schnitzel68
Goto Top

Webfilterung für Filialen einrichten

Hallo zusammen,

ich stehe vor der Herausforderung, daß in einem Filialbetrieb die Mitarbeiter in den Filialen sich mehr in social networks etc. herumtreiben, als zu arbeiten. Dies möchte ich möglichst mit den vorhandenen Mitteln unterbinden.

Die Filialen sind über dsl online, nicht alle Router sind dieselben, außerdem liegen die Filialen einige 100 km auseinander, so daß die Administration der Filter (wenn überhaupt vorhanden) in den Routern schwierig ist. Erschwerend kommt hinzu, daß jeweils ein Rechner in den Filialen nicht administrierbar weil gesperrt ist, dieser Rechner baut einen Tunnel zu einem externen Server auf (Kassensystem).
Einfaches Sperren in den Browsern scheidet aus, das wird in 2 min umgangen.

Mir schwebt eine Lösung vor, zentral bei mir eine Whitelist für alle Filialen administrieren zu können. Zentral gibt es einen Windows 2008 r2-Server, der über Kabelanbieter online ist.

Wie kann ich erreichen, daß die Browser in den Filialen sich quasi in der Zentrale die Erlaubnis für die Zugriffe aus der Whitelist abholen, ohne daß der ganze Datenverkehr über den zentralen Server geht? Wäre da eventuell ein Proxy richtig?

Wäre super, wenn mir hier einer der Spezialisten behilflich sein könnte.

Gruss

Content-ID: 147028

Url: https://administrator.de/contentid/147028

Ausgedruckt am: 26.11.2024 um 11:11 Uhr

H41mSh1C0R
H41mSh1C0R 16.07.2010 um 10:24:06 Uhr
Goto Top
Die einfachste Variante ist von allen Mitarbeitern eine Klausel unterschreiben zu lassen, das das private Surfen nicht gestattet ist, sämtliche Onlineaktivitäten geloggt werden und mit arbeitsrechtlichen Konsequenzen zu rechnen ist beim Verstoß gegen die Klausel.

Die Variante mit dem Proxy und der Whitelist ist durchaus möglich, bedeutet aber Aufwand.
schnitzel68
schnitzel68 16.07.2010 um 10:42:20 Uhr
Goto Top
Solche Verträge sind selbstverständlich vorhanden. Leider löst das mein Problem nicht, ich brauche eine Kontroll- bzw Unterbindungsmöglichkeit. Wie groß ist der Aufwand einzuschätzen?
winworker
winworker 16.07.2010 um 11:10:50 Uhr
Goto Top
Schau dir mal IPcop oder Endian Firewall an. Ist natürlich mehr administrativer Aufwand als ein Router aber dafür läuft das auch auf einem älteren PC und du kannst fast alles einstellen.

Hab das selber bei einigen Kunden im Einsatz.
H41mSh1C0R
H41mSh1C0R 16.07.2010 um 11:12:20 Uhr
Goto Top
preiswerte Version:

- Linux aufsetzen
- Squid drauf -> konfigurieren inkl. Whitelist

Jetzt musst du noch auf Clientseite die Verbindung so einstellen das auch dein Proxy benutzt wird. Ich gehe mal davon aus das die User NUR Userrechte haben und nicht die Proxyeinstellungen verändern dürfen.

Das was aber kritischer ist, die Verfügbarkeit deines Proxies zu gewährleisten.

Wird das Netz rein als Surfmedium benutzt oder gibt es Webapplikationen die keine Ausfälle vertragen?
aqui
aqui 16.07.2010 um 12:06:58 Uhr
Goto Top
Linksys Router, Edimax usw. bieten ebenfalls die Möglichkeit URLs direkt auf dem Router zu filtern, ebenso wie kostenlose FW Appliances wie M0n0wall oder Pfsense oder die oben genannten.
Dort ist das dann mit 3 Mausklicks zu machen und einigermaßen wasserdicht wenn du dir die Installation einens Proxys ersparen willst, was zweifelsohne die beste Lösung ist in Verbindung mit URL Filtern.
Noch wichtiger ist die Vereinbarung für den Arbeitsvertrag so wie es allerorten gängig ist, denn das droht ganz klar Konsequenzen an.
schnitzel68
schnitzel68 16.07.2010 um 12:18:52 Uhr
Goto Top
Es gibt ein Kassensystem, das keine Ausfälle verträgt. Von daher ist die Verfügbarkeit des Proxys tatsächlich kritisch und wahrscheinlich gar nicht zu 100% zu gewährleisten, wenn der auch wieder "nur" an einem Kabel-Anschluß hängt.
Die User haben schon nur Userrechte - allerdings könnte sich doch trotzdem jemand einen anderen Browser installieren und damit die Einstellungen im IE umgehen, oder liege ich da falsch?
schnitzel68
schnitzel68 16.07.2010 um 12:26:52 Uhr
Goto Top
In der Zentrale habe ich eine Endian Firewall 4i Office im Einsatz, mit der ich über VPN-Tunnel von außen auf den Windows-Server gehe.
Um die Filialen zu filtern müßte aber dann ja in jeder Filiale so eine Firewall stehen, oder könnten die sich bei der zentralen Firewall die "Erlaubnis" holen?
aqui
aqui 16.07.2010 um 12:38:41 Uhr
Goto Top
Ja, wenn der Internet Zugriff lokal in den Filialen geschieht ist dem so. Da ist es dann besser man inverstiert 50 Euro und tauscht die Router gegen solche mit Firewall und URL Filter aus. Z.B. Linksys WRT54 u.a.
theshu
theshu 16.07.2010 um 13:05:49 Uhr
Goto Top
Andere Möglichkeit:

Schau dir mal deine AV-Lösung an. Die meisten Anbieter haben bereits Filterfunktionen mit eingebaut. Wenn Du die Clients dann Zentral verwalten kannst, dann brauchst Du nur noch einmal eine Policy erstellen und auf alle Clients ausrollen...
Setzt natürlich voraus, dass ihr eine einheitliche AV-Lösung für alle PCs benutzt...

So haben wir das zumindest bei uns in der Firma (über Eset NOD32 Admin Console) gelöst und fahren ganz gut damit face-smile

MfG theshu
schnitzel68
schnitzel68 16.07.2010 um 13:09:35 Uhr
Goto Top
Wir nutzen Kaspersky, allerdings dezentral mit lauter Einzelinstallationen. theshu, können die User das nicht auch einfach abschalten?
schnitzel68
schnitzel68 16.07.2010 um 13:20:35 Uhr
Goto Top
Wir haben überwiegend Speedports von der Telekom, ab und an auch mal einen Linksys. Mich stört daran halt die aufwendige Administration, aber ich fürchte, es wird darauf hinauslaufen. Ich hoffe, alle Router haben eine URL-Filterungsfunktion mit Whitelist.
theshu
theshu 16.07.2010 um 13:21:56 Uhr
Goto Top
Also bei Kaspersky gibt es auch die Möglichkeit alles zentral verwalten zu lassen. Schau einfach mal auf der Homepage nach.

Da Du die Konfigurationen (Den Zugriff auf die Einstellungsoberfläche im Kaspersky) per Passwort vor Veränderungen schützen kannst, kann auch kein Mitarbeiter den Filter ohne weiteres deaktivieren.

Allerdings glaube ich wird so eine Zentralverwaltung bestimmt nur für die "Business"-Version von Kaspersky angeboten. Weiß nicht, ob ihr die habt...
Einziger Wehrmutstropfen: Du müsstest alle Clients (geht auch per Fernwartung / Remotedesktop) so einstellen, dass sie sich mit deinem Kaspersky-Verwaltungsprogramm (auf deinem Server oder wo auch immer) verbinden. Dann kannst du dort alle weiteren Einstellungen vornehmen. Eventuell musst Du noch einen Port auf dem Router hinter der Dein Verwaltungsserver steht freigeben.

Übrigens: "Klevere" Mitarbeiter werden vielleicht versuchen über LiveCDs oder Laptops ins Internet zu kommen. Eine MAC-Filterung + Rechnernamenfilterung schaft zumindest ein wenig abhilfe...
Auch kannst Du das BIOS so konfigurieren, dass LiveCDs nicht gebootet werden. Anschließend das BIOS noch mit PW sichern.

Hilft Dir das weiter?
aqui
aqui 16.07.2010 um 13:48:20 Uhr
Goto Top
Ob der Aufwand mit der Firewall Frickelei dann geringer ist als bei den Filialen diese URLs in HW zu sperren sei ja mal dahingestellt. Mal ganz abgesehen das man das "bastelfest" machen müsste um die Hacker in den Filialen nicht noch einen Grund zu geben der sie von der regulären Arbeit abhält.
Sowas hardwareseitig mit Netzkomponenten zu machen stellt immer eine erheblich größere Hürde da weil da Winblows Bastelknowhow meist nicht mehr reicht um es zu überwinden und es mehr kriminelle Energie erfordert.
Das grundlegende Problem ist das das ganze Filial Vernetzungskonzept in sich schon völliger Murks ist und eher Bastelei denn ein Konzept ist.
Und nun sollst du mit Bordmitteln, die vermutlich nichts kosten sollen wie immer, diese Fehlplanung fixen.
Einfach ohne nur minimalen HW Aufwand wird das so nicht zu machen sein. Zumal bei der Firewall Lösung jeder ja zudem beliebig seine Privatrechner, PDAs ins Netz nehmen kann und hat das Konzept dann im Handumdrehen ausgehebelt ist !