anstrengungen erreichen willst.
Wenn es nur darum geht den Internetverkehr zu filtern, also nur auf bestimmte Seiten den Zugriff gestatten, dann reicht dir ein Proxy. Andere Browser klammerst Du dann dadurch aus, daß Du dem Client wie gesagt kein Gateway zuweist.

Solltest Du noch andere Software einsetzen, die Internetzugriff benötigt, bei der kein Proxy konfiguriert werden kann, sind die Grenzen dieser Lösung erreicht. Es sei denn, Du kannst diese SW auf der selben Maschine laufen lassen, auf der auch der Proxy läuft, denn der muss sein Gateway behalten.

Man kann sehr viel mit kostenlosen Mitteln und/oder Denkarbeit abfangen, es muss nicht immer teure Software sein, allerdings müssen vorher einige Fragen geklärt werden:

  • Wird SW eingesetzt, die Internetzugang vorraussetzt (Wenn Ja, auf wievielen und welchen Maschinen (Client/Server?))
  • Setzt Du einen eigenen Exchange-Server ein oder haben die User externe Postfächer ?
  • Was ist mit privaten Notebooks, dürfen/können oder sollen deine User eigene Notebooks anschließen ?

Klar muß auch sein, daß mit zunehmender Sicherheit der Komfort abnimmt, das heißt, Du musst Kompromisse machen. Lieber den Inertnet-Zugang im Pausenraum einschränken, als dafür alle uneingeschränkt ins I-Net zu lassen.
Mitglied: Dorian84
Dorian84 24.09.2007 um 18:40:05 Uhr
Goto Top
Die user sollten nur in der lage sein auf bestimmte internetseiten zuzugereifen. jedoch müssen auch programme wie buchhaltungsprogramme und natürlich auch der Wsus auf das internet "uneingeschränkt zugreifen".
Die einzelnen user können bis jetzt nur Word Excel und ihre zwei buchhaltungsprogramme öfnen bedienen und daten auf ihren ein serverlaufwerk speichern. ende das wars

habe im internetexplorer etwas interessantes unter Internetoptionen > inhalte > inhaltsratgeber gefunden. hier kann man nur einzelne seiten zulassen, und habe es auf meinem vista testrechner ausprobiert und muss sagen es funktioniert einwandfrei, oder ist das keine lösung? da die user nicht in der lage sind z.b firefox zu installieren(da alle perepherielafwerke gesperrt sind CD, USB) und nur über IE surfen können reicht das oder?
Mitglied: c-webber
c-webber 25.09.2007 um 01:02:58 Uhr
Goto Top
Klar, wenn das deinen Ansprüchen genügt kein Problem.

Zum WSUS und der Buchhaltungs-SW:

Die laufen ja wahrscheinlcih auf dem Server, oder ? (Der WSUS klar, aber die andere auch ?)
Der behält ja seinen I-Net-Zugang, da er ja über ein Gateway verfügt.
Einschränkungen gelten hier nur für Clients !

Allerdings musst Du bei deiner Lösung immer mehrere Listen pflegen, bei nem Proxy eben nur eine.
Mitglied: Dani
Dani 25.09.2007 um 11:15:32 Uhr
Goto Top
Moin!

@c-webber
Deshalb sollte man ja auch, nachdem man dem Proxy per Richtlinie zugewiesen hat, den Clients
das Default-Gateway wegnehmen.
Diese Funktion wird bei Verwendung von IE 7 wohl nicht gnaz funktionieren. Den Clients das Std.-GW. zu klauen halte ich für nicht sinnvoll. Sobald du das Netz umbauen musst, hast wieder Arbeit ohne Ende und das muss ja nicht sein.

Solltest Du noch andere Software einsetzen, die Internetzugriff benötigt, bei der kein Proxy
konfiguriert werden kann, sind die Grenzen dieser Lösung erreicht.
Da Frage ich mich, was eine Softwarelösung einer Firma im Internet sucht. Sowas ist ein Sicherheitsrisiko.

inhaltsratgeber gefunden. hier kann man nur einzelne seiten zulassen, und habe es auf meinem
vista testrechner ausprobiert und muss sagen es funktioniert einwandfrei
Na, wenn du jeden REchner einzeln pflegen möchtest und dir ansonsten langweilig ist, klar..warum nicht.

@Dorian84
da die user nicht in der lage sind z.b firefox zu installieren(da alle perepherielafwerke gesperrt
sind CD, USB) und nur über IE surfen können reicht das oder?
Glaub mir, einfach den FF Portable per Mail schicken und schon ist deine Idee wieder hinfällig. User können bei sowas ziemlich kreativ werden. Aber warum FF verbieten?? Ich glaube, du hast dir einfach zuwenig Gedanken darüber gemacht.

Ich schreibe mir die Variationen immer auf Papier / Word und dahinter, was ich alles ändern muss und wie flexibel ich dann in der Zukunft sein kann, wenn Änderungen kommen.


Grüße
Dani
Mitglied: c-webber
c-webber 25.09.2007 um 11:35:21 Uhr
Goto Top
Diese Funktion wird bei Verwendung von IE 7
wohl nicht gnaz funktionieren.

Doch klar, geht ohne Probleme... Wieso auch nicht ??
Was siehst Du denn da für Probleme ??
Mitglied: Dorian84
Dorian84 02.10.2007 um 14:22:23 Uhr
Goto Top
so hab mir nun so einiges angesehn und auch ausprobiert.
bin gerade dabei IPCop zu entdecken! der hat ja auch einen proxy eingebaut, ist das mit dem auch möglich nur einzelne seiten via whitelist zuzulassen? Denn sieht von der bedienung her "relativ" einfach aus (habs mal spasshalber auf einen alten rechner installiert, nur bin ich noch am entdecken)

hab mir das so vorgestellt, zuerst zum modem, dann zum router danach zu meinem IPCoprechner (1.Nic) dann mit 2.Nic weiter auf meinen switch wo mein server und die clients hängen, oder reiner schwachsinn??
Mitglied: Connor1980
Connor1980 02.10.2007 um 21:14:56 Uhr
Goto Top
Vom Prinzip istdie Anordnung richtig. Schau mal auf den ipcop-forum.de Seiten, dort findest du Hinweise, Tutorials und links zu url-filtering
Gruß
Connor1980
Mitglied: Dorian84
Dorian84 23.10.2007 um 12:36:47 Uhr
Goto Top
so kurze frage... ip cop funktioniert einwandfrei thx!!
aber eine andere frage, ist noch eine weitere Hardwarefirewall notwendig? sprich vor IPCop? hab eben zuzeit IPCOP, und dann kommt gleich das firmennetzwerrk wie schon oben beschrieben!

PS: die beiden firewalls die mir empfohlen worden sind sind eine FortiGate 50B oder von Sonicwall TotalSecure 10
Mitglied: Dorian84
Dorian84 29.10.2007 um 11:14:27 Uhr
Goto Top
hat keiner einen tip für mich??
Mitglied: Dani
Dani 29.10.2007 um 11:17:26 Uhr
Goto Top
Hi!
Diese Frage von dir, hat eigentlich nichts mehr mit dem eigentlichen Thema zu tun. Sprich ich möchte dich bitten einfach im Bereich "IT-Sicherheit" einen neuen Beitrag dazu zu schreiben.


Grüße
Dani