Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Welche Hardware für Web filtering ?

Frage Internet

Mitglied: notobviously

notobviously (Level 1) - Jetzt verbinden

26.08.2011, aktualisiert 18.10.2012, 4553 Aufrufe, 23 Kommentare

Ich mache gerade eine Ausbildung zum FiSi, stehe aber leider vor einem Problem.

Hallo,

von meiner Freundin der Chef hat mich gefragt, ob ich ihm Helfen könnte, sein Netzwerk sicherer zu machen. Bezahlt werde ich dafür auch, wobei das nebensächlich ist.

Ich soll bei ihm ein System installieren, was Inhalte bzw. Webseiten aus dem Internet blockiert. Zuerst dachte ich an eine Bastel-Lösung:

Ein Minimal installiertes Debian Squeeze auf einer kleinen Maschine mit 2 Netzwerkkarten. Auf dem Debian hätte ich ein SquidGuard installiert der dann die Blacklist beinhaltet. Da es aber wie gesagt ein Bastel - System ist war er nicht gut drauf anzusprechen. Deshalb hab ich mich ein bischen erkundigt was in Frage kommen würde. Wäre der Linksys WRT54GL eine gute Wahl? Oder was kann ich sonst nehmen um die Anforderungen zu bewältigen? Das Problem das ich sehe bei dem Linksys ist das, dass die filtering Art mir zu schwach ist. D. h. man muss selbst Keywords eingeben, die gefiltert werden sollen. Da kann sich meiner Meinung nach schnell etwas durch schleichen.

Ich hoffe sehr auf eure Meinungen und Ideen

notobviously
Mitglied: Dani
26.08.2011 um 14:00 Uhr
Hi notobviously,
na dann leg ich mal vor...

  • Was möchtest du filtern? Dateien die heruntergeladen werden, den Datenverkehr an sich?
  • Eher den Inhalt oder/und Schädlinge?
  • Wie sieht es mit dem E-Mailverkehr aus?
  • Was soll(en) die Blackliste(n) denn genau sperren? SocialNetworks oder Internetshops, etc...
  • Soll die Pflege der Blacklists manuelle erfolgen oder durch den Hersteller einer Software?
  • Wie groß ist denn das Unternehmen (Anzahl MA) und in welcher Branche ist dieses vertreten?

Ein Minimal installiertes Debian Squeeze auf einer kleinen Maschine mit 2 Netzwerkkarten. Auf dem Debian hätte ich ein SquidGuard installiert der dann die Blacklist beinhaltet. Da es aber wie gesagt ein Bastel - System ist war er nicht gut drauf anzusprechen
Kommt drauf an wie groß die Firma ist. Für Klein- und Mittelständige Unternehmen reicht die Lösung zu mal.


Grüße,
Dani
Bitte warten ..
Mitglied: notobviously
26.08.2011 um 14:11 Uhr
Hi Dani, danke für die schnelle antwort.

+Ich möchte Websiten filtern, das herunterladen von illegalen Dateien, websiten mit pornografischen Inhalten usw. also ein Filtern des ganzen Bereichs was als Illegal oder schmutzig angesehen wird.
+der E-Mail verkehr sollte dadurch allerdings nicht beeinträchtigt werden, da das ein Hotel ist (pro Haus max. 20 User über Acc. Points) jedes Haus ist komplett vom anderen getrennt und 6 Häuser sind es insgesamt wo ich das System installieren müsste.
+bei der Bastel - Lösung hätte ich sogar schon ein Skript, welches die Blacklist automatisch pflegt.

Zudem möchte ich nicht als Netzverantwortlicher dargestellt werden. Denn falls das System undicht ist, geht es auf meine Kappe

Gruß

notobviously
Bitte warten ..
Mitglied: john-doe
26.08.2011 um 14:20 Uhr
Hallo zusammen

Ohne Großartig Werbung machen zu wollen.
Hast du dir die Fortigate oder eine Astaro schon angesehen. Es gibt viele viele andere UTM-Gateways noch, wobei ich sagen muss
die Fortigate ist relativ günstig und kann vermutlich alles was du machen willst. Speziell für kleinere Unternehmen sehr interessant.

Bastellösungen sind immer so eine Sache mit Support und Garantie. Für Private OK aber für Firmen ein no go.

Mailsecurity d.h. Virenscan von Mails und Spamschutz würde ich sogar von einem externen Provider machen lassen, da hier meist
Hochverfügbarkeitssysteme vorhanden sind und die auch die Mails annehmen und Cachen falls dein Mailserver aus welchen Grund auch immer
nicht verfügbar sein sollte.

LG
Bitte warten ..
Mitglied: Dani
26.08.2011 um 14:28 Uhr
Zitat von john-doe:
Mailsecurity d.h. Virenscan von Mails und Spamschutz würde ich sogar von einem externen Provider machen lassen, da hier
meist
Hochverfügbarkeitssysteme vorhanden sind und die auch die Mails annehmen und Cachen falls dein Mailserver aus welchen Grund
auch immer
nicht verfügbar sein sollte.
Brauchst du in dem Fall nicht... denn was der Hotspot User an E-Mails runterlädt ist sein Problem. Da es sich um ein privates Notebook handlet soll er auch einen Virenscanner installieren. Den Schuh als Hotel würde ich mir nicht anziehen. Stell dir vor das Mailgateway filtert E-Mails die der Nutzer aber haben möchte - Ärger ohne Ende.


Grüße,
Dani
Bitte warten ..
Mitglied: notobviously
26.08.2011 um 14:31 Uhr
Hi,

Das Problem ist, dass ich ihm schon Honig um den Mund geschmiert hab mit dem Linksys der um die 50 Euro liegt. Also muss ich eine Alternative suchen, die am besten noch unter 100 Euro liegt.

Zudem muss es einfach zu installieren sein, und sicher laufen.
Bitte warten ..
Mitglied: john-doe
26.08.2011 um 14:32 Uhr
Ja das stimmt!
Ich hab ja schon auf den Beitrag geantwortet, da wusst ich noch gar nicht das es um ein Hotel geht.
Somit ist alles wieder anders
Bitte warten ..
Mitglied: Dani
26.08.2011 um 14:36 Uhr
Die AP's sind soweit schon vorhanden und entsprechend mit dem Router vernetzt?
Wleche AP-Modelle sind denn in allen Häuser verbaut?
Bitte warten ..
Mitglied: john-doe
26.08.2011 um 14:37 Uhr
Jaja das will jeder.

Es darf nix kosten muss aber das beste sein was es gibt und nie kaputt werden

In dieser Größenordnung dürfen 1000 € auch kein Thema sein.

Die ganz billigen Dinger brechen zusammen wenn 10 Leute gleichzeitig im Internet hängen.
Nicht ohne Grund gibt´s Home-Produkte und Business-Produkte. Da hat sich schon mal wer was dabei gedacht.


Jedes Unternehme das sich eine Firewall hinstellt wäre ja blöd, wenn man das selbe mit einem 50€ Router von Amazon auch machen kann.

LG
Bitte warten ..
Mitglied: notobviously
26.08.2011 um 14:39 Uhr
Ein Gast hat halt mal über das freie WLAN illegal etwas gezogen, der Hotelbesitzer wurde daraufhin mit 1000 belastet. Die Lösung ist dafür da, damit so etwas nicht nochmal passiert. Es handelt sich pro Haus um ein wirklich kleines Netzwerk, daher dachte ich wäre so ein kleiner Router mit intigriertem WEB Filter genau das richtige, das Problem besteht darin, welche nun wirklich am meisten taugt.
Bitte warten ..
Mitglied: notobviously
26.08.2011 um 14:40 Uhr
Genau, man müsste das Gerät nur noch zwischen Splitter und Router klemmen.

AP's.... das waren kleine von Fritbox und 1&1, was nicht gerade Professionell gemacht ist, muss man dazu sagen.
Bitte warten ..
Mitglied: notobviously
26.08.2011 um 14:43 Uhr
Das stimmt allerdings =), aber wenn es bis jetzt einfache Router auch geschafft haben, muss ein Linksys dass dann nicht auch tragen können? Gegen die Wand fahren darf das natürlich nicht, ich hätte entweder wie ich unten schon gesagt hab, den Router zwischen den ersten Router und dem Splitter gehängt, oder den vorhandenen Router ganz ausgetauscht.
Bitte warten ..
Mitglied: masterPhin
26.08.2011 um 15:05 Uhr
Servus,

also nachdem ich mal alles von dir durch gelesen hab, solltet Ihr schon eine "richtige" Hardware Firewall nehmen ala sonicWall / Kerio / ZyXEL usw.
Vergiss auch die Idee mit den normalen "Routern" die für so etwas NICHT ausgelegt sind!

Als Beispiel 2 günstige Hardware Firewalls:
Netgear Prosecure UTM25 VPN Firewall -> http://www.strohmedia.de/product_info.php?products_id=460503
ZyXEL ZyWALL USG-20W Firewall -> http://www.hoh.de/Netzwerk/Kabelgebunden/Firewall/ZyXEL/ZyXEL_ZyWALL_US ...

Beide können Inhalte/Webseiten und Downloads sperren!
Bitte warten ..
Mitglied: notobviously
26.08.2011 um 15:13 Uhr
Hi,

danke für die Beispiele. Das werd ich mal vorschlagen, die Idee finde ich zumindest auch besser.
Bitte warten ..
Mitglied: -s-v-o-
26.08.2011 um 15:20 Uhr
Tach auch

Sucht du sowas?
http://www.astaro.com/de-de/loesungen/web-security

Gibt es als Softwarelösung für einen Zentralen rechner oder als Hardware Appliance.
Ich meine das Astaro ihre Produkte recht modular aufgebaut haben. Man zahl nur das was man auch wirklich braucht.

Kosten weiß ich jetzt allerdings nicht. Musst mal bei einem Händler nachfragen.

Mit freundlichen Grüßen
-s-v-o-
Bitte warten ..
Mitglied: john-doe
26.08.2011 um 15:38 Uhr
Ich denke das ganze sollte man als richtiges Projekt angehen.

Es würde sich in diesem Zuge ja auch gleich anbieten ev. die Accesspoints auf zentral gemanaged umzustellen.
Das können Astaro und auch Fortigate´s.

Aber Primär sollte mal überlegt werden was will ich haben und was kann ich ausgeben.

Sicherheit kostet halt richtig Geld. Da gibt´s nach oben keine Grenze.

Nachdem wir selbst Astaro-Händler sind. Glaube ich das euch die ASG 120 (das kleinste Model mit ca. 1100€ / Jahr für ca. 15 User)
zu teuer sein würden. Nachdem ja Anfangs eine 50€ Lösung im Raum stand.
Bitte warten ..
Mitglied: manbar
26.08.2011 um 16:07 Uhr
Hallo notobviously,

Ich hab das richtig verstanden dass es sich um ein Hotel handelt, bei dem auch die Gäste ins WLAN können? oder nur die Angestellten?

GRADE ein Hotel ist predistiniert für eine "richtige" Lösung, und kein HomeOffice-Kleinkram. Es sillte im Interesse des Besitzers sein eine Anlage zu kaufen die si viel wie möglich, so sicher wie möglich aufzeichnet und blockiert.
Bitte warten ..
Mitglied: mrtux
26.08.2011 um 16:26 Uhr
Hi !

Wenn es um ein Hotel geht, dann nach aqui's Tutorial eine Monowall (auf ein ALIX) mit Captive Portal (und Einmalpasswörtern den sog. Vouchern) aufsetzen. In der Firewall alles sperren und nur http, https, MAIL und VPN durchlassen....fertig. Es ist völlige Dummheit irgendwelche Websites zu filtern, da bekommst Du nur massiv Ärger mit den Hotelgästen oder sie benutzen den Hotspot eben dann nicht mehr. Man könnte noch die reinen Verbindungsdaten mitloggen aber momentan ist das weder dem Staat noch Dir erlaubt, zumindest solange bis es eine verfassungskonforme Regelung gibt.

Ein gewisses Risiko geht man grundsätzlich ein, wenn man einen Hotspot betreibt, so wie man als Hotelier (und jeder andere Selbstständige) auch ein gewisses unternehmerisches Risiko eingehen muss. Da kann man machen was man will, es gibt keine absolute Sicherheit! Wenn einem das Risiko zu gross ist, dann halt einfach die Finger davon lassen!

Der WRT-54gl kann stabil und effektiv nur in Verbindung mit einer Hotspotsoftware (z.B. Chilispot in DDWRT vorhanden) und einem externen Portal (also ein externer Anbieter, der pro User eine Provision kassiert) verwendet werden bzw. man baut sich selbst ein Portal. Wenn man mehrere APs für die Funkabdeckung benötigt, muss man jeden WRT am Portal "anmelden", während man an die Mono mittels eines managbaren Switches soviele APs hängen kann wie man benötigt! Bei den APs ist zu beachten, dann man auf Krücken wie WDS/Repeating verzichtet, am besten jeden AP mit einem Kabel anbindet und dass man welche verwendet, die das Funktionsmerkmal "AP Isolation" beherrschen, damit sich die Hotelgäste untereinander "nicht sehen" oder gar ungefragt Malware tauschen...

Nach meiner Erfahrung kann die Monowall mit den kleinen Firewall- und WLAN Controller Lösungen (wie sie oben schon genannt wurden und mit denen ich übrigens auch Erfahrung habe) locker mithalten. Es ist also im eigentlichen Sinne keine Bastellösung mehr, denn man kann sofort, quasi "out of the Box" loslegen! Das Captive Portal ist in wenigen Minuten eingerichtet....

mrtux
Bitte warten ..
Mitglied: Xaero1982
26.08.2011 um 16:29 Uhr
Moin,

ich denke, so wie der preisliche Rahmen hier gesetzt wurde fallen sämtliche Lösungen wie Astaro, Barracuda und sonstige professionelle Filterlösungen raus.

Da wäre eine "Bastellösung" das effektivste und einfachste, wie Tux schon schrieb.

VG
Bitte warten ..
Mitglied: aqui
26.08.2011, aktualisiert 18.10.2012
Die Details zu MrTux Vorschlag findest du dann hier:
http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Übrigens:
In den Zyxel und NetGear Gurken von oben steckt auch nichts anderes drin...nur das du den Namen teuer bezahlen musst und keinen Support hast...wenigstens bei NetGear !
Bitte warten ..
Mitglied: masterPhin
26.08.2011 um 20:18 Uhr
Zitat von aqui:
und keinen Support hast...wenigstens bei NetGear !


bisher war NetGear recht schnell bei uns, wenn es um Support geht. Liegt jedoch auch daran, dass wir höher preisige Geräte von denne im Einsatz haben.
Bitte warten ..
Mitglied: aqui
26.08.2011 um 23:02 Uhr
Na ja wie man es nimmt. NetGear ist ein Hersteller für billige Consumer Hardware. Entsprechendes darfst du dann auch nur von diesem Equipment erwarten...
Bitte warten ..
Mitglied: clSchak
27.08.2011 um 09:46 Uhr
Ich kann dir Watchguard empfehlen, vorallem mit der neuen Generation kannst du selbst applikationen wegfiltern, wir haben die nebst Gateway zum Netz auch als Webblocker am laufen, die integrierten Blocked Sides sind schon recht gut, man kann allerdings auch selbst recht simpel weitere Seiten eintragen. Wir nutzen das vorallem für soziale Netzwerke (studivz & Co.) weil das hier mit der Zeit "zu oft" genutzt wurde

Bei den neueren Version kannst auch InstantMessenger soweit pimpen das die Leute zwar chatten aber nicht herunterladen/hochladen dürfen.

Die Geräte sind mit sicherheit nicht günstig bringen aber noch weitere Zusatzfunktionen (IPSec VPN Gateway, IPS, AV, Spamfilter usw.).
Bitte warten ..
Mitglied: curlybiggelow
30.08.2011 um 08:16 Uhr
Ich arbeite in der Größenordnung bis ca. 50 User mit dem 'Untangle'-Gateway. Man benötigt einen alten Rechner (100 Euro) oder eine kleine Atom-Hardware (250 Euro) und baut eine zweite Netzwerkkarte ein (weitere 5 Euro). Dann das Image herunterladen von 'untangle.com' .

Bereits in der Freeware-Version (Lite Package) sind so viele Module verfügbar, dass die realisierbaren Schutzfunktionen weit über ein reines Filtern hinausgehen.
Alles zusammen wird administriert über eine Weboberfläche, die auch einem beseelten Laien nähergebracht werden kann, oder über Fernwartung als Dienstleistung an den Mann (oder das Hotel) gebracht werden kann. Mit der Windows-Version hab' ich keine Erfahrung, aber auch für die Installation der Linux-Version sind keine größeren Kenntnisse erforderlich. Die Installation klappt auf gängiger Hardware durchweg problemlos. Für die Konfiguration sind natürlich immer gewisse Kenntnisse erforderlich, aber du würdest ja sicher auch nicht auf eine Harley steigen ohne Führerschein - oder?

Versuch macht kluch ...
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Server-Hardware
gelöst Hilfe bei einer Server (Hardware) auswahl (30)

Frage von bjk190368 zum Thema Server-Hardware ...

Windows Server
Google Chrome Web Store Problem auf Terminal Farm

Frage von dakoerry zum Thema Windows Server ...

Firewall
Palo Alto PA-200 URL Filtering

Frage von Yannosch zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...