Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mit Squid private und geschäftliche Internetnutzung trennen

Frage Internet

Mitglied: tikayevent

tikayevent (Level 2) - Jetzt verbinden

26.08.2009, aktualisiert 20:23 Uhr, 6792 Aufrufe, 13 Kommentare, 1 Danke

Moin,

ich habe heute die Aufgabe bekommen, dass ich in der Bude, in der ich arbeite, die Möglichkeit einführe, die private Nutzung von der geschäftlichen Nutzung zu separieren. Das ganze soll mit auf einem bereits vorhandenen Squid-Proxy laufen.

Unterschieden wird dabei einzig und alleine anhand der URLs, sprich es gibt eine Liste mit Domains, die als geschäftlich eingestuft werden und die anderen sollen damit automatisch privat gelistet werden.

Nun soll jeder Benutzer informiert werden, wenn er von der geschäftlichen Nutzung in die private Nutzung rutscht und soll diese per Klick bestätigen.

Gleichzeitig soll ein Verhältnis zwischen geschäftlicher und privater Nutzung ermittelt werden. Dazu sollen einfach die Benutzer in einer Datenbank eingetragen werden (werden mittels NTLM authentifiziert) und dann soll in Sekunden, Minuten, Stunden oder was auch immer die geschäftlich versurfte Zeit getrennt von der privat versurften Zeit hinterlegt werden, so dass man am Ende eine datenschutzrechtlich unverfängliche Analyse des Nutzungsverhaltens machen kann.

Hintergrund ist der, dass die Mitarbeiter, bzw. korrekt heißt es freiberuflichen Vertriebler, sehr viel Zeit privat im Internet unterwegs sind und dabei streckenweise sehr viel ### bauen. Ging sogar so weit, dass wir heute den kompletten Netzbetrieb einstellen mussten, um eine ausufernde Infektion zu verhindern. Komplett untersagen können wir die Nutzung nicht, weil sonst alle Vertriebler das Weite suchen.
Mitglied: wiesi200
26.08.2009 um 20:53 Uhr
Zitat von tikayevent:
Moin,

Unterschieden wird dabei einzig und alleine anhand der URLs, sprich
es gibt eine Liste mit Domains, die als geschäftlich eingestuft
werden und die anderen sollen damit automatisch privat gelistet
werden.

Nun soll jeder Benutzer informiert werden, wenn er von der
geschäftlichen Nutzung in die private Nutzung rutscht und soll
diese per Klick bestätigen.

Das stelle ich mir eher schwer vor.

Gleichzeitig soll ein Verhältnis zwischen geschäftlicher
und privater Nutzung ermittelt werden. Dazu sollen einfach die
Benutzer in einer Datenbank eingetragen werden (werden mittels NTLM
authentifiziert) und dann soll in Sekunden, Minuten, Stunden oder was
auch immer die geschäftlich versurfte Zeit getrennt von der
privat versurften Zeit hinterlegt werden, so dass man am Ende eine
datenschutzrechtlich unverfängliche Analyse des
Nutzungsverhaltens machen kann.

Hier hast du ein Problem mit der Zeit. da der Proxy nicht sehen kann wie lange man sich etwas ansieht. Der registriert nur die anfragen an ihm. Du kannst sagen wann wer was aufgerufen hat.

Hintergrund ist der, dass die Mitarbeiter, bzw. korrekt heißt
es freiberuflichen Vertriebler, sehr viel Zeit privat im Internet
unterwegs sind und dabei streckenweise sehr viel Scheiße bauen.
Ging sogar so weit, dass wir heute den kompletten Netzbetrieb
einstellen mussten, um eine ausufernde Infektion zu verhindern.
Komplett untersagen können wir die Nutzung nicht, weil sonst alle
Vertriebler das Weite suchen.

Für soetwas gibt's eine Vernünftige Antivirenlösung. Eftl. mit einer Content Controll wo so fragwürdige Seiten gesperrt werden. Denn der Anschlussinhaber ist ja verantwortlich was damit gemacht wird. Also ein absoluter Freibrief ist nicht grad gut.
Bitte warten ..
Mitglied: tikayevent
26.08.2009 um 21:05 Uhr
Es geht hier nicht um jede einzelne Sekunde. Es sollen nur grobe Richtwerte sein, irgendwie mittels Timeout auf 5 Minuten oder so.

Wir haben eine vernünftige Antivirenlösung, bloß die bringt nichts, wenn die brain.exe nicht funktioniert. Der Proxyserver wird ebenfalls noch mit einem Virenscanner ausgestattet.

Es geht nur um die Auswertung der Zeit (von mir aus auch in einem Verhältnis).
Bitte warten ..
Mitglied: wiesi200
26.08.2009 um 21:22 Uhr
Und genau das wird so nicht gehen jedenfalls wüsste ich nicht wie.

Wie gesagt der Proxy hat keine Ahnung ob man sich ne stunde nen Text durchsieht oder nach 5 sec wieder zu macht.

Und Brain.exe kann man unterstüzen in dem man zumindest Gesetzwiedrige Seiten sperrt
Bitte warten ..
Mitglied: tikayevent
26.08.2009 um 21:36 Uhr
Gut, dass muss ich halt hinnehmen, dass es da etwas Ungenauigkeiten gibt.

Ich hab da ansich ja auch schon ne grobe Idee, wollte nur halt wissen, obs da schon irgendwas (fast-)fertiges gibt.
Bitte warten ..
Mitglied: wiesi200
26.08.2009 um 21:47 Uhr
Ungenauigkeit und nicht Aussagekräftig sind zwei eigene Welten.
Bitte warten ..
Mitglied: aqui
26.08.2009 um 21:51 Uhr
Aus Netzwerk Infrastruktur Sicht könnte man das mit einem separaten VLAN für die Vertriebler angehen und auf dem L3 Switch oder Internet Router mit PBR (Policy Based Routing) oder WCCP usw. ein Verteilen der privaten Daten auf die vom Unternehmen erlaubten machen solange sich die Anzahl der erlaubten Internet Ziele in Grenzen hält.
Damit liesse sich erstmal eine Verkehrstrennung errreichen, allerdings bleibt dann natürlich das Problem der zeitlichen Auswertung und des Popups "Achtung es wird privat" was man natürlich so über die Netzwerk Infrastruktur nicht lösen kann, das kann nur der Squid Proxy selber.
Ist die Frage ob sich letztlich der Aufwand lohnt wenn diese Trennung auch mit spezifischen ACLs im Proxy selber realisierbar ist....
Nur mal so als Vorschlag im Raum..
Bitte warten ..
Mitglied: tikayevent
26.08.2009 um 21:57 Uhr
Ich kann ja mal meine Gedanken veröffentlichen, die sich hier seit dem Krisengespräch heute Mittag gebildet haben.

Ich leite einfach sämtliche Anfragen an einen Redirector weiter, der prüft, ob die angeforderte Seite auf der Whitelist für geschäftliches ist. Wenn ja, wird ein Eintrag in einer Datenbank mit dem Benutzernamen angelegt. Wenn die Seite nicht auf der Liste steht, kommt ein anderer Eintrag in die Datenbank, aber erst, wenn man bestätigt hat, dass man die Seite wirklich aufrufen will. Die Datenbank speichert dann auch nen Timestamp, damit man nicht bei jeder Seite nen Aufruf bekommt, solange man von der gleichen IP und dem gleichen Benutzernamen rumsurft. Bei jeder aufgerufenen Seite wird der Timestamp erneuert.
Die Genauigkeit liegt dann einfach an dem Wert des Timeouts.

Nur die Umsetzung hab ich noch nicht ausgekotzt.

Aber scheinbar gibts ja keine Fertiglösung dafür.

PS: @wissi200: Genau wegen einer solchen Kleinscheißerei stell ich nur sehr ungern irgendwelche Fragen hier, weil der größte Teil der Themen auseinandergerissen wird und im Endeffekt nix bei rumkommt
Bitte warten ..
Mitglied: Iwan
27.08.2009 um 08:00 Uhr
Kausalität - Ursache und Wirkung
was du hier versuchst oder vorhast, ist die Wirkung zu verändern, ohne die Ursache zu ermitteln

wenn ich das so richtig verstanden habe, dann hat also ein Vertriebler Mist gemacht und das Netz lahmgelegt
da frage ich mich, wie er das geschafft hat und da solltet ihr zunächst ersteinmal ansetzen
angefangen bei Adminrechten, AV-Programmen, Sicherheitsrichtlinien, GPOs, etc.

grundsätzlich sollte das private surfen kontrolliert, protokolliert und im Bedarfsfall eingeschränkt werden
die Leute sind schliesslich zum arbeiten eingestellt worden und nicht um sich privat zu vergnügen
darüber müssen die Leute natürlich informiert werden und hier sind die Chefs gefragt
auf Grund dieses Vorfalls sollte es ja möglich sein, ein passendes Rundschreiben zu verfassen
Inhalt: Protokollierung der aufgerufenen Seiten und private Nutzung nur noch in den Pausenzeiten oder so ähnlich

viel Glück
Bitte warten ..
Mitglied: tikayevent
27.08.2009 um 08:38 Uhr
Der Befall kam nicht von einem unserer Rechner sondern wurde von außerhalb durch ein Notebook eingeschleppt. Der hat sich dann halt munter im Netzwerk ausgebreitet.

Die sind ja "leider" nicht angestellt die Vertriebler, sondern die sind mehr oder weniger selbstständig und bekommen von uns nur Infrastruktur und Verwaltung gestellt. Die können kommen und gehen wie und wann die wollen, Pause machen können die ebenfalls so Pi mal Daumen, solange wie die lustig sind.
Bitte warten ..
Mitglied: Iwan
27.08.2009 um 09:33 Uhr
nur mal als Beispiel:
bei uns dürfen Fremdrechner erst nach Überprüfung durch IT ans Netz
ist kein (aktueller) Virenscanner drauf -> und tschüss
sind sie am Netz, kommen sie in einen eigenen IP-Bereich
dort läuft jeglicher Verkehr zuerst über einen eigenen Proxy, der natürlich AV & FW hat
somit sind wir da relativ sicher und bisher *aufholzklopf* ist noch nix passiert
Bitte warten ..
Mitglied: tikayevent
27.08.2009 um 09:58 Uhr
Ist hier nicht anders, hier läuft das ganze sogar automatisiert. Bei den betroffenen Notebooks sind keinerlei Mängel gemeldet worden.

Das Zeug war so aggressiv, erst der fünfte Virenscanner der drüber gelaufen ist hat die erkannt.

Eigener IP-Bereich ist hier auch normal.

Problem war, dass das son spammendes Zeug war. Zum Glück sind sämtliche Systeme wieder von der Blacklist runter.

Die entsprechenden Notebooks wurden beschlagnahmt und hart bereinigt.
Bitte warten ..
Mitglied: 45877
27.08.2009 um 11:22 Uhr
hallo,

das ganze welche Seite angesurft wird, wird in ne Datenbank geschrieben wenn auf Whitelist usw. wird ich mir sparen, und im Bedrafsfall einfach die Logs entsprechend Filtern, dürfte weit weniger aufwand sein.
Bitte warten ..
Mitglied: jensen4
31.08.2009 um 12:40 Uhr
Hallo,
habt ihr euch, abgesehen von den technischen Details, schon Gedanken bezüglich Privatsphäre/Rechtskonformität gemacht? Spätestens dort wirds ein einfacher Squid nicht mehr tun. Wir entwickeln und nutzen eine Software die neben der Trennung privater und dienstlicher Internetnutzung auch alle rechtlichen Aspekte erfüllt: http://www.webfox.de/
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Netzwerke
gelöst Private Internetnutzung am Arbeitsplatz (23)

Frage von nahdeka zum Thema Netzwerke ...

LAN, WAN, Wireless
Zwei private Netzwerke (LAN und WLAN) mit SXT Lite5 verbinden (9)

Frage von MWelslau zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
Notebook LAN WLAN LTE trennen (2)

Frage von HansB3rt zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
gelöst Gäste WLAN vom eigenen Netz trennen mit einem eigenen Port am Router? (9)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...