17
Internetverkehr in der Firma prüfen vor sperren
Hallo Gemeinde,
wir haben manchmal das Gefühl, dass in der Arbeitszeit zu viel privat auf Facebook & Co gesurft wird.
Bevor wir Zugänge zu bestimmten Webseiten sperren, wollen wir erst einmal das Ausmaß überprüfen.
Wie kann ich den Gesamttraffic auf eine bestimmte Seite z.B. Facebook zentral einfach erst einmal anonym zählen (Anzahl der Minuten pro Tag/Woche auf Facebook, ggf. pro PC).
Erst wenn der Wert wirklich signifikant zu hoch ist (z.B. Anzahl der Std. auf Facebook / Anzahl der Mitarbeiter > XX Std./Wo), wollen wir mit den Mitarbeitern eine Vereinbarung treffen.
An besten wäre dann z.B. das die Seiten in der Mittagspause erreichbar sind.
So wie ich hier gelesen habe ist das Problem auch in anderen Firmen ein Thema.
Per batch Text in HTML und PHP Dateien suchen und ersetzen
Anscheinend ist ein Proxy die beste Wahl um zentral Webseiten zu sperren, richtig?
Wir haben ein Windows 2008 Netz.
1. Welche Proxy Anbieter könnt ihr empfehlen? Er sollte nicht zu kompliziert sein.
2. Mitarbeiter könnten auf die Idee kommen die Browsereinstellungen wieder auf direkten Zugriff (ohne Proxy) zurückzustellen.
Wie kann ich die Settings für Firefox, Chrome und Internet Explorer zentral verwalten und sperren?
3. Mit welchem Tool kann man den Traffic dann schön (visuell) auswerten?
Besten dank.
Rene
wir haben manchmal das Gefühl, dass in der Arbeitszeit zu viel privat auf Facebook & Co gesurft wird.
Bevor wir Zugänge zu bestimmten Webseiten sperren, wollen wir erst einmal das Ausmaß überprüfen.
Wie kann ich den Gesamttraffic auf eine bestimmte Seite z.B. Facebook zentral einfach erst einmal anonym zählen (Anzahl der Minuten pro Tag/Woche auf Facebook, ggf. pro PC).
Erst wenn der Wert wirklich signifikant zu hoch ist (z.B. Anzahl der Std. auf Facebook / Anzahl der Mitarbeiter > XX Std./Wo), wollen wir mit den Mitarbeitern eine Vereinbarung treffen.
An besten wäre dann z.B. das die Seiten in der Mittagspause erreichbar sind.
So wie ich hier gelesen habe ist das Problem auch in anderen Firmen ein Thema.
Per batch Text in HTML und PHP Dateien suchen und ersetzen
Anscheinend ist ein Proxy die beste Wahl um zentral Webseiten zu sperren, richtig?
Wir haben ein Windows 2008 Netz.
1. Welche Proxy Anbieter könnt ihr empfehlen? Er sollte nicht zu kompliziert sein.
2. Mitarbeiter könnten auf die Idee kommen die Browsereinstellungen wieder auf direkten Zugriff (ohne Proxy) zurückzustellen.
Wie kann ich die Settings für Firefox, Chrome und Internet Explorer zentral verwalten und sperren?
3. Mit welchem Tool kann man den Traffic dann schön (visuell) auswerten?
Besten dank.
Rene
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 215660
Url: https://administrator.de/forum/internetverkehr-in-der-firma-pruefen-vor-sperren-215660.html
Ausgedruckt am: 04.04.2025 um 05:04 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
Firefox über die Profile Settings (eine Datei im UserProfil)
Du kannst in der Firewall den direkten Zugang unterbinden (Allow Ports 80,443 FROM Proxy DROP Ports 80, 443 FROM ALL)
Gruß
1. Welche Proxy Anbieter könnt ihr empfehlen? Er sollte nicht zu kompliziert sein.
Wie wäre es mit Squid?2. Mitarbeiter könnten auf die Idee kommen die Browsereinstellungen wieder auf direkten Zugriff (ohne Proxy) zurückzustellen.
Wie kann ich die Settings für Firefox, Chrome und Internet Explorer zentral verwalten und sperren?
IE kannst du über Gruppenrichtlinien verwalten.Wie kann ich die Settings für Firefox, Chrome und Internet Explorer zentral verwalten und sperren?
Firefox über die Profile Settings (eine Datei im UserProfil)
Du kannst in der Firewall den direkten Zugang unterbinden (Allow Ports 80,443 FROM Proxy DROP Ports 80, 443 FROM ALL)
3. Mit welchem Tool kann man den Traffic dann schön (visuell) auswerten?
RRD?Gruß
Hallo,
Gruß,
Peter
Hallo Gemeinde,
Wie kann ich den Gesamttraffic auf eine bestimmte Seite
Wie diú selbst so schön sagtest: Proxy auswerten.Wie kann ich den Gesamttraffic auf eine bestimmte Seite
1. Welche Proxy Anbieter könnt ihr empfehlen? Er sollte nicht zu kompliziert sein.
Was soll der dann noch können? Ansonsten Squid? Wie kann ich die Settings für Firefox, Chrome und Internet Explorer zentral verwalten und sperren?
Transparenter Proxy = keiner kann den umgehen sofern das Gateway nicht geändert wird / werden kann = Proxy = Gateway = keine Einstellungen an irgendeinem Client.3. Mit welchem Tool kann man den Traffic dann schön (visuell) auswerten?
Liefert der Proxy gleich mit oder nimmst freie Tools dazu. z.B. Sophos UTM (macht mehr als nur Proxy)Gruß,
Peter
Nimm einen ausrangierten PC und installiere dir einen Squid Proxy darauf. Das ist der weitverbreiteste und bekannteste Proxy mit den meisten Features und er ist zudem noch kostenfrei !
Der macht genau das was du willst !
http://www.squid-handbuch.de/hb/
bzw.
http://blog.proesdorf.de/2010/06/29/squid-proxy-konfigurieren.html
http://www.linuxfocus.org/Deutsch/March2002/article235.shtml
usw. usw.
Der macht genau das was du willst !
http://www.squid-handbuch.de/hb/
bzw.
http://blog.proesdorf.de/2010/06/29/squid-proxy-konfigurieren.html
http://www.linuxfocus.org/Deutsch/March2002/article235.shtml
usw. usw.
Hallo Bürger
,An besten wäre dann z.B. das die Seiten in der Mittagspause erreichbar sind.
Das ist nicht zu Ende gedacht. Zuerst würde ich mit Geschäftsleitung und Betriebsrat mal vorfühlen, was (firmen)-politisch überhaupt gewollt ist.
Danach gilt es, zwei grundsätzliche, bindende Vereinbarungen zu den Themen:
- private Nutzung Internet
- private Nutzung E-Mail
zu treffen.
Erst danach kann man das, z. B. für die Mittagspause, per Zusatzvereinbarung, wieder aufweichen. Private Mail-Nutzung ist ohnehin schwer zu verbieten, Mail-Adressen, die erstmal in der Welt sind, sind ab dem Augenblick öffentlich bekannt, und der Mitarbeiter kann nicht verhindern, daß ihm ein Freund oder jemand aus der Familie etwas privat zusendet. Darüberhinaus hat die IT als Betreiber eines Mailservers ohnehin die Pflicht, Mails zuzustellen, selbst die automatische SPAM-Löschung ist problematisch, immerhin könnte es sein, daß jemand tatsächlich eine "echte" Rolex bestellen will. Der Postbriefträger darf ja die Werbung, die an Dich adressiert ist, auch nicht einfach so wegwerfen.
Anscheinend ist ein Proxy die beste Wahl um zentral Webseiten zu sperren, richtig?
Richtig.
Wir haben ein Windows 2008 Netz.
O.K., tut aber eigentlich nichts zur Sache.
1. Welche Proxy Anbieter könnt ihr empfehlen? Er sollte nicht zu kompliziert sein.
Bei ebay einen "gebrauchten" ISA2006 schießen. Hat noch ein paar Jahre Support und müßte günstig zu kriegen sein.
2. Mitarbeiter könnten auf die Idee kommen die Browsereinstellungen wieder auf direkten Zugriff (ohne Proxy)
zurückzustellen.
Wie kann ich die Settings für Firefox, Chrome und Internet Explorer zentral verwalten und sperren?
Für alle Versionen des IE gibt's fertige Original-adm-Templates von Microsoft, die auch offiziell von Microsoft supportet sind, mit deren Hilfe sich eine GPO bauen läßt, die verhindert, daß der User die LAN-Einstellungen (und damit auch die Proxy-Einstellungen) im IE verändert.
Für Chrome gibt's solche Templates auch (von Google) diese sind aber verständlicherweise nicht von Microsoft offiziell supportet, bewirken aber das Gleiche, der User kann die Proxyeinstellungen nicht verändern.
Für Firefox gibt's nur von Privatleuten selbstgebastelte ADMs für diesen Zweck. Die sind dann aber aus Microsoft-Sicht wirklich Null supportet.
Mit Hilfe der GPOs kannst Du natürlich auch die Proxyeinstellungen überhaupt erst setzen, damit Du dafür nicht jeden Rechner einzeln aufsuchen mußt.
3. Mit welchem Tool kann man den Traffic dann schön (visuell) auswerten?
Jede Proxy-Lösung hat eine Reporting-Funktion. Wie "schön" grafisch die dann ist, unterscheidet sich von Fall zu Fall.
Besten dank.
Rene
Servus.
Hallo,
auf jedenFall berücksichtigen, solange es keine Betriebsvereinbarung oder schriftliche Vorgaben gibt und privates Surfen länbger geduldet war / ist begebt ihr euch auf ganz dünnes Eis.
http://www.kanzlei.de/rechtsgebiete/datenschutz-und-datensicherheit/lib ...
brammer
auf jedenFall berücksichtigen, solange es keine Betriebsvereinbarung oder schriftliche Vorgaben gibt und privates Surfen länbger geduldet war / ist begebt ihr euch auf ganz dünnes Eis.
http://www.kanzlei.de/rechtsgebiete/datenschutz-und-datensicherheit/lib ...
brammer
1
Hallo,
Proxy ist eine Lösung. Besser ist aber aus meiner Sicht eine zentrale Firewall (als Hardware-Lösung zB von SonicWall, Juniper). Dort kannst Du neben den üblichen Firewall-Funktionen auch den Internet-Verkehr der User regel/einschränken. Der Vorteil einer solchen Lösung ist, dass Du Dich nicht um die Sicherheit des Betriebssystems (Firmware) kümmern mußt (außer natürlich die Firmware-Updates). Bei einer "Eigenbau-Lösung" auf Linux-Basis (welche hier natürlich gleich angeboten werden) mußt Du Dich gut in Linux auskennen, um das Betriebssystem zu "härten".
Wenn Du zB. eine Firewall von SonicWall nutzt (habe ich im Einsatz), wird sie praktisch wie ein Internet-Gateway-Router in die Kommunikation zwischen geschaltet. Damit läuft der gesamte Datenverkehr ins Internet über diese Firewall und keiner kann die Regeln umgehen.
Über die Log-Dateien hast Du natürlich einen vollständigen Überblick über den Datenverkehr. Die grafische Auswertung über die Management-Oberfläche bietet auch umfangreiche Möglichkeiten.
Noch ein Hinweis: Wenn es in eurem Unternehmen keine Regeln zur privaten Nutzung des Internets gibt, darfs Du nicht so ohne weiteres die Kommunikation personenbezogen auswerten! Datenschutz! Und laut Rechtssprechung sind IP-Adressen auch personengebundene Daten.
Jürgen
Proxy ist eine Lösung. Besser ist aber aus meiner Sicht eine zentrale Firewall (als Hardware-Lösung zB von SonicWall, Juniper). Dort kannst Du neben den üblichen Firewall-Funktionen auch den Internet-Verkehr der User regel/einschränken. Der Vorteil einer solchen Lösung ist, dass Du Dich nicht um die Sicherheit des Betriebssystems (Firmware) kümmern mußt (außer natürlich die Firmware-Updates). Bei einer "Eigenbau-Lösung" auf Linux-Basis (welche hier natürlich gleich angeboten werden) mußt Du Dich gut in Linux auskennen, um das Betriebssystem zu "härten".
Wenn Du zB. eine Firewall von SonicWall nutzt (habe ich im Einsatz), wird sie praktisch wie ein Internet-Gateway-Router in die Kommunikation zwischen geschaltet. Damit läuft der gesamte Datenverkehr ins Internet über diese Firewall und keiner kann die Regeln umgehen.
Über die Log-Dateien hast Du natürlich einen vollständigen Überblick über den Datenverkehr. Die grafische Auswertung über die Management-Oberfläche bietet auch umfangreiche Möglichkeiten.
Noch ein Hinweis: Wenn es in eurem Unternehmen keine Regeln zur privaten Nutzung des Internets gibt, darfs Du nicht so ohne weiteres die Kommunikation personenbezogen auswerten! Datenschutz! Und laut Rechtssprechung sind IP-Adressen auch personengebundene Daten.
Jürgen
Hallo,
nichts ganzes, denn dann fängt man immer wieder von vorne an, icvh würde eine klare Linie immer bevorzugen damit jeder Mitarbeiter
weiß woran er ist und jeder Gruppen- und Abteilungsleiter auch weiß was und wann es verboten ist, das gibt sonst immer nur Streit.
"füttert", aber man sollte das auch immer mit dem Betriebsrat vorher absprechen um Ärger zu vermeiden.
nur Kontakt zum Internet hat und mit den privaten Smartphones der Mitarbeiter, die können sie sich dann verseuchen und infizieren.
via GPOs unterbinden
Gruß
Dobby
P.S.
Eine kleine Frage noch, bist Du der Administrator des Netzwerkes in Eurer Firma?
Bevor wir Zugänge zu bestimmten Webseiten sperren, wollen wir erst einmal das Ausmaß überprüfen.
Das muss aber auch jeder selber entscheiden, nur wenn sich nicht daran gehalten wir ist es eben auch wieder nichts halbes undnichts ganzes, denn dann fängt man immer wieder von vorne an, icvh würde eine klare Linie immer bevorzugen damit jeder Mitarbeiter
weiß woran er ist und jeder Gruppen- und Abteilungsleiter auch weiß was und wann es verboten ist, das gibt sonst immer nur Streit.
Wie kann ich den Gesamttraffic auf eine bestimmte Seite z.B. Facebook zentral einfach erst einmal anonym zählen (Anzahl der Minuten pro Tag/Woche auf Facebook, ggf. pro PC).
Also entweder mit WireShark und einem sehr potenten Server, den man mit oder über einen Monitor Port (Mirrored Port] am Switch"füttert", aber man sollte das auch immer mit dem Betriebsrat vorher absprechen um Ärger zu vermeiden.
Erst wenn der Wert wirklich signifikant zu hoch ist (z.B. Anzahl der Std. auf Facebook / Anzahl der Mitarbeiter > XX Std./Wo), wollen wir mit den Mitarbeitern eine Vereinbarung treffen.
Hört sich gut an aber in der Praxis ist das eben auch sehr schwer einzuhalten für die Mitarbeiter.An besten wäre dann z.B. das die Seiten in der Mittagspause erreichbar sind.
Jo sehe ich auch so und damit das dann auch so bleibt, am besten mittels eines WLAN wasnur Kontakt zum Internet hat und mit den privaten Smartphones der Mitarbeiter, die können sie sich dann verseuchen und infizieren.
So wie ich hier gelesen habe ist das Problem auch in anderen Firmen ein Thema.
Bestimmt sogar noch mehr Firmen.Anscheinend ist ein Proxy die beste Wahl um zentral Webseiten zu sperren, richtig?
Ja ist eine Möglichkeit.Wir haben ein Windows 2008 Netz.
ok.1. Welche Proxy Anbieter könnt ihr empfehlen? Er sollte nicht zu kompliziert sein.
Squid + Squid Guard + DansGuardian2. Mitarbeiter könnten auf die Idee kommen die Browsereinstellungen wieder auf direkten Zugriff (ohne Proxy) zurückzustellen.
Dann ist da aber etwas ganz anderes bei Euch falsch! Denn solche Änderungen der Einstellungen kann und sollte manvia GPOs unterbinden
Wie kann ich die Settings für Firefox, Chrome und Internet Explorer zentral verwalten und sperren?
Mit GPOs?3. Mit welchem Tool kann man den Traffic dann schön (visuell) auswerten?
PRTG im allgemeinen und mit MRT auf einem Linux Server auf dem Squid + Squid Guard installiert sind.Gruß
Dobby
P.S.
Eine kleine Frage noch, bist Du der Administrator des Netzwerkes in Eurer Firma?
P.S.
Eine kleine Frage noch, bist Du der Administrator des Netzwerkes in Eurer Firma?
DAS habe ich mich auch gefragt, als ich das Eingangsposting las. Kam mir so vor, als soll jemand ein Problem in die Hand nehmen, das er selbst kaum versteht. Weder die rechtliche, noch die technische Dimension.
Schließe mich der Frage an.
Moin,
squid mit sarg gibt einem schöne Statistiken. Allerdings kommt man da leicht in rechtliche probleme, wenn man die protokollierung und Auswertung falsch macht.
lks
squid mit sarg gibt einem schöne Statistiken. Allerdings kommt man da leicht in rechtliche probleme, wenn man die protokollierung und Auswertung falsch macht.
lks
Hallo,
danke für eure zahlreichen Antworten.
Hab mich mal im Squid Umfeld ein wenig umgesehen.
Squid ist ja vorwiegend für Linux System gemacht worden und laut der Seite ab 2.7 nicht mehr kompatibel als Windows Version.
http://squid.acmeconsulting.it/Squid3.html
Auch die Zusatz-Tools sind für Linux ausgelegt.
Macht es Sinn Squid auf Windows zu betreiben?
Hat jemand Erfahrung damit?
Linux wollen wir in der Firma zum jetzigen Zeitpunkt nicht einführen.
In dem Bereich gibt es bei uns zu wenig Erfahrung, wenn was schief geht.
Gibt es sonstige Windows-Proxies außer ISA2006 die jemand für Windows 2008 empfehlen kann?
P.S. Hab mir auch den Rechtslink durchgelesen.
Offiziell ist auch in unserer Firma das private surfen nicht gestattet und auch so mit den Mitarbeitern vereinbart.
Trotzdem kommt es vor.
Ich dachte wir sind hier in einem Technikforum und nicht bei Juraforum.
Ergo wollte ich hier die technische Seite diskutieren und nicht die rechtliche.
Trotzdem vielen Dank für den Link auf die Kanzlei.
Dort gab es auch andere interessante Artikel
Besten Dank.
Rene
danke für eure zahlreichen Antworten.
Hab mich mal im Squid Umfeld ein wenig umgesehen.
Squid ist ja vorwiegend für Linux System gemacht worden und laut der Seite ab 2.7 nicht mehr kompatibel als Windows Version.
http://squid.acmeconsulting.it/Squid3.html
Auch die Zusatz-Tools sind für Linux ausgelegt.
Macht es Sinn Squid auf Windows zu betreiben?
Hat jemand Erfahrung damit?
Linux wollen wir in der Firma zum jetzigen Zeitpunkt nicht einführen.
In dem Bereich gibt es bei uns zu wenig Erfahrung, wenn was schief geht.
Gibt es sonstige Windows-Proxies außer ISA2006 die jemand für Windows 2008 empfehlen kann?
P.S. Hab mir auch den Rechtslink durchgelesen.
Offiziell ist auch in unserer Firma das private surfen nicht gestattet und auch so mit den Mitarbeitern vereinbart.
Trotzdem kommt es vor.
Ich dachte wir sind hier in einem Technikforum und nicht bei Juraforum.
Ergo wollte ich hier die technische Seite diskutieren und nicht die rechtliche.
Trotzdem vielen Dank für den Link auf die Kanzlei.
Dort gab es auch andere interessante Artikel
Besten Dank.
Rene
Hallo,
Das ist leider der tägliche Alltag und man sollte sich vor solchen Aktionen immer absichern das man sich nicht strafbar macht - ich kenn Firmen in welchen die IT-Abteilung einen eigenen Anwalt für solche Beratungen hat.
Gruß
Linux wollen wir in der Firma zum jetzigen Zeitpunkt nicht einführen.
Firewall und Proxy Lösungen sind leider sehr oft für Linux ausgelegt und mit einem Web Interface ala pfSense (wobei das dann eigentlich kein Linux sondern ein BSD ist aber egal) solltest du keine Probleme bekommen.Gibt es sonstige Windows-Proxies außer ISA2006 die jemand für Windows 2008 empfehlen kann?
Microsoft Forefront TMG 2010Ich dachte wir sind hier in einem Technikforum und nicht bei Juraforum.
Ergo wollte ich hier die technische Seite diskutieren und nicht die rechtliche.
Es wurde nur darauf aufmerksam gemacht das du Privat dafür Haftbar gemacht werden kannst, wenn du zuviele Daten ausliest, aufzeichnest und auswertest.Ergo wollte ich hier die technische Seite diskutieren und nicht die rechtliche.
Das ist leider der tägliche Alltag und man sollte sich vor solchen Aktionen immer absichern das man sich nicht strafbar macht - ich kenn Firmen in welchen die IT-Abteilung einen eigenen Anwalt für solche Beratungen hat.
Gruß
Hallo.
Ein sicherheitskritisches System - und dazu gehört auch ein Proxy - sollte nur auf einem "absolut" sicheren und "dichten" Betriebssystem laufen! Dazu sind die Funktionen (Dienste) im Betriebssystem auf ein absolutes Minimum zu reduzieren: Was nicht da ist, kann auch nicht kompromitiert werden und im negativen Sinne ausgenutzt werden. Man spricht in diesem Zusammenhang von "Härten" des Betriebssystems. Für Linux gibt es eine Reihe solcher Distributionen, die dann die Grundlage für Firewall- und Proxy-Systeme bilden (siehe obige Beiträge). Wenn Du kein solches System einsetzt, ist es so, als ob Du bei einer 2-flügligen Tür eine Hälfte durch eine "Panzer-" Tür ersetzt und die andere Tür beibehälst. Du kannst Dir sicher ausmalen, wieviele Mitarbeiter sich von der Panzertür aufhalten lassen, wenn daneben ein einfacher Durchgang ist. Und wie man da durch kommt ist im Zweifelsfall ganz schnell unter den Mitarbeitern "rum".
Für Windows ist mir keine solche "gehärtete" Version bekannt (Es gibt zwar den KIOSK-Mode, aber der ist hierfür ungeeignet.). In sofern schließt sich ein Windows-System für einen Proxy aus!
Wenn Du keine Linux-Lösung willst (was ich nachvollziehen kann und die Entscheidung in Eurer Situation ist richtig), dann solltest Du doch über eine Hardware-Lösung nachdenken. Also eine Firewall-/Proxy- Appliance. Die basieren in der Regel auch auf einer gehärteten Linux-Version, aber sie haben eine eigenständige Konfigurationsoberfläche, die nur die Firewall-/Proxy-Parameter bereitstellt. Man braucht also keine Linux-Kenntnisse.
Zu der rechtlichen Problematik: Du bist "Fachmann" und damit setzt man voraus, dass Du auch die rechtlichen Belange Deiner Tätigkeit kennst und einschätzen kannst. Du bist p e r s ö n l i c h für Dein Handeln verantwortlich und haftbar. Auch und gerade wenn ein Vorgesetzter von Dir eine rechtswidrige Handlung verlangt. Kein Gericht in Deutschland läßt hier einen "Befehlsnotstand" gelten. Im Gegenteil! Wenn Du Dich dagegen weigerst, auf Anweisung eine rechtswidrige Handlung auszuführen, entscheidet jedes Arbeitsgericht bei einer darauf fußenden Kündigung zu Deinen Gunsten.
Viele von uns hier im Forum sind auch "Fachleute" mit entsprechender fachlicher Ausbildung. Wir sind gesetzlich und auch durch unsere "Berufsehre" verpflichtet, auch die rechtlichen Aspekte bei der Beantwortung von Fragen zu berücksichtigen. Wenn wir das nicht tun würden, machten wir uns strafbar.
Jürgen
Ein sicherheitskritisches System - und dazu gehört auch ein Proxy - sollte nur auf einem "absolut" sicheren und "dichten" Betriebssystem laufen! Dazu sind die Funktionen (Dienste) im Betriebssystem auf ein absolutes Minimum zu reduzieren: Was nicht da ist, kann auch nicht kompromitiert werden und im negativen Sinne ausgenutzt werden. Man spricht in diesem Zusammenhang von "Härten" des Betriebssystems. Für Linux gibt es eine Reihe solcher Distributionen, die dann die Grundlage für Firewall- und Proxy-Systeme bilden (siehe obige Beiträge). Wenn Du kein solches System einsetzt, ist es so, als ob Du bei einer 2-flügligen Tür eine Hälfte durch eine "Panzer-" Tür ersetzt und die andere Tür beibehälst. Du kannst Dir sicher ausmalen, wieviele Mitarbeiter sich von der Panzertür aufhalten lassen, wenn daneben ein einfacher Durchgang ist. Und wie man da durch kommt ist im Zweifelsfall ganz schnell unter den Mitarbeitern "rum".
Für Windows ist mir keine solche "gehärtete" Version bekannt (Es gibt zwar den KIOSK-Mode, aber der ist hierfür ungeeignet.). In sofern schließt sich ein Windows-System für einen Proxy aus!
Wenn Du keine Linux-Lösung willst (was ich nachvollziehen kann und die Entscheidung in Eurer Situation ist richtig), dann solltest Du doch über eine Hardware-Lösung nachdenken. Also eine Firewall-/Proxy- Appliance. Die basieren in der Regel auch auf einer gehärteten Linux-Version, aber sie haben eine eigenständige Konfigurationsoberfläche, die nur die Firewall-/Proxy-Parameter bereitstellt. Man braucht also keine Linux-Kenntnisse.
Zu der rechtlichen Problematik: Du bist "Fachmann" und damit setzt man voraus, dass Du auch die rechtlichen Belange Deiner Tätigkeit kennst und einschätzen kannst. Du bist p e r s ö n l i c h für Dein Handeln verantwortlich und haftbar. Auch und gerade wenn ein Vorgesetzter von Dir eine rechtswidrige Handlung verlangt. Kein Gericht in Deutschland läßt hier einen "Befehlsnotstand" gelten. Im Gegenteil! Wenn Du Dich dagegen weigerst, auf Anweisung eine rechtswidrige Handlung auszuführen, entscheidet jedes Arbeitsgericht bei einer darauf fußenden Kündigung zu Deinen Gunsten.
Viele von uns hier im Forum sind auch "Fachleute" mit entsprechender fachlicher Ausbildung. Wir sind gesetzlich und auch durch unsere "Berufsehre" verpflichtet, auch die rechtlichen Aspekte bei der Beantwortung von Fragen zu berücksichtigen. Wenn wir das nicht tun würden, machten wir uns strafbar.
Jürgen
Hallo,
nochmals vielen Dank für die Antworten und die rechtlichen Hinweise.
Es sollte auch keine Kritik sein.
Manchmal kennt man tatsächlich irgendwelche rechtlichen Belange nicht, wenn man sich neu mit einem Thema beschäftigt.
In diesem Fall hatte ich mich grundsätzlich damit schon befasst und sogar einige Abendveranstaltung zu diesem und ähnlichen Themen besucht.
Ich wollte hier die Diskussion nur wieder auf den technischen Aspekt zurückführen.
Noch eine technische Frage:
Nachdem bei uns im Haus nur Linux "Hobbykenntnisse" vorliegen, aber Linux scheinbar das OS der Wahl ist, gibt es vielleicht eine 3. Lösung.
Kennt jemand eine ISO-Linux-CD, die auf einem PC fertig installiert werden kann, ohne Nachjustieren zu müssen (außer natürlich Admineinstellungen über Webinterface)?
Bei Linux gibt es doch öfter solche gehärteten Spezialversionen.
Da würde ich mich als "Windowsianer" dann auch rantrauen
Gibt es so etwas auch mit Squid-Proxy (davon gehe ich jetzt mal aus)?
Welche könnt ihr dann empfehlen?
Gruß,
Rene
nochmals vielen Dank für die Antworten und die rechtlichen Hinweise.
Es sollte auch keine Kritik sein.
Manchmal kennt man tatsächlich irgendwelche rechtlichen Belange nicht, wenn man sich neu mit einem Thema beschäftigt.
In diesem Fall hatte ich mich grundsätzlich damit schon befasst und sogar einige Abendveranstaltung zu diesem und ähnlichen Themen besucht.
Ich wollte hier die Diskussion nur wieder auf den technischen Aspekt zurückführen.
Noch eine technische Frage:
Nachdem bei uns im Haus nur Linux "Hobbykenntnisse" vorliegen, aber Linux scheinbar das OS der Wahl ist, gibt es vielleicht eine 3. Lösung.
Kennt jemand eine ISO-Linux-CD, die auf einem PC fertig installiert werden kann, ohne Nachjustieren zu müssen (außer natürlich Admineinstellungen über Webinterface)?
Bei Linux gibt es doch öfter solche gehärteten Spezialversionen.
Da würde ich mich als "Windowsianer" dann auch rantrauen
Gibt es so etwas auch mit Squid-Proxy (davon gehe ich jetzt mal aus)?
Welche könnt ihr dann empfehlen?
Gruß,
Rene
Hi Rene,
Schau dir Monowall oder pfsense and. Das sind beides Linux-Distributionen welche für den Einsatz als Firewall konzipiert sind. Beide schick über Webinterfaces zu konfigurieren.
mfg
Cthluhu
Schau dir Monowall oder pfsense and. Das sind beides Linux-Distributionen welche für den Einsatz als Firewall konzipiert sind. Beide schick über Webinterfaces zu konfigurieren.
mfg
Cthluhu
.@Ctluhu
Falsch !
Kosmetische Korrektur: Beide Versionen basieren auf FreeBSD Unix !! Nix Linux !
Der Rest stimmt aber
Was deine ISO Images anbetrifft: Ja, natürlich gibt es sowas ! Siehe:
http://www.pfsense.org/index.php@option=com_content&task=view&i ...
Dahast du sogar ein VmWare Image was du schnell mal im kostenlosen VmWare Player starten kannst um dir einen Überblick zu verschaffen.
Die fertigen Einstellungen sind natürlich naives Wunschdenken, weil dir vermutlich der technische Background fehlt...siehe Statements vom Kollegen Pjordorf unten...
Falsch !
Kosmetische Korrektur: Beide Versionen basieren auf FreeBSD Unix !! Nix Linux !
Der Rest stimmt aber
Was deine ISO Images anbetrifft: Ja, natürlich gibt es sowas ! Siehe:
http://www.pfsense.org/index.php@option=com_content&task=view&i ...
Dahast du sogar ein VmWare Image was du schnell mal im kostenlosen VmWare Player starten kannst um dir einen Überblick zu verschaffen.
Die fertigen Einstellungen sind natürlich naives Wunschdenken, weil dir vermutlich der technische Background fehlt...siehe Statements vom Kollegen Pjordorf unten...
Hallo,
Ja.
Sophos UTM bietet neben der Hardware auch ein Software Verion für ein einzelnes Blech oder in einer VM. Die Firmenversion ist eingeschränkt (Das kostenlose Basispacket) aber kann durch zusattzlizenzen aufgebohrt werden.
http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ...
Die Heim (Privat) Version enthält fast alle Module, ist aber auf Privat und 50 IPs beschränkt. Auch als Software oder VM beziehbar (Kostenlos)
http://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition ...
Du musst dich nur Anmelden um die Lizenzen zu erhalten. Sophos UTM ist das ehemalige Astaro. Die sitzen immer noch in Karlsruhe.
Die Software Version kann auch unter Virtual Box, HyperV, VMWare .... betrieben werden.
http://www.astaro.org/local-language-forums/german-forum/
Ob Juniper eine Software Version hat entzieht sich meiner Kentniss.
Einarbeiten und nachlesen musst du bei allen.
Gruß,
Peter
Ja.
ohne Nachjustieren zu müssen
Nein. Alle richtige Firewalls sperren erstmal alles von alles nach alles. Damit irgendetwas geht wirst du es erst erfauben müßen.Sophos UTM bietet neben der Hardware auch ein Software Verion für ein einzelnes Blech oder in einer VM. Die Firmenversion ist eingeschränkt (Das kostenlose Basispacket) aber kann durch zusattzlizenzen aufgebohrt werden.
http://www.sophos.com/de-de/products/free-tools/sophos-utm-essential-fi ...
Die Heim (Privat) Version enthält fast alle Module, ist aber auf Privat und 50 IPs beschränkt. Auch als Software oder VM beziehbar (Kostenlos)
http://www.sophos.com/de-de/products/free-tools/sophos-utm-home-edition ...
Du musst dich nur Anmelden um die Lizenzen zu erhalten. Sophos UTM ist das ehemalige Astaro. Die sitzen immer noch in Karlsruhe.
Die Software Version kann auch unter Virtual Box, HyperV, VMWare .... betrieben werden.
http://www.astaro.org/local-language-forums/german-forum/
Ob Juniper eine Software Version hat entzieht sich meiner Kentniss.
Einarbeiten und nachlesen musst du bei allen.
Gruß,
Peter
Hallo,
wieder mal danke für die schnellen Antworten.
Ich war in der Zeit auch nicht ganz untätig.
Habe eine Squid Version mit großen Funktionsumfang gefunden mit ganz schönen und brauchbaren WebInterface.
Artica For Squid:
http://proxy-appliance.org/
Hat jemand Erfahrung mit Artica?
Werde mit eure Vorschläge auch noch anschauen.
Das "ohne Nachjustieren" bezog sich hier auf alles was mit Linux zu tun hat (da wenig Erfahrung), natürlich nicht auf die Proxy Funktionen.
Selbstverständlich muss man den Proxy Server einstellen. Hab ich früher unter WinNT mit den Proxy Server auch schon hinbekommen.
Besten Dank.
Rene
wieder mal danke für die schnellen Antworten.
Ich war in der Zeit auch nicht ganz untätig.
Habe eine Squid Version mit großen Funktionsumfang gefunden mit ganz schönen und brauchbaren WebInterface.
Artica For Squid:
http://proxy-appliance.org/
Hat jemand Erfahrung mit Artica?
Werde mit eure Vorschläge auch noch anschauen.
Das "ohne Nachjustieren" bezog sich hier auf alles was mit Linux zu tun hat (da wenig Erfahrung), natürlich nicht auf die Proxy Funktionen.
Selbstverständlich muss man den Proxy Server einstellen. Hab ich früher unter WinNT mit den Proxy Server auch schon hinbekommen.
Besten Dank.
Rene
