dr.no
Goto Top

Lösung gesucht für Router oder Appliance mit Proxy und Logfunktion

Hallo zusammen!

Ich bin aktuell auf der Suche nach geeigneter Hardware, bzw. Lösung für einen Router oder eine Appliance, der/die folgende Funktionen erfüllt:

Der Anwender soll sich vor dem Surfen (browserbasierten Zugriff auf das Internet) mit Benutzername und Kennwort anmelden (Proxy?)
Alle browserbasierten Zugriffe des Anwenders auf das Internet (inkl. URLs) sollen protokolliert werden. Das Protokoll soll per E-Mail verschickt werden können.

Wenn der Anwender sich abmeldet, bzw. den Browser schließt, dann soll er sich danach wieder anmelden müssen.

Bei meiner bisherigen Recherche kam die Sophos UTM dem ganzen schon sehr nahe. Zumindest musste der Anwender sich anmelden und alles wurde fein säuberlich dokumentiert. Die Reports konnten auch per Mail versendet werden. Das Problem war allerdings, dass der Anwender für einen gewissen Zeitraum (15 Minute glaube ich) authentifiziert war, bzw. das Gerät war es. Hat sich ein anderer Anwender vor Ablauf der Zeit an dem Gerät angemeldet, so muss er sich nicht authentifizieren.

Nun bin ich auf der Suche nach einer geeigneten Lösung face-smile

Danke
Norm

Content-ID: 658829

Url: https://administrator.de/contentid/658829

Ausgedruckt am: 22.11.2024 um 21:11 Uhr

brammer
brammer 04.03.2021 um 14:10:36 Uhr
Goto Top
Hallo,

@aqui hat hier im Forum einige sehr gute Anleitungen zusammengestellt.

so z.B. diese hier

brammer
Dr.No
Dr.No 04.03.2021 um 14:22:16 Uhr
Goto Top
Hallo,

bei der Anleitung geht es um WLAN & Radius.
Gruß
Norm
aqui
aqui 04.03.2021 aktualisiert um 16:36:01 Uhr
Goto Top
Bei ihm würde wohl eher Squid Proxy und eins der zahllosen Analyse Tools:
http://www.squid-cache.org/Misc/log-analysis.html
der bessere Weg sein.
Das kann heute jede Open Source oder Baumarkt Firewall von der Stange...
Snagless
Snagless 04.03.2021 um 16:53:04 Uhr
Goto Top
Hallo,

was ist den der Zweck des ganzen? Wofür wird das gebraucht ?

Ich benutzt bei mir eine Rhode&Schwarz Gateprotect Firewall, das gleiche wie die UF Serie von Lancom. Da kann man einen User definieren und der benutzt dann auf irgend einem Rechner im Netz Security Cient, da ist nix anderes als ein Programm wo er seine Zugangsdaten eingibt, also Benutzername und Kennwort. Danach kann er dann maximal das machen was er aufgrund der Userdefinition machen darf.

Das Protokoll der Firewall dann einfach auf einen Syslog Server senden und auswerten.

Ein automatisches Reporting hab ich da noch nicht entdeckt.

Die Art der Kontrolle halte ich allerdings für etwas problematiscch in rechtlicher Hinsicht.
erikro
erikro 04.03.2021 um 17:47:42 Uhr
Goto Top
Moin,

Zitat von @Snagless:
Die Art der Kontrolle halte ich allerdings für etwas problematiscch in rechtlicher Hinsicht.

Ich tippe mal auf Gefängnis. Ansonste wäre das höchst problematisch.

Liebe Grüße

Erik
erikro
erikro 04.03.2021 um 18:23:23 Uhr
Goto Top
Moin,

ich gehe mal davon aus, dass Ihr das auch wirklich dürft. face-wink

M. E. ist folgender Lösungsansatz der Beste:

Die Clients bekommen kein Gateway eingetragen, sondern nur lokale IP und Subnetz. IPv6 brauchen wir nicht. Ausschalten. Im Browser wird als Internetzugang ein Proxy angegeben, über den Webseiten und nur Webseiten erreichbar sind. Sprich, der Proxy spricht nur http: und https: und sonst gar nichts.

Der Proxy wird so konfiguriert, dass er vor Benutzung eine Authentifizierung verlangt und dann einen Session-Cookie setzt. So lange der Browser offen ist, kann der User jetzt surfen. Sobald er den Browser schließt, wird der Keks gelöscht und er muss sich neu authentifizieren. Den Verlauf inkl. aller Cookies müsst Ihr sowieso beim Schließen löschen. Sonst könnte ja der nächste Nutzer (ich vermute mal, da wird ein Login von vielen genutzt) sehen, was die Vorgänger so gemacht haben. Auf dem Proxy nun mitzuschreiben, was alles passiert, ist dann ein Kinderspiel, naja fast (s. u.).

Der Ansatz bietet noch zwei weitere Vorteile:

Es kann ganz einfach zensiert werden. Da ich mir ja nur einen Ort vorstellen kann, wo solche Kontrolle erlaubt ist, wird sicherlich auch das Bedürfnis bestehen, Zugriffe zu unterbinden.

Es kann https: aufgebrochen werden. Mitschreiben ist eigentlich banal. Aber was nützt mir das, wenn es unverständliche Chiffrate sind? Auf dem Proxy kann ich, vorausgesetzt ich kann auch im Browser dafür sorgen, dass meine CA anerkannt wird, https: so aufbrechen, dass es der User nicht merkt (es sei denn, er guckt sich die Zertifikate genau an; aber wer macht das schon?). Wie? Das würde, glaube ich, endgültig gegen die Forumsregeln verstoßen. face-wink

Für den Proxy würde ich eher einen kleinen Server unter Linux nehmen als ein fertiges Blech. Wenn Du wirklich alles mitschreiben willst, braucht es schnelle Platten und hinreichend Speicher. face-wink

hth

Erik