Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Webfilterung für Filialen einrichten

Frage Internet

Mitglied: schnitzel68

schnitzel68 (Level 1) - Jetzt verbinden

16.07.2010 um 09:34 Uhr, 2859 Aufrufe, 13 Kommentare

Hallo zusammen,

ich stehe vor der Herausforderung, daß in einem Filialbetrieb die Mitarbeiter in den Filialen sich mehr in social networks etc. herumtreiben, als zu arbeiten. Dies möchte ich möglichst mit den vorhandenen Mitteln unterbinden.

Die Filialen sind über dsl online, nicht alle Router sind dieselben, außerdem liegen die Filialen einige 100 km auseinander, so daß die Administration der Filter (wenn überhaupt vorhanden) in den Routern schwierig ist. Erschwerend kommt hinzu, daß jeweils ein Rechner in den Filialen nicht administrierbar weil gesperrt ist, dieser Rechner baut einen Tunnel zu einem externen Server auf (Kassensystem).
Einfaches Sperren in den Browsern scheidet aus, das wird in 2 min umgangen.

Mir schwebt eine Lösung vor, zentral bei mir eine Whitelist für alle Filialen administrieren zu können. Zentral gibt es einen Windows 2008 r2-Server, der über Kabelanbieter online ist.

Wie kann ich erreichen, daß die Browser in den Filialen sich quasi in der Zentrale die Erlaubnis für die Zugriffe aus der Whitelist abholen, ohne daß der ganze Datenverkehr über den zentralen Server geht? Wäre da eventuell ein Proxy richtig?

Wäre super, wenn mir hier einer der Spezialisten behilflich sein könnte.

Gruss
Mitglied: H41mSh1C0R
16.07.2010 um 10:24 Uhr
Die einfachste Variante ist von allen Mitarbeitern eine Klausel unterschreiben zu lassen, das das private Surfen nicht gestattet ist, sämtliche Onlineaktivitäten geloggt werden und mit arbeitsrechtlichen Konsequenzen zu rechnen ist beim Verstoß gegen die Klausel.

Die Variante mit dem Proxy und der Whitelist ist durchaus möglich, bedeutet aber Aufwand.
Bitte warten ..
Mitglied: schnitzel68
16.07.2010 um 10:42 Uhr
Solche Verträge sind selbstverständlich vorhanden. Leider löst das mein Problem nicht, ich brauche eine Kontroll- bzw Unterbindungsmöglichkeit. Wie groß ist der Aufwand einzuschätzen?
Bitte warten ..
Mitglied: winworker
16.07.2010 um 11:10 Uhr
Schau dir mal IPcop oder Endian Firewall an. Ist natürlich mehr administrativer Aufwand als ein Router aber dafür läuft das auch auf einem älteren PC und du kannst fast alles einstellen.

Hab das selber bei einigen Kunden im Einsatz.
Bitte warten ..
Mitglied: H41mSh1C0R
16.07.2010 um 11:12 Uhr
preiswerte Version:

- Linux aufsetzen
- Squid drauf -> konfigurieren inkl. Whitelist

Jetzt musst du noch auf Clientseite die Verbindung so einstellen das auch dein Proxy benutzt wird. Ich gehe mal davon aus das die User NUR Userrechte haben und nicht die Proxyeinstellungen verändern dürfen.

Das was aber kritischer ist, die Verfügbarkeit deines Proxies zu gewährleisten.

Wird das Netz rein als Surfmedium benutzt oder gibt es Webapplikationen die keine Ausfälle vertragen?
Bitte warten ..
Mitglied: aqui
16.07.2010 um 12:06 Uhr
Linksys Router, Edimax usw. bieten ebenfalls die Möglichkeit URLs direkt auf dem Router zu filtern, ebenso wie kostenlose FW Appliances wie M0n0wall oder Pfsense oder die oben genannten.
Dort ist das dann mit 3 Mausklicks zu machen und einigermaßen wasserdicht wenn du dir die Installation einens Proxys ersparen willst, was zweifelsohne die beste Lösung ist in Verbindung mit URL Filtern.
Noch wichtiger ist die Vereinbarung für den Arbeitsvertrag so wie es allerorten gängig ist, denn das droht ganz klar Konsequenzen an.
Bitte warten ..
Mitglied: schnitzel68
16.07.2010 um 12:18 Uhr
Es gibt ein Kassensystem, das keine Ausfälle verträgt. Von daher ist die Verfügbarkeit des Proxys tatsächlich kritisch und wahrscheinlich gar nicht zu 100% zu gewährleisten, wenn der auch wieder "nur" an einem Kabel-Anschluß hängt.
Die User haben schon nur Userrechte - allerdings könnte sich doch trotzdem jemand einen anderen Browser installieren und damit die Einstellungen im IE umgehen, oder liege ich da falsch?
Bitte warten ..
Mitglied: schnitzel68
16.07.2010 um 12:26 Uhr
In der Zentrale habe ich eine Endian Firewall 4i Office im Einsatz, mit der ich über VPN-Tunnel von außen auf den Windows-Server gehe.
Um die Filialen zu filtern müßte aber dann ja in jeder Filiale so eine Firewall stehen, oder könnten die sich bei der zentralen Firewall die "Erlaubnis" holen?
Bitte warten ..
Mitglied: aqui
16.07.2010 um 12:38 Uhr
Ja, wenn der Internet Zugriff lokal in den Filialen geschieht ist dem so. Da ist es dann besser man inverstiert 50 Euro und tauscht die Router gegen solche mit Firewall und URL Filter aus. Z.B. Linksys WRT54 u.a.
Bitte warten ..
Mitglied: theshu
16.07.2010 um 13:05 Uhr
Andere Möglichkeit:

Schau dir mal deine AV-Lösung an. Die meisten Anbieter haben bereits Filterfunktionen mit eingebaut. Wenn Du die Clients dann Zentral verwalten kannst, dann brauchst Du nur noch einmal eine Policy erstellen und auf alle Clients ausrollen...
Setzt natürlich voraus, dass ihr eine einheitliche AV-Lösung für alle PCs benutzt...

So haben wir das zumindest bei uns in der Firma (über Eset NOD32 Admin Console) gelöst und fahren ganz gut damit

Mit freundlichen Grüßen theshu
Bitte warten ..
Mitglied: schnitzel68
16.07.2010 um 13:09 Uhr
Wir nutzen Kaspersky, allerdings dezentral mit lauter Einzelinstallationen. theshu, können die User das nicht auch einfach abschalten?
Bitte warten ..
Mitglied: schnitzel68
16.07.2010 um 13:20 Uhr
Wir haben überwiegend Speedports von der Telekom, ab und an auch mal einen Linksys. Mich stört daran halt die aufwendige Administration, aber ich fürchte, es wird darauf hinauslaufen. Ich hoffe, alle Router haben eine URL-Filterungsfunktion mit Whitelist.
Bitte warten ..
Mitglied: theshu
16.07.2010 um 13:21 Uhr
Also bei Kaspersky gibt es auch die Möglichkeit alles zentral verwalten zu lassen. Schau einfach mal auf der Homepage nach.

Da Du die Konfigurationen (Den Zugriff auf die Einstellungsoberfläche im Kaspersky) per Passwort vor Veränderungen schützen kannst, kann auch kein Mitarbeiter den Filter ohne weiteres deaktivieren.

Allerdings glaube ich wird so eine Zentralverwaltung bestimmt nur für die "Business"-Version von Kaspersky angeboten. Weiß nicht, ob ihr die habt...
Einziger Wehrmutstropfen: Du müsstest alle Clients (geht auch per Fernwartung / Remotedesktop) so einstellen, dass sie sich mit deinem Kaspersky-Verwaltungsprogramm (auf deinem Server oder wo auch immer) verbinden. Dann kannst du dort alle weiteren Einstellungen vornehmen. Eventuell musst Du noch einen Port auf dem Router hinter der Dein Verwaltungsserver steht freigeben.

Übrigens: "Klevere" Mitarbeiter werden vielleicht versuchen über LiveCDs oder Laptops ins Internet zu kommen. Eine MAC-Filterung + Rechnernamenfilterung schaft zumindest ein wenig abhilfe...
Auch kannst Du das BIOS so konfigurieren, dass LiveCDs nicht gebootet werden. Anschließend das BIOS noch mit PW sichern.

Hilft Dir das weiter?
Bitte warten ..
Mitglied: aqui
16.07.2010 um 13:48 Uhr
Ob der Aufwand mit der Firewall Frickelei dann geringer ist als bei den Filialen diese URLs in HW zu sperren sei ja mal dahingestellt. Mal ganz abgesehen das man das "bastelfest" machen müsste um die Hacker in den Filialen nicht noch einen Grund zu geben der sie von der regulären Arbeit abhält.
Sowas hardwareseitig mit Netzkomponenten zu machen stellt immer eine erheblich größere Hürde da weil da Winblows Bastelknowhow meist nicht mehr reicht um es zu überwinden und es mehr kriminelle Energie erfordert.
Das grundlegende Problem ist das das ganze Filial Vernetzungskonzept in sich schon völliger Murks ist und eher Bastelei denn ein Konzept ist.
Und nun sollst du mit Bordmitteln, die vermutlich nichts kosten sollen wie immer, diese Fehlplanung fixen.
Einfach ohne nur minimalen HW Aufwand wird das so nicht zu machen sein. Zumal bei der Firewall Lösung jeder ja zudem beliebig seine Privatrechner, PDAs ins Netz nehmen kann und hat das Konzept dann im Handumdrehen ausgehebelt ist !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst TP-Link WA501G als Client einrichten - Keine IP Adresse wir bezogen (14)

Frage von bestelitt zum Thema LAN, WAN, Wireless ...

Apache Server
Alias bzw. Weiterleitung unter Apache 2.4 einrichten (2)

Frage von m.reeger zum Thema Apache Server ...

Windows Server
gelöst Einrichten SBS 2011 mit Hybrid Router (12)

Frage von stolli zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...