Bestimmten Webseitenpfad sperren

holliknolli
Goto Top
Hallo,

zuerst mal - das Problem selbst ist zwar lösbar, allerdings sehr, sehr teuer - mit einer Hardware Appliance von Sophos und Content-Profilen, bzw. Regex-Expressions.

Das Problem:

es soll der Zugriff auf Webseite:

"www.seite.de/verboten"

gesperrt werden. Der Zugriff auf

"www.seite.de/erlaubt"

dagegen erlaubt sein.

Was ich weiß ist, dass die Windows-Firewall und Hosts-Datei nur ganze IPs und Domains sperren kann.

Frage: das muss doch irgendwie kostengünstig gehen, ohen gleich überall jedem Kunden eine Hardware-Firewall aufzuschwatzen.

Nebenbedingung: das Ganze sollte schon über GPOs oder zentral gesteuert werden, weshalb Free- und Shareware ausscheidet.

Hat hier jemand Vorschläge, wie sich das am besten bewerkstelligen ließe.

LG,
H.K.

Content-Key: 2675937974

Url: https://administrator.de/contentid/2675937974

Ausgedruckt am: 30.06.2022 um 20:06 Uhr

Mitglied: em-pie
em-pie 03.05.2022 um 14:38:17 Uhr
Goto Top
Moin,

Nebenbedingung: das Ganze sollte schon über GPOs oder zentral gesteuert werden, weshalb Free- und Shareware ausscheidet.
das ist natürlich Schade, denn dann fallen Tools wie z. B. der PiHole raus:
https://pi-hole.net/
Mitglied: Doskias
Doskias 03.05.2022 um 14:57:59 Uhr
Goto Top
Zitat von @holliknolli:
Frage: das muss doch irgendwie kostengünstig gehen, ohne gleich überall jedem Kunden eine Hardware-Firewall aufzuschwatzen.
Aufschwatzen ist der falsche Ausdruck. Es gibt eine gewisse Notwendigkeit einer Firewall. Wenn es keine keine Hardware sein soll, gibt es seitens Sophos auch virtuelle Appliance.

Nebenbedingung: das Ganze sollte schon über GPOs oder zentral gesteuert werden, weshalb Free- und Shareware ausscheidet.
Was spricht gegen eine Sophos virtual Appliance?
https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onli ...

Und von welcher Kundengröße reden wir hier?

Gruß
Doskias
Mitglied: holliknolli
holliknolli 03.05.2022 um 15:16:57 Uhr
Goto Top
Zitat von @Doskias:


Was spricht gegen eine Sophos virtual Appliance?
https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onli ...

Und von welcher Kundengröße reden wir hier?

der Preis - sind hauptsächlich Kitas und Jugendvereine in dem Fall. Die haben nun mal kein großes Budget. Bis zu 200 User (Kinder), allerdings nur max. 5-20 Clients.

LG
Mitglied: manuel-r
manuel-r 03.05.2022 um 15:19:15 Uhr
Goto Top
es soll der Zugriff auf Webseite "www.seite.de/verboten" gesperrt werden. Der Zugriff auf "www.seite.de/erlaubt" dagegen erlaubt sein.

Das ist sozusagen eine der "Kernkompetenzen" eines Proxys.

das Ganze sollte schon über GPOs oder zentral gesteuert werden

Inwiefern?

weshalb Free- und Shareware ausscheidet.

Inwiefern?

Manuel
Mitglied: em-pie
em-pie 03.05.2022 um 15:21:59 Uhr
Goto Top
Zitat von @holliknolli:

der Preis - sind hauptsächlich Kitas und Jugendvereine in dem Fall. Die haben nun mal kein großes Budget. Bis zu 200 User (Kinder), allerdings nur max. 5-20 Clients.
Dann nimm ein APU4D4 Board und pfSense. Dazu den Squidguard und gut:
https://zefanjas.de/pfsense-webfilter-squidguard-fuer-https-verbindungen ...

Gruß
em-pie
Mitglied: Doskias
Doskias 03.05.2022 um 15:35:57 Uhr
Goto Top
Zitat von @holliknolli:
Zitat von @Doskias:

Was spricht gegen eine Sophos virtual Appliance?
https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onli ...
Und von welcher Kundengröße reden wir hier?

der Preis - sind hauptsächlich Kitas und Jugendvereine in dem Fall. Die haben nun mal kein großes Budget. Bis zu 200 User (Kinder), allerdings nur max. 5-20 Clients.

Jetzt mal im Ernst. Ja die Lösung kostet was, aber ist dennoch weit davon entfernt eine Firewall aufzuschwatzen. Grade in dem Bereich sind ja auch nicht unwichtige Daten, die geschützt werden müssen. Und die Problematik ist mir durchaus bekannt, aber dann nimm halt eine günstigere Variante. @em-pie hat dir ja schon welche Empfohlen. Wenn du die dann nicht über AD-Gruppen steuern kannst, dann ist dem halt so. Irgendwo wirst du Abstriche machen müssen. Kann dir an der Stelle leider nicht weiterhelfen, da ich mich ausschließlich mit Firewalls beschäftige, die außerhalb deines Preisbereiches liegt, wenn die Lizenz der Sophos virtuall Appliance schon zu teuer ist ;-) face-wink

Gruß
Doskias
Mitglied: Tezzla
Tezzla 03.05.2022 um 16:05:49 Uhr
Goto Top
Moin,

du kannst dies in der Config deines Webservers hinterlegen.
Wenn du es zentral verwalten möchtest, gibt es die Möglichkeit einen ReverseProxy einzusetzen, bspw. auf Basis von nginx, die Zugriff zu steuern. Hier kannst du hinterlegen aus welchem Subnetz welche URL aufrufbar ist.
Wenns bunt und grafisch sein soll zB der NGINX ReverseProxy Manager, geht aber natürlich auch direkt über die Konsole mit Config Files.

In der Firewall des Webservers lässt du dann nur den Zugriff vom ReverseProxy aus zu, damit auch keiner den direkten Weg nimmt.

Das beschriebene Szenario lässt sich auf virtueller Linuxbüchse oder auf nem 50€ Rechner realisieren, wie man möchte.
Mitglied: manuel-r
manuel-r 03.05.2022 um 16:38:14 Uhr
Goto Top
Zitat von @Tezzla:

Moin,

du kannst dies in der Config deines Webservers hinterlegen.
Wenn du es zentral verwalten möchtest, gibt es die Möglichkeit einen ReverseProxy einzusetzen, bspw. auf Basis von nginx, die Zugriff zu steuern. Hier kannst du hinterlegen aus welchem Subnetz welche URL aufrufbar ist.
Wenns bunt und grafisch sein soll zB der NGINX ReverseProxy Manager, geht aber natürlich auch direkt über die Konsole mit Config Files.

In der Firewall des Webservers lässt du dann nur den Zugriff vom ReverseProxy aus zu, damit auch keiner den direkten Weg nimmt.

Das beschriebene Szenario lässt sich auf virtueller Linuxbüchse oder auf nem 50€ Rechner realisieren, wie man möchte.

Thema verfehlt. Setzen 6.

Manuel
Mitglied: Looser27
Looser27 03.05.2022 um 17:08:37 Uhr
Goto Top
Moin,

ich würde das über AdGuard auf nem Raspi lösen.....dazu braucht es keine teure UTM Appliance. Zumindest solange das die einzige Anforderung bleibt.
AdGuard bietet auch vordefinierte Filter für den Kinder- und Jugendschutz. Wenn der Raspi hier nicht mehr reicht, geht ein Intel NUC genauso.

Gruß

Looser
Mitglied: altmetaller
altmetaller 03.05.2022 um 20:50:01 Uhr
Goto Top
Hallo,

Du könntest den DNS-Eintrag für die Seite(n) z.B. via DNS auf einen Proxy umbiegen und dort filtern...

Gruß,
Jörg
Mitglied: EliteHacker
EliteHacker 06.05.2022 um 02:47:06 Uhr
Goto Top
Hallo.

Geht mit einem Webproxy. Bei TLS musst du allerdings die Verschlüsselung aufbrechen.

Gruss