26174
Goto Top

Internetzugriff für bestimmte Programme sperren...

Hallo !

Ich habe hier einen Server mit Windows 2000 Server drauf.

Hier melden sich bis zu 15 Benutzer mit Windows XP Prof SP2 an, um einerseits Zugriff auf den Server zu haben,
andererseits aber auch um innerhalb des Netzwerks auf freigegebene externe Laufwerke zuzugreifen,
oder auch Dateien zu drucken.
Die Drucker sind nämlich an den Server irgendwie angemeldet, und bei jedem anmelden eines Benutzers an den
Server werden durch ein Skript die Verbindungen mit den Druckern eingerichtet (auf den Win XP Rechnern = den Clients).

Meine Frage ist nun folgende:

Ich möchte gerne bestimmten Programmen (auf den Clients) den Internetzugriff versperren.
Einige Erfolge konnte ich schon mit Gruppenrichtlinien erzielen = d.h. einige Programmen können die Leute
nun nicht mehr ausführen.
Andererseits habe ich versucht, gewisse Ports in unserem Router zu sperren, aber einerseits geht das nicht (der
Router unterstützt es nicht), andererseits kenne ich die verwendeten Ports garnicht, und zudem wären es auch zu viele,
die ich manuell hinzufügen müsste...

Die Option, SQUID o.ä. einzurichten, und so den Internetverkehr über einen Proxy einzurichten, und darüber den Zugriff einiger Programme zu verhindern, habe ich als zu kompliziert verworfen.


Ich dachte mir jetzt nämlich, ich könnte ja einfach eine Firewall auf den Clients installieren, und darüber den Internetzugriff einiger Programme sperren. Dass die Leute dies wiederum einfach ausstellen KÖNNTEN, soll hier erstmal nicht von Belang sein.
Mein Problem dabei ist nur, dass ich befürchte, dann auch andere Funktionen (siehe bitte oben), wie z.B. Drucken im Netzwerk oder Zugriff auf externe Laufwerke die im Netzwerk sind, zu beeinflussen...

Daher ist konkret die Frage, ob ihr mir eine Art "abgespeckte" Firewall (oder auch eine "abgespeckte" Konfiguration derselben)
empfehlen könnt, die einerseits alles zulässt, was ich brauche, und lediglich den Internetzugriff einiger Programme sperrt.

Könnte ich dieses Ziel so überhaupt erreichen ?
Und wenn ja, wäre Zonealarm eine Software, mit der ich das machen kann, oder schützt die zu "umfangreich" ?


Ich danke schonmal im Voraus für eure Hilfe...

Sweetie

Content-ID: 72552

Url: https://administrator.de/contentid/72552

Ausgedruckt am: 22.11.2024 um 19:11 Uhr

aqui
aqui 02.11.2007 um 12:00:21 Uhr
Goto Top
Dein Ansatz dieses Vorhaben statt auf einer zentralen Instanz wieder zurück auf die Clients zu verschieben ist ziemlich naiv und gefährlich. Wie willst du das denn managen wenn du jeden einzelnen PCs immer wieder individuell bearbeiten musst und auch troubleshooten musst ???
Denkst du das du hier mit deinem limitierten Know How weiterkommen wirst, wo es bei dir schon an einfachem Basiswissen den TCP/UDP Ports von Applikationen scheitert, einer zwingenden Voraussetzung für den Einsatz und dem Customizing von Firewalls bzw. dem Blocken von Applikationen. Egal wo die Firewall nun steht, zentral oder individuell auf jedem PC.
Scheinbar hapert es ja auch schon daran diese Portinformationen zu ergoogeln was die Sache für dich dann nicht einfacher macht.. Sorry für diese Direktheit aber die Fakten sind nun mal so...
Eine Box wie du sie wünscht mit 2 Ethernetports und einem Mikrofon wo du reinsprechen kannst "Für Benutzer X bitte Quake III blocken von 8 bis 16 Uhr !" gibt es leider (noch) nirgendwo !!
Mal abgesehen das es für die Nutzer ein leichtes Spiel ist diese primitiven lokalen Firewalls zu umgehen, was dir aber scheinbar ja egal ist... Wozu auch externe wo Windows sowas von sich aus an Bord hat ?? Dann fragt man sich nur: Was soll denn das Ganze ???

Der Ansatz mit einem Zentralen Proxy (oder zentraler FW im Router oder extern) ist schon sehr richtig. Was daran bei der guten Dokumentation im Web von Squid oder dessen Einrichten im Zusammenspiel z.B. mit IPCop kompliziert sein soll ist fraglich. Wie gesagt da es diese o.a. Box nicht gibt für dich, musst du dich über kurz oder lang mit solchem Wissen auseinandersetzen oder sowas extern kaufen.... Firewalls mit Weboberfläche und Klicki Bunti Bedienungen gibt es zuhauf.....nur dann kommt wieder das Wissen von TCP/UDP Ports auf dich zu wenn du sie nicht von Fremden konfigurieren lassen willst, die dann das Wissen über Internetzugänge deiner Clients erlangen die du nicht in der Lage bist zu kontrollieren...
Diese Zwickmühle in der du steckst musst du dann selber lösen....
26174
26174 02.11.2007 um 12:36:40 Uhr
Goto Top
also da dein resumee ja ist, dass dieser beitrag sowieso sinnlos ist, weil der verfasser nicht in der lage sein soll, portinformationen zu ergoogeln, eine firewall anzupassen, oder sich mit squid auseinanderzusetzen, frage ich mich, warum du hier überhaupt was schreibst.
es zwingt dich ja keiner dazu. und konstruktiv sieht anders aus.
dass du mit dem falschen bein aufgestanden bist, dafür kann keiner was.
wenn du meinst, dein experten-image durch schlichtes anpöbeln von vermeintlichen newbies aufzupolieren, bitte, dann bist du wahrscheinlich auch bald bei RTL als Experte...
Glückwunsch...

das dazu, adonde, senor.

um dein aggressives gedödel mal aufzudröseln:

-die überlegung, es wieder auf die clients zu verlagern beruht darauf, dass ich weder mit den gruppenrichtlinien noch mit der jetzigen router-firewall das Ziel, nämlich gewissen Programmen den Zugang zum Internet zu verbieten, erreichen kann.

-mein "limitiertes know-how" und meine "naivität" lässt mich zu deiner überraschung nämlich durchaus verstehen, wie weit ich mit meiner vorhandenen hardware kommen kann.

-meine "mangelnden qualifikationen" im googeln liegen in der erkenntnis, dass ich die infos zwar für jedes programm googeln kann, aber häufig im leben ein langer weg durch einen kurzen ersetzt werden kann. das hat nichts mit faulheit oder dummheit zu tun, sondern damit, dass man sich in foren wie diesem hier konstruktive vorschläge erhofft.

-die rückschlüsse die du auf mein wissen ziehst, wie z.B. dem fehlenden "einfachen Basiswissen" der "TCP/UDP Ports von Applikationen" und das "Customizing" von Firewalls, sind durch einfaches lesen meines beitrages als hypothetisches Hirngespinst zu deuten.
Darüber hinaus weist die übermäßige Verwendung von Fremdwörtern auf einen absoluten Experten hin, der nicht im Forum, sondern nur mit Gott selbst kommunizieren sollte.

-es mangelt mir nicht an dem Wissen, das du ja anscheinend ###t, und ich suche auch nicht nach einer "Box wie du sie wünscht mit 2 Ethernetports und einem Mikrofon wo du reinsprechen kannst "Für Benutzer X bitte Quake III blocken von 8 bis 16 Uhr !" ".

-einfache kognitive Fähigkeiten im Bereich der Adaption des Gelesenen ermöglichen jedem normalgelaunten Menschen eine reflexivere Denkweise.

-die frage ist und war, was es für wege gibt meine frage zu beantworten, bzw. das oben beschriebene Ziel zu erreichen. Dafür muss man kein Gott sein, oder sich für einen halten.

Ansonsten wünsche ich dir vor allem baldigen Urlaub, und bis dahin einen oder zwei gute Kaffees.
Bedankt.
keksprinz
keksprinz 02.11.2007 um 13:12:32 Uhr
Goto Top
Machs dir nicht kompliziert. Natürlich kannst du auch Richlinien verwenden. Falls dein Proxy (Router) nicht gleich dem Default Gateway ist kanst du doch per Policy angeben wohin der laufen soll. Setzte die Internet Explorer einstellungen einfach den Proxy = 0 und schon kommen nur noch die ins externe Netz die den Proxy eingetragen haben. Dann versteckts du die Config seite und bist fertig. (das natürlich 2 mal eimal für eine Gruppe Internetbenutzer richtiger Proxy und einmal alle anderen prox=yo.o.o.o)

Boradmittel sind wenn man Sie einsetzt manchmal viel Stärker als man meint.

Gruß

keksprinz
Dani
Dani 02.11.2007 um 13:56:13 Uhr
Goto Top
Hi Sweetie,
also zu deiner Frage: Erstmal wäre es interssant zu Wissen, welche Programme das sind. Sprich 0815 (z.B. ICQ, MSN, etc...) oder Spezielle?! Das ist ein wichtiger Punkt, denn je nachdem auch meine Lösung.

Also ich würde dir auf jeden Fall empfehlen einen Proxy einzurichten. Denn damit hast du dann die 100% Kontrolle über das, was im Internet passiert. Zusätzlich würde ich folgende aufbauen. Denn somit kann sich auch keiner am Proxy vorbei mogeln!!

Somit kannst du mit mit Squid schön definieren, wer was darf und wie authentiffziert wird (Gast, Windows-Login, etc...).
Die Option, SQUID o.ä. einzurichten, und so den Internetverkehr über einen Proxy
einzurichten, und darüber den Zugriff einiger Programme zu verhindern, habe ich als zu
kompliziert verworfen.
Das ist die falsche Einstellung! Denn es gibt in der IT immer Herausforderungen und in deinem Fall ist das die beste Lösung!

Mit den Clientfirewalls bereitest du dir im Endeffekt nur mehr Arbeit und vllt. Probleme im LAN. Ich denke, dass man heute genug andere Sorgen hat. Außerdem müsstest du dann sicherstellen, dass der Benutzer wirklich nichts ändern kann. Vergiss diese Idee ganz schnell.
zu deinem Kommenar:
die überlegung, es wieder auf die clients zu verlagern beruht darauf, dass ich weder mit den
Gruppenrichtlinien noch mit der jetzigen router-firewall das Ziel, nämlich gewissen
Programmen den Zugang zum Internet zu verbieten, erreichen kann.
Die Lösung aus Aqui's und auch meiner Sicht, ist der zentrale Proxy. Am Ende einfach zu managen und effizent!

@keksprinz
Also das ist auch nur eine Notlösung. Früher oder Später holt dich das Problem wieder ein und dann bist wieder auf den gleichen Stand wie vorher.


Grüße
Dani
aqui
aqui 02.11.2007 um 14:09:02 Uhr
Goto Top
@26174

Warum du so aggressiv reagierst ist unverständlich aber das ordnen wir mal dem ersten Ärger zu den du wahscheinlich hast nicht verrauchen lassen...
Es war keinesfalls ein Angriff auf dich, dein Wissen oder was auch immer.. Wenn du dich aber fairerweise mal in einen Leser versetzt der deinen Hintergrund überhaupt nicht kennt und der sich zwangsläufig nur anhand der oben geschilderten Tatsachen sich ein Bild machen muss, kommt doch dabei raus: zentrale Proxies und Firewalls sind mir zu kompliziert, Informationen zu beschaffen ist mir zu auffwendig, ich wälz lieber alles auf die User(firewall) ab. Hättest du etwas mehr geschrieben wie unten wäre eine Antwort von wem auch immer sicher anders ausgefallen...
Ein Ansatz der wie du selber zugeben wirst, wenn du in Ruhe die Fakten betrachtest, dich doch in eine (für dich) schlimme Sackgasse führt. Dir ist doch selber klar das du unabhängige IP Packete nicht mit sowas wie Windows Gruppenrichtlinien in die Schranken verweisen kannst.
Es ging einzig und allein darum dich von dem Verrennen in eine Sackgasse abzuhalten, nicht um den Abbau von Frustration oder ähnlichem wie du es nennst. Wenn du das falsch verstanden hast ist das bedauerlich und war natürlich nicht gewollt.
Indem Sinne hoffen wir dann mal auf weitere konstruktive Vorschläge.
frankw
frankw 02.11.2007 um 15:41:26 Uhr
Goto Top
Hallo Seetie,

also ich stimme den anderen zu. Ein Proxy ist in diesem Fall die beste Lösung. Versuch es dochmal mit der Endian Firewall 1 (nur um eine zu nennen...). Hier hast Du die Möglichkeit, einen Content Filter eizurichten, die gesamte Traffic mit einem Virenscanner zu kontrollieren und eine Zugangskontrolle für das Internet zu schaffen (zeitliche Begrenzung...). Klingt zwar anfangs kompliziert, aber die Installation ist relativ simple.
Klar, Du kommst nicht darum herum, Dich mit der Matherie zu beschäftigen, aber wenn Du in einem kleinen Netzwerk einen soliden Schutz haben möchtest, dann musst Du diesen Weg gehen und Dir solch eine (open source) Software beschaffen und Dich einarbeiten.
Läuft die Firewall, dann kannst Du Seiten mit schmutzigem Inhalt blocken, der virenscanner scannt den ein- und ausgehenden Traffic, Du kannst Benutzer anlegen, die Zugriff auf das Internet haben sollen und Du kannst Dir auch eine Statistik über den ganzen Kram ausdrucken. Du hast DHCP, DNS, IDS, SPAM-Filter, Antivirus, Content Filter, Zeitserver, Proxy, SMTP, FTP, POP3, alles was ne Firewall so braucht...

Wichtig dabei ist nur, dass Du einen Rechner hast, der 2 Netzwerkkarten hat, eine für Grün (internes LAN) und ein für ROT (Verbindung zum Internet). Les Dir die Doku im Internet auf der Seite durch 2, es ist wirklich kein Hexenwerk, aber ansonsten wirst Du nicht glücklich, mit Deiner Lösung! Die Intallation ist total simple, die Konfig erfordert natürlich dann das Knowhow aus der Doku.

BTW: Ich hab hier eine Endian Firewall am laufen (sie ist auch auf deutsch...) und sie läuft wunderbar!

Grüße
Frank
26174
26174 04.11.2007 um 13:28:20 Uhr
Goto Top
danke an euch alle für die konstruktiven vorschläge!
aqui
aqui 05.11.2007 um 15:41:39 Uhr
Goto Top