hermes
Goto Top

Bestimmte Webseiten sperren

Suche eine Möglichkeit für bestimmte User einige Webseiten zu sperren

Hallo,

nachdem ich mich durchs Forum gewühlt habe und leider noch kein befriedigendes Ergebnis gefunden habe, hier eine Anfrage an die Netzwerk- und Internetspezis unter euch :

Ich möchte bestimmten Usern im Firmennetzwerk den Zugriff auf bestimmte Webseiten untersagen.

Konkret geht es um facebook, etc. , einige Mitarbeiter übertreiben es mit den Freiheiten, die hier eingeräumt werden, und somit möchte der Chef jetzt für alle Mitarbeiter, die nicht unmittelbar an Facebook-, Xing- etc. Seiten für die Firma arbeiten, den Zugriff verbieten.

Proxy Server geht nicht, da hier einige Applikationen laufen, die immer wieder erhebliche Probleme mit Proxys haben. Wir haben zwar seit vielen Jahren einen Squid im Einsatz, und der macht seine Sache auch gut, aber die Anforderungen haben sich in diesem Bereich geändert, und deshalb wird er demnächst ausgemustert.

Die üblichen verbotenen Seite habe ich über den DNS - Server des Firmennetzes umgeleitet, so dass bei Aufruf von Porno Seiten etc. immer eine Hinweis Seite erscheint, dass diese Seite verboten ist. Das funktioniert auch ganz gut, gilt aber eben generell für alle Client Maschinen und User.

Zusätzlich habe ich auch die etc/hosts editiert, auch hier das gleiche Spiel, gilt immer für alle User des jeweiligen rechners.

Zuerst hatte ich vor im Logon Script die hosts Datei für den jeweiligen User zu kopieren, jeder User hätte dann eine individuelle hosts Datei, so wie jetzt bereits eine individuelle Logon-Batch, aber das funktionierte nur, wenn der User Admin Rechte auf der hosts Datei hat.
Da einige Spezies hier genug Ahnung von EDV haben, sind diese Rechte aber eingeschränkt, also suche ich nach einer Lösung, die vielleicht schon beim Rechnerstart über Gruppenrichtlinien eine hosts Datei vom Server holt, und diese auf den Clients dann jedesmal aktualisiert. Leider bin ich bei den Gruppenrichtlinien nicht so fit, dass ich da was hinbekommen habe.

Der Weg über die URL Filter des Routers geht nur bei den generell gesperrten Seiten, setzten wir bereits ein.

Also : wie kann ich für bestimmte User genau definierte Webseiten sperren und möglichst einfach diese Einstellungen verwalten.

Wir haben hier ein Netzwerk mit derzei drei W2003Std Servern, alle 22 User sind im AD, wechseln aber ständig die Arbeitsplätze und sind nicht an einen festen Platz gebunden. Jeder User hat ein individuelles Logon Script, welches die notwendigen Shares anbindet und einige Umgebungsvariablen setzt. Wir werden demnächst das ganze Netzwerk auf W2008STD umstellen, und dabei kräftig aufräumen, wenn es also Lösungen f. W2008 gibt, - jede Idee ist willkommen.

Vielen Dank schon mal im voraus !

Content-ID: 172166

Url: https://administrator.de/contentid/172166

Ausgedruckt am: 25.11.2024 um 07:11 Uhr

Xaero1982
Xaero1982 28.08.2011 um 13:04:48 Uhr
Goto Top
Moin,

wenn ihr Squid und Co bereits im Einsatz habt und es damit nicht geht (da gibt es hier sicher Leute die sich damit besser auskennen als ich), kann ich dir z.b. Geräte vorschlagen von Barracuda Networks oder mit einer Astaro.

Dort kannst du userabhängige Richtlinien setzen. Die Nutzer werden aus dem AD ausgelesen und dann spielt es keine Rolle wo derjenige sitzt, sofern er mit seinem Username angemeldet ist.

Die Geräte kosten natürlich ne Menge Kohle, aber funktionieren.
Bei beiden genannten kannst du dir Livedemos online ansehen.

VG
kaiand1
kaiand1 28.08.2011 um 13:33:47 Uhr
Goto Top
Moin
Was für ein Router nutzt ihr den damit ihr ins Internet kommt?
Falls ihr die Möglichkeit nicht habt im Router was zu ändern währe da ja noch die Software Lösung (IPCOP, PFSENSE...)
Wo ihr die Regeln setzten könnt ohne das eure Applikationen Probleme bekommt....
hermes
hermes 28.08.2011 um 14:08:37 Uhr
Goto Top
Hallo,

Astaro habe ich schon mal gehört, da werde ich mal nachlesen und sehen ob Aufwand und Nutzen akzeptabel sind

Danke für den Hinweis
hermes
hermes 28.08.2011 um 14:11:09 Uhr
Goto Top
@kaiand1

wir haben nur einen einfachen Telekom Speedport, der funktioniert auch so weit ganz gut.

IPCOP und PFSENSE habe ich zwar mal gehört, traue mich da aber nicht so recht ran, mir wäre es generell lieber mit den vorhandenen Bordmitteln was auf die Beine zu stellen.

Danke für den Hinweis
Xaero1982
Xaero1982 28.08.2011 um 19:20:21 Uhr
Goto Top
Zitat von @hermes:
Hallo,

Astaro habe ich schon mal gehört, da werde ich mal nachlesen und sehen ob Aufwand und Nutzen akzeptabel sind

Danke für den Hinweis



Hi,

viel interessanter ist hier der Preis.

VG
nEmEsIs
nEmEsIs 29.08.2011 um 00:05:43 Uhr
Goto Top
Hi

Also warum traust du dich nicht an sachen wie IPfire IPcop Endian Astaro etc ran. Du bist doch Admin oder ???? face-smile

Iso runterladen nen alten Rechner nehmen ausprobieren....

Man lernt in der IT in meinen Augen nur wenn man was ausprobiert.... Theorie hin Theorie her .....

Alternativ kannst du noch die Gatewaylösung von MS nutzen ISA 2006 bei 2003 und bei 2008 / r2 dan TMG / Forefront ....
kostet natürlich auch ein wenig Geld ...

Die oben genannten sind bis auf Astaro kostenlos.

Weitere Frage ist, sind die Applications nur auf den Servern installiert ??? oder generell auf allen Rechnern die so Probleme mit dem Proxy haben ????
Bzw. man kann den Squid auch transparent laufen lassen, was heißt, das du keinen Proxy Port angeben musst und der Traffic trotzdem gefltert wird.


MFG Nemesis
kaiand1
kaiand1 29.08.2011 um 00:16:38 Uhr
Goto Top
Du kannst ja auch mit PFSENSE sagen das der das Internet über den Speedport leiten soll so das du in Ruhe dich mit der Software Version anfreunden kannst ohne das Laufende System zu stören.
Später änders du die IP vom Softwarerouter und Speedport und leitest den ganzen Inet über den Softwarerouter...
Sollte da was nicht laufen kannste schnell die IPs ändern und den alten Zustand wiederherstellen ohne großen aufwand....
hermes
hermes 29.08.2011 um 06:30:04 Uhr
Goto Top
Hallo und danke für die Antworten,

an PFSense und IPCop habe ich mich bisher nicht herangetraut, weil kein Bedarf da war, - alle Filtermöglichkeiten des Internet habe wir erfolgreich über DNS und etc/hosts eingerichtet. Unseren Squid haben wir vor Jahren eingerichtet um zuerst die ISDN Leitung und später die erste DSL Leitung besser auszunutzen.

Die problematischen Applikation sind Online Auktionen für KFZ. Die Jungs dieser Webseiten sind einfach nicht in der Lage so etwas anständig zu programmieren. Zeitweise mussten wir auf einigen der betroffenen Rechnern sogar Admin Rechte für die Zeit der Auktionen freischalten, damit die Webseiten komplett liefen...

Die seiten sind überhaupt nicht aufrufbar, bzw. komplett nutzbar, wenn es über einen Proxy geht, desweiteren müssen nur für diese Applikation Ports im Router- und in der lokalen Firewall freigeschaltet werden. Es wird da eine Java Applikation gestartet, und wie immer wenn ich in den letzten 20 Jahren mit Java arbeiten musste, gibt es nur Probleme.

Aus diesem Grund befürchte ich auch, dass andere Softwarelösungen hier scheitern werden.

Trotzdem Danke, ich werde mir das in der nächsten Zeit mal ansehen und ausprobieren.

VG
Hermes
kaiand1
kaiand1 29.08.2011 um 07:06:46 Uhr
Goto Top
Die problematischen Applikation sind Online Auktionen für KFZ. Die Jungs dieser Webseiten sind einfach nicht in der Lage so
etwas anständig zu programmieren. Zeitweise mussten wir auf einigen der betroffenen Rechnern sogar Admin Rechte für die
Zeit der Auktionen freischalten, damit die Webseiten komplett liefen...

Was sind das für Seiten die Adminrechte brauchen? Wofür brauchen die diese Adminrechte?
hermes
hermes 29.08.2011 um 07:53:09 Uhr
Goto Top
Hallo,

die Seite darf ich hier nicht nennen. Es handelt sich um Fahrzeug - Online Auktionen. Man meldet sich als Händler an, sieht per Video die einzelnen Fahrzeuge, wie sie in einer Halle vorgestellt werden, und hört den Auktionator. Und man kann einfach mitbieten. Wie bei einer echten Auktion nur eben per Video. Wenn man auf die Seite geht ist erst mal alles ok, aber wenn man an einer konkreten Auktion teilnehmen will, wird auf dem lokalen Rechner eine Java Applikation gestartet, die das ganze abwickelt. Diese Applikation zeigt dann den Katalog mit Auktionen der nächsten Zeit an, und die KFZ die dort angeboten werden.

Wir haben seit etwa 3 Jahren damit die unterschiedlichsten Probleme. Obwohl eigentlich alle Rechner identisch ausgestattet und konfiguriert sind, kommt es immer wieder zu Problemen. Alle Rechner haben WinXP SP3 und die akt. Java Runtime, trotzdem kann es sein, dass bei PC 1 das Bild nicht sichtbar ist, PC 2 funktioniert, obwohl er zwei Wochen vorher in gleicher Konfiguration nicht lief, und PC 3 lässt einen gar nicht erst auf die Seite. In keinem Fall hat es geklappt, wenn wir durch den Proxy gegangen sind, obwohl alles andere damit geht. Im schlimmsten Fall muss ich für die Zeit der Auktion auf dem Rechner wo die Kollegen gerade an der Auktion teilnehmen wollen, Firewall ausschalten, lokale Admin Rechte geben und nochmal kontrollieren, ob Java gerade aktualisiert werden muss.

Seit über 20 Jahren kümmere ich mich um PC und Netzwerke, aber seit Java aufgetaucht ist, ist es für mich wie eine der Plagen aus der Bibel. Ich habe es eigentlich noch nie gesehen dass eine Java Applikation anstandslos läuft, egal ob die aktuelle Runtime auf dem Rechner ist oder nicht.

Den Grundgedanken hinter Java finde ich eigentlich ganz gut, und solange ich für hauseigene Anwendungen programmiere, sehe ich die Sache auch als tolle Möglichkeit an, denn dort habe ich immer Zugriff auf die Rechner konfiguration, und kann mich mit meiner Programmierung anpassen, aber wenn Internetseiten irgendwelche Java-Applikationen verwenden, dann ist bis jetzt immer Mehraufwand notwendig geworden, und das nervt.

Trotzdem ist diese Sache nicht mein Anliegen an dieser Stelle. Wir haben uns damit arrangiert und sind mittlerweile ganz gut konditioniert in welcher Reihenfolge die Konfiguration durchgetestet werden muss, damit Autos gekauft werden können.

Damit ich hier aber keine neuen Probleme bekomme, habe ich eben zuerst an hosts und DNS gedacht.

Aber Danke für das Interesse.

VG
Hermes
Lochkartenstanzer
Lochkartenstanzer 29.08.2011 um 09:43:27 Uhr
Goto Top
Warum wieder mit Tefchnik rumeiern, bevor man das einfach organisatorisch löst:

  • Jedem Mitarbeiter einen Schrieb unter die Nase halten, daß er auf facebook (und anderen webseiten) nichts zu suchen hat, und unterschreiben lassen.
  • Bei Verstoß Abmahnung androhen
  • Mitteilen daß die Zugriffe auf facebook protokolliert werden und gut is'.


Das bringt den leuten auch ins Bewußtsein, daß sie arbeiten sollen statt "facebooken".
hermes
hermes 29.08.2011 um 10:05:58 Uhr
Goto Top
Hallo,

ja, das wäre eine Möglichkeit, und sie wird auch bereits genutzt. Jeder Mitarbeiter hat bereits unterschrieben, dass privates Surfen und private Email Abrufe nicht gestattet sind, und dass derartige Zugriffe protokolliert werden.

Wir haben aber festgestellt, dass eine gewisse Toleranz für das Arbeitsklima sehr förderlich ist, insofern werden die Leute nur angesprochen, wenn wir feststellen, dass am Tag mehr als etwa eine Stunde offenbar privat gesurft wird. Wenn wir sehen, dass jeden Tag 20-30 Minuten auf Facebook oder andern, nicht arbeitsrelevanten Seiten herumgelungert wird, dann gibt es auch ein Gespräch, von Abmahnungen wollen wir bei solchen Sachen absehen. Aber ab und zu kommt es eben vor, dass User trotz Gespräch sich selbst nicht in den Griff kriegen, und dafür soll es dann für bestimmte Zeiträume Sperren geben.

Auf der anderen Seite haben wir durchaus festgestellt, dass die Facebook etc. - Kontakte uns auch schon Kunden gebracht haben, deshalb wollen wir die Sache lieber regeln als komplett verbieten.

Bis jetzt sind wir mit dieser Vorgehensweise gut gefahren, das Arbeitsklima ist gut, die Leute schaffen ihre Arbeit, sind engagiert und die meisten identifizieren sich mit der Firma, deshalb finde ich den Ansatz "arbeiten statt facebooken" nicht so passend.

Aber vielen Dank für den Hinweis

Hermes
Lochkartenstanzer
Lochkartenstanzer 29.08.2011 um 21:33:51 Uhr
Goto Top
Zitat von @hermes:
deshalb finde ich den Ansatz "arbeiten statt facebooken"
nicht so passend.

Da die anderen Informationen ja nicht vorlagen, habe ich meine Kristallkugel gefragt und die sagte. Die leute dürfen üebrhaupt nicht auf facebook u.a., weil sie eher arbeioten sollen. face-smile

Natürlich ist es schwierig, wenn sie nur ein bischen dürfen sollen, Dann ist es netürlich schwierig, Konsequenzen druchzuziehen.

Man könnte aber stattdessen das über die soziale Kontrolle in den Griff zu bekommen.

"TOP 10/100" der facebooker", die mehr als 15 Minuten pro Tag auf facebook sind, obwohl sie dort nichts zu suchen haben. oder so intern veröffentlichen. Und diejenigen, die mehr als 5 mal im Monat in dieser Liste auftauchen -> abmahnen.

lks

PS: Ich weiß, daß in einer Umgebung, in der man viele Freiheiten genießt, viel lieber arbeitet. Allerdings muß man sich diese Freiheiten auch verdienen. Daher sollte man das den betreffenden Mitarbeitern klarmachen.