gnangsa
Goto Top

Internetzugang einschränken

Ich möchte den Internetzugang zentral gesteuert und unabhängig vom Unternehmensnetzwerk unter anderem auch für spezielle Programme einschränken.

Hallo zusammen,

ich bin auf der Suche nach einer Möglichkeit den Internetzugang für Systeme unter Windows einzuschränken.

Keine Sorge, das folgende ist kein Werbeblock, sondern soll lediglich verdeutlichen was ich suche:

Im Rahmen meiner Suche habe ich mir von PANDA Security die Panda Cloud Internet Protection (PCIP) angesehen.
Das System basiert, wie der Name schon sagt, auf einer Cloud-Lösung.

Zwei Pluspunkte hat dieses System:
1. Ich erreiche durch die Cloud-Lösung nicht nur Benutzer im lokalen Netzwerk, sondern auch jeden Benutzer der irgendwo Online ist
2. Das System bietet die Möglichkeit, nicht nur den Content zu Filtern, sondern auch zu sagen das nur der IE9 oder FF oder Chrome etc. ins Netz dürfen.

Und jetzt sind wir schon beim Nachteil, den ich gerne Lösen würde und keine Lösung finde.
Oben genanntes System nutzt dafür einen Proxy der eingetragen werden muss. Dies kann ich natürlich per GPO regeln, ABER... wenn ich jetzt an alle user denke, die Adminrechte brauchen (oder haben), dann ist diese Lösung aus meiner Sicht vollkommen sinnfrei bzw. nicht ganz zu Ende gedacht.
Der User installiert sich also zum Beispiel Chrome, der nicht auf die Proxyeinstellungen des IE zugreigt, und schon kann er sich wieder frei bewegen.

Ich suche also eine Lösung mit den Pluspunkten die dazu noch einen Client auf dem PC installiert welche wirklich jeden Verkehr überwacht und zum Beispiel per Passwort vor dem deaktivieren geschützt wird. Sollte er Deinstalliert werden, sieht man das ja in der Cloud.
Also quasi eine Firewall inkl. Parental Control welche vorzugsweise über die Cloud gesteuert wird.

Hat jemand eine Idee? Oder eine Lösung?

Danke & Gruß,
Markus

Content-ID: 165742

Url: https://administrator.de/contentid/165742

Ausgedruckt am: 14.11.2024 um 05:11 Uhr

danielfr
danielfr 05.05.2011 um 21:27:35 Uhr
Goto Top
Hallo, so eine Frage gab es gestern schon:
Windows -Zwangsproxy- aber wie ?
Ich würde dafür den IPCop nehmen (geht auch transparent), mit dem Advanced Proxy und auch noch BlockOutTraffic.
Gruß Daniel
gnangsa
gnangsa 05.05.2011 um 21:37:17 Uhr
Goto Top
Hallo Daniel, danke für die schnell Antwort.
Die Frage gestern bezieht sich auf einen Standort mit einem zentralen Internetzugang. Dafür mag diese Lösung auch nützlich sein.
Ich spreche davon, dezentrale Clients zu schützen.

Beispiel: Du bist Mitarbeiter eines Unternehmens, hast ein Notebook, sitzt in der Firma - dann bist du geschützt durch diese Lösung. Jetzt gehst du mit dem Notebook nach Hause und surfst über deinen Anschluß - was dann? Da ist kein IPCop und somit kein Schutz!
danielfr
danielfr 05.05.2011 um 22:10:00 Uhr
Goto Top
Ok, das war mir nicht 100% klar. Das ganze Dezentral zu machen ist bestimmt nicht so einfach, dafür kenne ich leider keine Lösung (zumal, wenn Benutzer Adminrechte haben). Bin mal gespannt, ob es da was sinnvolles gibt...
St-Andreas
St-Andreas 05.05.2011 um 22:20:12 Uhr
Goto Top
Hallo,


keine, wie auch immer geartete Software wird Dir Dein Problem lösen können solange Du Benutzer hast die administrative Rechte haben. Also müssen die Benutzer auf die Adminrechte verzichten. Dann hast Du ja schon eine Lösung (die ich nicht beurteilen kann).


Gruß,
Andreas
aqui
aqui 06.05.2011 um 08:16:04 Uhr
Goto Top
Spätestens wenn der Nutzer eine Live CD oder vom USB Stick bootet sei es Linux oder was auch immer oder seinen mitgebrachten Linux oder Mac Laptop ins Netz klemmt kann er über solche sinnlosen Klimmzüge wie GPO oder lokal installierte Frikeleien nur noch lachen...
Das Konzept ist so löchrig wie Schweizer Käse...
gnangsa
gnangsa 06.05.2011 um 08:53:38 Uhr
Goto Top
Guten Morgen,
ich verstehe was Ihr damit sagen möchtet, aber dann brauchen wir keine Virenscanner mehr, keine Passwörter, keine Schlösser an den Türen und die Bank keinen Tresor mehr - da man diese Dinger mit genung (krimineller) Energie aushebeln kann.

Technisch gesehen kann ich sehrwohl verhindern, das jemand sein Gerät anderweitig bootet, und ich kann auch verhindern das der Kollege sich in einem Netzwerk mit einer nicht freigegebenen MAC bewegt.
Andererseits, sollte jemand sein privates Gerät aufbauen und damit surfen, ist sein Gerät "gefährdet" und da dies wohl geringfügig sichtbar sein sollte, ist damit auch seine Person deutlich mehr gefährdet als wenn er nur ein Gerät am Tisch stehen hat mit dem Unfug treibt face-wink

Aber mal weg vom Sinn und Unsinn - es geht hier um die technische Lösbarkeit.
Die gesuchte Lösung soll zum einen den Client schützen, zum anderen natürlich den Benutzer davon abhalten unproduktive Dinge zu tun etc. Ganz klar. Wie weit das geht hängt vom Unternehmen ab - darüber will ich garnicht Diskutieren da dies nicht Hintergrund des Postings ist.
Ich gebe auch jedem recht, der sagt man kann jeden Schutz aushebeln - aber trotz dieser Tatsache schützt sich jeder.

Wenn von 100 Clients im Unternehmen ca. 20 mit lokalen Adminrechten ausgestattet sind, und von denen 18 die Sperre nicht aushebeln, dann ist das doch gut? Ich erwarte keine 100%, den das wäre unrealistisch da es ja leider für alles ein Gegenmittel gibt.
Bei einem Virenscanner kann ich den Client mit Passwort schützen, somit kann man diesen auch als Admin nicht deaktivieren - man kann ihn aber Deinstallieren als lokaler Admin (Und ich kenne einige die auf den Performancegewinn ohne AV schwören!).
Wenn ich meine "Parental Control Firewall" nicht deaktivieren kann, sondern nur Deinstallieren, dann ist das genaus gut oder schlecht, und genauso sinnvoll oder sinnlos.

Gruß,
Markus
aqui
aqui 06.05.2011 um 08:56:49 Uhr
Goto Top
Nein, so eine Schlussfolgerung ist Unsinn. Es soll dir nur aufzeigen das man Sicherheitseinstellungen niemals mit irgendwelchen Software Frickeleien am Client macht sondern zentral an der Netzwerk Infrastruktur selber. Das ist erhblich sicherer und auch erheblich einfacher zu administrieren, da es zentral ist.
Abgesehen davon ist das ein gängiges Allerweltskonzept was technisch problemlos umsetzbar ist. Deine einseitig Windows zentrierte Bastellösung eher nicht....sorry.
gnangsa
gnangsa 06.05.2011 um 09:11:52 Uhr
Goto Top
Hi,
warum ist es den eine einseitig Windows/Clientbasierte Bastellösung was ich suche?
Mein Beispiel oben führt eine Cloud-Lösung auf. Meine Anfrage bezieht sich ebenfalls vorzugsweise auf ein zentral-/cloudgesteuerte Lösung.
Der Virenschutz kann heutzutage per Cloud zentral für dezentrale/weltweite Clients geregelt werden. Und das will ich eben auch gerne als Lösung für eine Proxy/Webwasher/Content Control/Parental Control-Lösung (wie auch immer man das nennen möchte).
Und dank der heutigen Cloud kann ich endlich (und muss) den Client in mein Sicherheitskonzept einbinden. Gefahren lauern eben auch wenn der Nutzer dich im Netzwer steckt, somit gehört es als Verantwortlicher zu meiner Pflicht beim Schutz des Unternehmens auch darüber nachzudenken.
St-Andreas
St-Andreas 06.05.2011 um 09:19:31 Uhr
Goto Top
Ja als Verantwortlicher solltest Du Dir da Gedanken machen. Absenkst viel mehr um die Clients die lokale Adminrechte haben.
Und dann solltest Du einfach Sorge dafür tragen das Deine Clients auch außerhalb Eures LANs über Eure Sicherheitsstruktur abgesichert sind. Aber erst dann.
ackerdiesel
ackerdiesel 06.05.2011 um 09:33:09 Uhr
Goto Top
Zitat von @St-Andreas:
Ja als Verantwortlicher solltest Du Dir da Gedanken machen. Absenkst viel mehr um die Clients die lokale Adminrechte haben.
Und dann solltest Du einfach Sorge dafür tragen das Deine Clients auch außerhalb Eures LANs über Eure
Sicherheitsstruktur abgesichert sind. Aber erst dann.
Hallo,

Genau wie Andreas#S sehe ich das auch. Die Notebooks dürfen nur über VPN und dann über die Firmeninterne Firewall - Lösung arbeiten und nicht zu Hause am lokalen DSL-Anschluß ohne Schutz surfen.
Bei den deinstallierten Antiviren Porgramm bei deinen Usern, würde ich sofort auf einer Abmahnung des Mitarbeiters bestehen. Dann wird sich dieser Spuk schnell erledigen.

Gruß
ackerdiesel
gnangsa
gnangsa 06.05.2011 um 12:06:12 Uhr
Goto Top
Hi again,

ich stimme euch ja zu. Jedoch kann man es nie verhindern das jemand Adminrechte hat - Entwickler zum Entwickeln, der Techniker zum Supporten beim Kunden um Probleme nachzustellen oder SW zu installieren, der Vertriebler um etwas Demonstrieren zu können.
Diesen Sachverhalt akzeptieren wir einfach mal so face-smile
Nehmen wir auch Abstand von der Tatsache das irgendwer irgendwelche Software mutwillig deinstalliert. Das kann ich ja abmahnen weil ich es mitbekomme dank des zentralen Systems. Das ist ja auch nicht das Problem, da ich damit ja wie schon gesagt rechne.

Was ich eben suche, für sinnvoll halte und nicht verstehen kann warum es das nicht geben soll:

FRÜHER:
Virenscanner auf allen Maschinen, zentral über einen Management-Server im lokalen Netzwerk gesteuert. So kennt man das.
HEUTE:
Virenscanner auf allen Maschinen, zentral über die Cloud gesteuert - wodurch mein steuerbares Netzwerk mal eben so zur ganzen Welt erweiter wird. Hübsche Sache.

JETZT:
Appliance oder Proxy im Netzwerk welche(r) den gesamten Verkehr überwacht / kontrolliert und einschränkt. Perfekt solange der User im Firmennetzwerk sitzt.
WUNSCH:
Virtuelle Appliance auf jedem Client dessen Regelwerk bzw. Management ebenfalls in der Cloud liegt und somit weltweit greift.

Gruß,
Markus
St-Andreas
St-Andreas 06.05.2011 um 14:45:29 Uhr
Goto Top
Zitat von @gnangsa:
Hi again,

ich stimme euch ja zu. Jedoch kann man es nie verhindern das jemand Adminrechte hat
Doch

- Entwickler zum Entwickeln,
das hat dann halt in einer VM zu erfolgen die keinen Zugriff auf das LAN und dessen Geräte hat wenn tatsächlich für die Entwicklung Adminrechte notwendig sind

der Techniker zum Supporten beim Kunden um Probleme nachzustellen oder SW zu installieren,
Nein, zum spielen sind separate Geräte /VMs zu nutzen. Nicht das "normale" Laptop

der Vertriebler um etwas Demonstrieren zu können.
Nein, Vertriebler haben per Definition schonmal überhaupt keine Adminrechte

Diesen Sachverhalt akzeptieren wir einfach mal so face-smile
Definitiv NEIN

Nehmen wir auch Abstand von der Tatsache das irgendwer irgendwelche Software mutwillig deinstalliert. Das kann ich ja abmahnen
Adminrechte haben heisst ja nicht Software deinstallieren zu müssen. Und selbstverständlich werden Mitarbeiter die Sicherheitsmechanismen aushebeln sofort abgemahnt

weil ich es mitbekomme dank des zentralen Systems. Das ist ja auch nicht das Problem, da ich damit ja wie schon gesagt rechne.

Was ich eben suche, für sinnvoll halte und nicht verstehen kann warum es das nicht geben soll:
Adminrechte hebeln JEDEN Sinn aus. Punkt.



FRÜHER:
Virenscanner auf allen Maschinen, zentral über einen Management-Server im lokalen Netzwerk gesteuert. So kennt man das.
HEUTE:
Virenscanner auf allen Maschinen, zentral über die Cloud gesteuert - wodurch mein steuerbares Netzwerk mal eben so zur ganzen
Welt erweiter wird. Hübsche Sache.

JETZT:
Appliance oder Proxy im Netzwerk welche(r) den gesamten Verkehr überwacht / kontrolliert und einschränkt. Perfekt
solange der User im Firmennetzwerk sitzt.
WUNSCH:
Virtuelle Appliance auf jedem Client dessen Regelwerk bzw. Management ebenfalls in der Cloud liegt und somit weltweit greift.
Warum so kompliziert. Erweiter Dein LAN einfach über Eure Officegrenzen hinaus aus und binde sämtliche Geräte per VPN an. Ist etwas unbequem aber machbar. Und für Testkram, Spielen und andere Sauereien gibt es entweder Dualbootsysteme oder VMs.



Gruß,
Markus

Gruß,
Andreas
gnangsa
gnangsa 06.05.2011 um 15:45:00 Uhr
Goto Top
Ich kann das ja mal an den IT-Verantwortlichen der Siemens AG weiterleiten, mal sehen ob wir dann in 2-3 Jahren eine Lösung auf VM-Basis haben.