eggired
Goto Top

Alternative für clientseitiges Webfiltering gesucht

Guten Morgen zusammen,

bisher haben wir eine Endpoint Protection im Einsatz, die auch ein Endpoint-seitiges Webfiltering anbietet. Hierbei kann der Zugriff auf Webseiten über herstellerseitige Kategorisierungen bzw. auch individuell über URL-Pattern eingeschränkt bzw. auch ganz unterbunden werden.

Wie ich nun erfahren habe, soll zeitnah der Wechsel auf einen anderen Anbieter erfolgen, der diese Funktion nicht anbietet. Vor dem Hintergrund, dass Internet-Traffic bei Remotearbeitsplätzen direkt „nach draußen“ geht und nur der interne Netzwerk-Verkehr per VPN in die Firma geleitet wird, halte ich eine solche Funktion für weiterhin zwingend erforderlich, um auf sämtlichen Endpoints eine einheitlicemhe Websecurity durchzusetzen.

Hieraus ergeben sich für mich zwei Fragen:

Gibt es für die beschriebene Anforderung einen speziellen Fachbegriff? Ich hab bisher immer nur zentrale Proxy-Lösungen gefunden, die nur greifen, wenn sämtlicher Traffic über den Internet-Anschluss unserer Firma laufen, was in unserer Konstellation bei den Remote-Clients entsprechend nicht greifen würde.

Hat jemand von Euch eine solche Software im Einsatz und kann eine Lösung empfehlen bzw. von einer Lösung eher abraten?

Vielen Dank vorab für Eure Unterstützung und einen guten Tagesstart!

eggired

Content-ID: 672157

Url: https://administrator.de/forum/alternative-fuer-clientseitiges-webfiltering-gesucht-672157.html

Ausgedruckt am: 29.03.2025 um 09:03 Uhr

nachgefragt
nachgefragt 26.03.2025 um 07:40:55 Uhr
Goto Top
Moin.
Webfilter oder Web Access Control (WAC), Content Control kann über die Firewall gehen, z.B.
https://docs.opnsense.org/manual/how-tos/proxywebfilter.html
https://www.bitdefender.com/business/support/en/77209-342965-content-con ...

Aber wie von dir beschrieben, fällt ein großer Teil weg, weshalb das Features auf der Endpoint Protection gut aufgehoben ist.

Wie ich nun erfahren habe, soll zeitnah der Wechsel auf einen anderen Anbieter erfolgen
Der Entscheider hat das Thema also nicht in der must have list?!
Naja, dann ist's wohl nicht dein Problem.
NordicMike
NordicMike 26.03.2025 um 08:31:43 Uhr
Goto Top
Der Entscheider hat das Thema also nicht in der must have list?!
Der Entscheider hat es ihm scheinbar aufgetragen.

Übrigens kann man jedes VPN so einstellen, dass der gesamte Verkehr doch über die VPN Leitung geht.

Ansonsten hat jedes gute Antivirus Paket bereits Content Control.
Looser27
Looser27 26.03.2025 aktualisiert um 08:57:48 Uhr
Goto Top
Spricht irgendwas dagegen, nur interne DNS-Server bei aktiver VPN-Verbindung zu nutzen? Dann kannst Du den Traffic über ADGuard oder pihole filtern.
ThePinky777
ThePinky777 26.03.2025 aktualisiert um 09:28:02 Uhr
Goto Top
Zscaler in kombination mit Zscaler App
wäre ein einzelprodukt das man verwenden könnte.
Mit de App hat manden vorteil das einfach alles an Internet Traffic durch die App dann geleitet wird, als Proxy quasi.
Hat auch die Option mit Kategorisieren usw... von Webseiten.
Und durch das aufbrechen https kann man auch jeglichen download unterbinden von usern von ausführbahren dateien.
Looser27
Looser27 26.03.2025 aktualisiert um 09:30:32 Uhr
Goto Top
Das Aufbrechen von https-Traffic ist problematisch bei manchen Usern, z.B. Buchhaltung, Geschäftsführung.
Nur so als Anmerkung am Rande....
Michi91
Michi91 26.03.2025 um 10:07:29 Uhr
Goto Top
+1 für internen DNS mit AdGuard
ThePinky777
ThePinky777 26.03.2025 aktualisiert um 10:37:34 Uhr
Goto Top
Zitat von @Looser27:

Das Aufbrechen von https-Traffic ist problematisch bei manchen Usern, z.B. Buchhaltung, Geschäftsführung.
Nur so als Anmerkung am Rande....

Ist gängige sicherheitstechnologie.
Wie willst du sonst verhindern das schadcode per https reingeladen wird ?
Und ich glaub verlust der kompletten IT im vergleich zu Paranoia ist akzeptabel.
Würde mir ein GF irgendwie das verbieten zeige ich ihm ein life Hack video und wie schnell seine Firma hops gehen kann, da ist die diskussion schnell beendet.

Und manche Finanz Apps reagieren da allergisch wenn die Zertifikate nicht passen (manche Apps sind so programmiert das sie das Zertifikat des Traffics analysieren, und daher das neue Zertifikat von deinem System bemerken, typischer Men in the Middle Attacke, und aufgrund dessen Dienst verweigern), dann definiert man den Traffic dann halt als Exception und fertig.

Und mal am rande erwähnt du kannst als admin den Traffic nicht einsehen, also was genau da gelaufen ist.
Sprich die Rohdaten werden nirgends gespeichert, lediglich die Metadaten also URL, Client IP etc... halt.
Daher muss auch kein User Paranoia schieben man können ihn abhören oder so....
Die URLs + Client IP könntest du so oder so sehen auch ob du aufbrichst oder nicht (kann jeder Proxy).

Gängige Produkte sind hier eben ZScaler, damals Sophos UTM Firewall Webprotection, und gibt sicher noch viel mehr... Jede Firma die das nicht einsetzt handelt in meinen Augen fahrlässig.

Warum?

Folgende Methoden sind schon state of the Art um sich ransomware inklusiv letheral moving einzufangen:
User klickt auf Link. die Webseite lädt mit gängiger Scriptsprache z.B. Java Script Datenfragmente in den RAM des Clients und im RAM decrypted sie diese und der schadcode ist im RAM und wird dann ausgeführt.
Und das ganze per https verschlüsselt....
Somit die einzige chance das zu unterbinden ist https aufzubrechen und nach schadcode (signaturen der Hersteller) suchen zu lassen. bietet zwar auch nicht 100% schutz, aber besser wie nix.
Oder auch schon gesehen Macro Dateien mit VBS Code welche das selbe machen, bedeutet die laden unkompilierten Code zerstückelt rein, also nicht zu erkennen für normale Virenscanner, und bauen im RAM das ding zusammen und kompilieren es.... echt krasser tobak face-smile

Und normale proxys bringen auch nix, schadcode ist einfach in der google cloud oder amazon cloud - die nicht auf blacklists für proxys zu finden sind....

weiterer vorteil des ganzen ist das blocken generell von scriptdateien und exe und msi usw... zum download, was du mit nem normalen proxy der https nicht aufbricht nicht schaffen wirst.

Übrigens ist das dann auch deine letzte bastion an schutz, wenn der normale Virenscanner, der im schnitt nur 50-60% der Viren erkennt komplett versagt, und auch email schutz systeme die versagt haben, und die email reingelassen haben... was sonst soll dann noch deine systeme schützen?

Meiner Meinung nach handeln alle die sowas nicht einsetzen grob fahrlässig, dann kannst dir den rest auch grad sparen... (ich übertreib mal).
CamelCase
CamelCase 26.03.2025 aktualisiert um 10:37:08 Uhr
Goto Top
Zitat von @ThePinky777:

Unabhängig davon, dass ich TLS-Inspection für nicht richtig halte und regelmäßig auch Probleme verursacht, muss man aufpassen bzw. prüfen ob man es überhaupt darf. Wenn private Internetnutzung nicht ausdrücklich verboten ist, darf man es z.B. nicht.
ThePinky777
ThePinky777 26.03.2025 aktualisiert um 10:44:34 Uhr
Goto Top
Zitat von @CamelCase:

Zitat von @ThePinky777:

Unabhängig davon, dass ich TLS-Inspection für nicht richtig halte und regelmäßig auch Probleme verursacht, muss man aufpassen bzw. prüfen ob man es überhaupt darf. Wenn private Internetnutzung nicht ausdrücklich verboten ist, darf man es z.B. nicht.

Sollte man eh generell verbieten. Mitarbeiter schrottet IT in der Mittagspause... weil Privat surfen erlaubt ist...
Sollte man ernsthaft immer dran denken.

Sind halt standard sachen die dir jeder Datenschützer empfehlen wird und jeder Sicherheitsberater.
Auch hinsichtlich Vertragswesen HR... wer irgendwelche Sicherheitszertifizierungen hat weiss bescheid.

Und man kann ein Guest Netzwerk machen, da darf dann jeder surfen wie er will mit seinem Privat gerät und das läuft dann normal ohne aufbrechen....
CamelCase
CamelCase 26.03.2025 um 10:44:15 Uhr
Goto Top
Man macht sich damit auch ne Menge Arbeit.. Verwalten von Zertifikaten, verwalten von Ausnahmen weil viele Apps Certificate-Pinning betreiben, genervte User usw...
ThePinky777
ThePinky777 26.03.2025 aktualisiert um 10:47:40 Uhr
Goto Top
ja Security ist selten bequem face-smile
Aber generell funktioniert das und hier hat sich auch noch keiner aus dem Fenster gestürzt face-smile
Nach dem motto "AAAHHH mein PC geht nicht wie ich will!" face-smile

Aber bequem ist dann das hier wohl:
https://www.youtube.com/shorts/Ez-ZqRcuzCU
Auch ne Lösung face-smile