Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Internet

Mit Squid private und geschäftliche Internetnutzung trennen

Mitglied: tikayevent

tikayevent (Level 2) - Jetzt verbinden

2009/08/26, aktualisiert 20:23 Uhr, 6962 Aufrufe, 13 Kommentare, 1 Danke

Moin,

ich habe heute die Aufgabe bekommen, dass ich in der Bude, in der ich arbeite, die Möglichkeit einführe, die private Nutzung von der geschäftlichen Nutzung zu separieren. Das ganze soll mit auf einem bereits vorhandenen Squid-Proxy laufen.

Unterschieden wird dabei einzig und alleine anhand der URLs, sprich es gibt eine Liste mit Domains, die als geschäftlich eingestuft werden und die anderen sollen damit automatisch privat gelistet werden.

Nun soll jeder Benutzer informiert werden, wenn er von der geschäftlichen Nutzung in die private Nutzung rutscht und soll diese per Klick bestätigen.

Gleichzeitig soll ein Verhältnis zwischen geschäftlicher und privater Nutzung ermittelt werden. Dazu sollen einfach die Benutzer in einer Datenbank eingetragen werden (werden mittels NTLM authentifiziert) und dann soll in Sekunden, Minuten, Stunden oder was auch immer die geschäftlich versurfte Zeit getrennt von der privat versurften Zeit hinterlegt werden, so dass man am Ende eine datenschutzrechtlich unverfängliche Analyse des Nutzungsverhaltens machen kann.

Hintergrund ist der, dass die Mitarbeiter, bzw. korrekt heißt es freiberuflichen Vertriebler, sehr viel Zeit privat im Internet unterwegs sind und dabei streckenweise sehr viel ### bauen. Ging sogar so weit, dass wir heute den kompletten Netzbetrieb einstellen mussten, um eine ausufernde Infektion zu verhindern. Komplett untersagen können wir die Nutzung nicht, weil sonst alle Vertriebler das Weite suchen.
Mitglied: wiesi200
2009/08/26 um 20:53 Uhr
Zitat von tikayevent:
Moin,

Unterschieden wird dabei einzig und alleine anhand der URLs, sprich
es gibt eine Liste mit Domains, die als geschäftlich eingestuft
werden und die anderen sollen damit automatisch privat gelistet
werden.

Nun soll jeder Benutzer informiert werden, wenn er von der
geschäftlichen Nutzung in die private Nutzung rutscht und soll
diese per Klick bestätigen.

Das stelle ich mir eher schwer vor.

Gleichzeitig soll ein Verhältnis zwischen geschäftlicher
und privater Nutzung ermittelt werden. Dazu sollen einfach die
Benutzer in einer Datenbank eingetragen werden (werden mittels NTLM
authentifiziert) und dann soll in Sekunden, Minuten, Stunden oder was
auch immer die geschäftlich versurfte Zeit getrennt von der
privat versurften Zeit hinterlegt werden, so dass man am Ende eine
datenschutzrechtlich unverfängliche Analyse des
Nutzungsverhaltens machen kann.

Hier hast du ein Problem mit der Zeit. da der Proxy nicht sehen kann wie lange man sich etwas ansieht. Der registriert nur die anfragen an ihm. Du kannst sagen wann wer was aufgerufen hat.

Hintergrund ist der, dass die Mitarbeiter, bzw. korrekt heißt
es freiberuflichen Vertriebler, sehr viel Zeit privat im Internet
unterwegs sind und dabei streckenweise sehr viel Scheiße bauen.
Ging sogar so weit, dass wir heute den kompletten Netzbetrieb
einstellen mussten, um eine ausufernde Infektion zu verhindern.
Komplett untersagen können wir die Nutzung nicht, weil sonst alle
Vertriebler das Weite suchen.

Für soetwas gibt's eine Vernünftige Antivirenlösung. Eftl. mit einer Content Controll wo so fragwürdige Seiten gesperrt werden. Denn der Anschlussinhaber ist ja verantwortlich was damit gemacht wird. Also ein absoluter Freibrief ist nicht grad gut.
Bitte warten ..
Mitglied: tikayevent
2009/08/26 um 21:05 Uhr
Es geht hier nicht um jede einzelne Sekunde. Es sollen nur grobe Richtwerte sein, irgendwie mittels Timeout auf 5 Minuten oder so.

Wir haben eine vernünftige Antivirenlösung, bloß die bringt nichts, wenn die brain.exe nicht funktioniert. Der Proxyserver wird ebenfalls noch mit einem Virenscanner ausgestattet.

Es geht nur um die Auswertung der Zeit (von mir aus auch in einem Verhältnis).
Bitte warten ..
Mitglied: wiesi200
2009/08/26 um 21:22 Uhr
Und genau das wird so nicht gehen jedenfalls wüsste ich nicht wie.

Wie gesagt der Proxy hat keine Ahnung ob man sich ne stunde nen Text durchsieht oder nach 5 sec wieder zu macht.

Und Brain.exe kann man unterstüzen in dem man zumindest Gesetzwiedrige Seiten sperrt
Bitte warten ..
Mitglied: tikayevent
2009/08/26 um 21:36 Uhr
Gut, dass muss ich halt hinnehmen, dass es da etwas Ungenauigkeiten gibt.

Ich hab da ansich ja auch schon ne grobe Idee, wollte nur halt wissen, obs da schon irgendwas (fast-)fertiges gibt.
Bitte warten ..
Mitglied: wiesi200
2009/08/26 um 21:47 Uhr
Ungenauigkeit und nicht Aussagekräftig sind zwei eigene Welten.
Bitte warten ..
Mitglied: aqui
2009/08/26 um 21:51 Uhr
Aus Netzwerk Infrastruktur Sicht könnte man das mit einem separaten VLAN für die Vertriebler angehen und auf dem L3 Switch oder Internet Router mit PBR (Policy Based Routing) oder WCCP usw. ein Verteilen der privaten Daten auf die vom Unternehmen erlaubten machen solange sich die Anzahl der erlaubten Internet Ziele in Grenzen hält.
Damit liesse sich erstmal eine Verkehrstrennung errreichen, allerdings bleibt dann natürlich das Problem der zeitlichen Auswertung und des Popups "Achtung es wird privat" was man natürlich so über die Netzwerk Infrastruktur nicht lösen kann, das kann nur der Squid Proxy selber.
Ist die Frage ob sich letztlich der Aufwand lohnt wenn diese Trennung auch mit spezifischen ACLs im Proxy selber realisierbar ist....
Nur mal so als Vorschlag im Raum..
Bitte warten ..
Mitglied: tikayevent
2009/08/26 um 21:57 Uhr
Ich kann ja mal meine Gedanken veröffentlichen, die sich hier seit dem Krisengespräch heute Mittag gebildet haben.

Ich leite einfach sämtliche Anfragen an einen Redirector weiter, der prüft, ob die angeforderte Seite auf der Whitelist für geschäftliches ist. Wenn ja, wird ein Eintrag in einer Datenbank mit dem Benutzernamen angelegt. Wenn die Seite nicht auf der Liste steht, kommt ein anderer Eintrag in die Datenbank, aber erst, wenn man bestätigt hat, dass man die Seite wirklich aufrufen will. Die Datenbank speichert dann auch nen Timestamp, damit man nicht bei jeder Seite nen Aufruf bekommt, solange man von der gleichen IP und dem gleichen Benutzernamen rumsurft. Bei jeder aufgerufenen Seite wird der Timestamp erneuert.
Die Genauigkeit liegt dann einfach an dem Wert des Timeouts.

Nur die Umsetzung hab ich noch nicht ausgekotzt.

Aber scheinbar gibts ja keine Fertiglösung dafür.

PS: @wissi200: Genau wegen einer solchen Kleinscheißerei stell ich nur sehr ungern irgendwelche Fragen hier, weil der größte Teil der Themen auseinandergerissen wird und im Endeffekt nix bei rumkommt
Bitte warten ..
Mitglied: Iwan
2009/08/27 um 08:00 Uhr
Kausalität - Ursache und Wirkung
was du hier versuchst oder vorhast, ist die Wirkung zu verändern, ohne die Ursache zu ermitteln

wenn ich das so richtig verstanden habe, dann hat also ein Vertriebler Mist gemacht und das Netz lahmgelegt
da frage ich mich, wie er das geschafft hat und da solltet ihr zunächst ersteinmal ansetzen
angefangen bei Adminrechten, AV-Programmen, Sicherheitsrichtlinien, GPOs, etc.

grundsätzlich sollte das private surfen kontrolliert, protokolliert und im Bedarfsfall eingeschränkt werden
die Leute sind schliesslich zum arbeiten eingestellt worden und nicht um sich privat zu vergnügen
darüber müssen die Leute natürlich informiert werden und hier sind die Chefs gefragt
auf Grund dieses Vorfalls sollte es ja möglich sein, ein passendes Rundschreiben zu verfassen
Inhalt: Protokollierung der aufgerufenen Seiten und private Nutzung nur noch in den Pausenzeiten oder so ähnlich

viel Glück
Bitte warten ..
Mitglied: tikayevent
2009/08/27 um 08:38 Uhr
Der Befall kam nicht von einem unserer Rechner sondern wurde von außerhalb durch ein Notebook eingeschleppt. Der hat sich dann halt munter im Netzwerk ausgebreitet.

Die sind ja "leider" nicht angestellt die Vertriebler, sondern die sind mehr oder weniger selbstständig und bekommen von uns nur Infrastruktur und Verwaltung gestellt. Die können kommen und gehen wie und wann die wollen, Pause machen können die ebenfalls so Pi mal Daumen, solange wie die lustig sind.
Bitte warten ..
Mitglied: Iwan
2009/08/27 um 09:33 Uhr
nur mal als Beispiel:
bei uns dürfen Fremdrechner erst nach Überprüfung durch IT ans Netz
ist kein (aktueller) Virenscanner drauf -> und tschüss
sind sie am Netz, kommen sie in einen eigenen IP-Bereich
dort läuft jeglicher Verkehr zuerst über einen eigenen Proxy, der natürlich AV & FW hat
somit sind wir da relativ sicher und bisher *aufholzklopf* ist noch nix passiert
Bitte warten ..
Mitglied: tikayevent
2009/08/27 um 09:58 Uhr
Ist hier nicht anders, hier läuft das ganze sogar automatisiert. Bei den betroffenen Notebooks sind keinerlei Mängel gemeldet worden.

Das Zeug war so aggressiv, erst der fünfte Virenscanner der drüber gelaufen ist hat die erkannt.

Eigener IP-Bereich ist hier auch normal.

Problem war, dass das son spammendes Zeug war. Zum Glück sind sämtliche Systeme wieder von der Blacklist runter.

Die entsprechenden Notebooks wurden beschlagnahmt und hart bereinigt.
Bitte warten ..
Mitglied: 45877
2009/08/27 um 11:22 Uhr
hallo,

das ganze welche Seite angesurft wird, wird in ne Datenbank geschrieben wenn auf Whitelist usw. wird ich mir sparen, und im Bedrafsfall einfach die Logs entsprechend Filtern, dürfte weit weniger aufwand sein.
Bitte warten ..
Mitglied: jensen4
2009/08/31 um 12:40 Uhr
Hallo,
habt ihr euch, abgesehen von den technischen Details, schon Gedanken bezüglich Privatsphäre/Rechtskonformität gemacht? Spätestens dort wirds ein einfacher Squid nicht mehr tun. Wir entwickeln und nutzen eine Software die neben der Trennung privater und dienstlicher Internetnutzung auch alle rechtlichen Aspekte erfüllt: http://www.webfox.de/
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Private Internetnutzung am Arbeitsplatz
gelöst Frage von nahdekaNetzwerke23 Kommentare

Hallo, ich wollte mir ein paar Anregungen holen wie ihr dieses Thema in euren Firmen Infrastrukturen behandelt. Aktuell ist ...

Router & Routing
Geschäftliches und Privates Netzwerk miteinander verbinden (Fritzbox)
gelöst Frage von MrAveXxRouter & Routing10 Kommentare

Guten Tag Und zwar geht es um folgendes. Wie haben einen Kunden der hat 2 Netzwerke. Ein Geschäfliches und ...

LAN, WAN, Wireless
Pfsense Gästenetz und privates Netz sauber trennen
gelöst Frage von dewebeyLAN, WAN, Wireless36 Kommentare

Hallo zusammen, ich habe nun für unser Hotel das private Netz vom Gästenetzwerk mittels pfsense versucht zu trennen: Leider ...

Netzwerkgrundlagen
Gemeinsame Internetnutzung OHNE LANs zu verbinden
Frage von WeyounBNNetzwerkgrundlagen8 Kommentare

Hallo, zwei Mieter eines Hauses wollen sich per LAN-Verkabelung die Internetverbindung teilen, die über eine FritzBox 7490 hergestellt wird. ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 5 MinutenMicrosoft

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...