Webfilterung für Filialen einrichten
Hallo zusammen,
ich stehe vor der Herausforderung, daß in einem Filialbetrieb die Mitarbeiter in den Filialen sich mehr in social networks etc. herumtreiben, als zu arbeiten. Dies möchte ich möglichst mit den vorhandenen Mitteln unterbinden.
Die Filialen sind über dsl online, nicht alle Router sind dieselben, außerdem liegen die Filialen einige 100 km auseinander, so daß die Administration der Filter (wenn überhaupt vorhanden) in den Routern schwierig ist. Erschwerend kommt hinzu, daß jeweils ein Rechner in den Filialen nicht administrierbar weil gesperrt ist, dieser Rechner baut einen Tunnel zu einem externen Server auf (Kassensystem).
Einfaches Sperren in den Browsern scheidet aus, das wird in 2 min umgangen.
Mir schwebt eine Lösung vor, zentral bei mir eine Whitelist für alle Filialen administrieren zu können. Zentral gibt es einen Windows 2008 r2-Server, der über Kabelanbieter online ist.
Wie kann ich erreichen, daß die Browser in den Filialen sich quasi in der Zentrale die Erlaubnis für die Zugriffe aus der Whitelist abholen, ohne daß der ganze Datenverkehr über den zentralen Server geht? Wäre da eventuell ein Proxy richtig?
Wäre super, wenn mir hier einer der Spezialisten behilflich sein könnte.
Gruss
ich stehe vor der Herausforderung, daß in einem Filialbetrieb die Mitarbeiter in den Filialen sich mehr in social networks etc. herumtreiben, als zu arbeiten. Dies möchte ich möglichst mit den vorhandenen Mitteln unterbinden.
Die Filialen sind über dsl online, nicht alle Router sind dieselben, außerdem liegen die Filialen einige 100 km auseinander, so daß die Administration der Filter (wenn überhaupt vorhanden) in den Routern schwierig ist. Erschwerend kommt hinzu, daß jeweils ein Rechner in den Filialen nicht administrierbar weil gesperrt ist, dieser Rechner baut einen Tunnel zu einem externen Server auf (Kassensystem).
Einfaches Sperren in den Browsern scheidet aus, das wird in 2 min umgangen.
Mir schwebt eine Lösung vor, zentral bei mir eine Whitelist für alle Filialen administrieren zu können. Zentral gibt es einen Windows 2008 r2-Server, der über Kabelanbieter online ist.
Wie kann ich erreichen, daß die Browser in den Filialen sich quasi in der Zentrale die Erlaubnis für die Zugriffe aus der Whitelist abholen, ohne daß der ganze Datenverkehr über den zentralen Server geht? Wäre da eventuell ein Proxy richtig?
Wäre super, wenn mir hier einer der Spezialisten behilflich sein könnte.
Gruss
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 147028
Url: https://administrator.de/contentid/147028
Ausgedruckt am: 26.11.2024 um 11:11 Uhr
13 Kommentare
Neuester Kommentar
Die einfachste Variante ist von allen Mitarbeitern eine Klausel unterschreiben zu lassen, das das private Surfen nicht gestattet ist, sämtliche Onlineaktivitäten geloggt werden und mit arbeitsrechtlichen Konsequenzen zu rechnen ist beim Verstoß gegen die Klausel.
Die Variante mit dem Proxy und der Whitelist ist durchaus möglich, bedeutet aber Aufwand.
Die Variante mit dem Proxy und der Whitelist ist durchaus möglich, bedeutet aber Aufwand.
preiswerte Version:
- Linux aufsetzen
- Squid drauf -> konfigurieren inkl. Whitelist
Jetzt musst du noch auf Clientseite die Verbindung so einstellen das auch dein Proxy benutzt wird. Ich gehe mal davon aus das die User NUR Userrechte haben und nicht die Proxyeinstellungen verändern dürfen.
Das was aber kritischer ist, die Verfügbarkeit deines Proxies zu gewährleisten.
Wird das Netz rein als Surfmedium benutzt oder gibt es Webapplikationen die keine Ausfälle vertragen?
- Linux aufsetzen
- Squid drauf -> konfigurieren inkl. Whitelist
Jetzt musst du noch auf Clientseite die Verbindung so einstellen das auch dein Proxy benutzt wird. Ich gehe mal davon aus das die User NUR Userrechte haben und nicht die Proxyeinstellungen verändern dürfen.
Das was aber kritischer ist, die Verfügbarkeit deines Proxies zu gewährleisten.
Wird das Netz rein als Surfmedium benutzt oder gibt es Webapplikationen die keine Ausfälle vertragen?
Linksys Router, Edimax usw. bieten ebenfalls die Möglichkeit URLs direkt auf dem Router zu filtern, ebenso wie kostenlose FW Appliances wie M0n0wall oder Pfsense oder die oben genannten.
Dort ist das dann mit 3 Mausklicks zu machen und einigermaßen wasserdicht wenn du dir die Installation einens Proxys ersparen willst, was zweifelsohne die beste Lösung ist in Verbindung mit URL Filtern.
Noch wichtiger ist die Vereinbarung für den Arbeitsvertrag so wie es allerorten gängig ist, denn das droht ganz klar Konsequenzen an.
Dort ist das dann mit 3 Mausklicks zu machen und einigermaßen wasserdicht wenn du dir die Installation einens Proxys ersparen willst, was zweifelsohne die beste Lösung ist in Verbindung mit URL Filtern.
Noch wichtiger ist die Vereinbarung für den Arbeitsvertrag so wie es allerorten gängig ist, denn das droht ganz klar Konsequenzen an.
Andere Möglichkeit:
Schau dir mal deine AV-Lösung an. Die meisten Anbieter haben bereits Filterfunktionen mit eingebaut. Wenn Du die Clients dann Zentral verwalten kannst, dann brauchst Du nur noch einmal eine Policy erstellen und auf alle Clients ausrollen...
Setzt natürlich voraus, dass ihr eine einheitliche AV-Lösung für alle PCs benutzt...
So haben wir das zumindest bei uns in der Firma (über Eset NOD32 Admin Console) gelöst und fahren ganz gut damit
MfG theshu
Schau dir mal deine AV-Lösung an. Die meisten Anbieter haben bereits Filterfunktionen mit eingebaut. Wenn Du die Clients dann Zentral verwalten kannst, dann brauchst Du nur noch einmal eine Policy erstellen und auf alle Clients ausrollen...
Setzt natürlich voraus, dass ihr eine einheitliche AV-Lösung für alle PCs benutzt...
So haben wir das zumindest bei uns in der Firma (über Eset NOD32 Admin Console) gelöst und fahren ganz gut damit
MfG theshu
Also bei Kaspersky gibt es auch die Möglichkeit alles zentral verwalten zu lassen. Schau einfach mal auf der Homepage nach.
Da Du die Konfigurationen (Den Zugriff auf die Einstellungsoberfläche im Kaspersky) per Passwort vor Veränderungen schützen kannst, kann auch kein Mitarbeiter den Filter ohne weiteres deaktivieren.
Allerdings glaube ich wird so eine Zentralverwaltung bestimmt nur für die "Business"-Version von Kaspersky angeboten. Weiß nicht, ob ihr die habt...
Einziger Wehrmutstropfen: Du müsstest alle Clients (geht auch per Fernwartung / Remotedesktop) so einstellen, dass sie sich mit deinem Kaspersky-Verwaltungsprogramm (auf deinem Server oder wo auch immer) verbinden. Dann kannst du dort alle weiteren Einstellungen vornehmen. Eventuell musst Du noch einen Port auf dem Router hinter der Dein Verwaltungsserver steht freigeben.
Übrigens: "Klevere" Mitarbeiter werden vielleicht versuchen über LiveCDs oder Laptops ins Internet zu kommen. Eine MAC-Filterung + Rechnernamenfilterung schaft zumindest ein wenig abhilfe...
Auch kannst Du das BIOS so konfigurieren, dass LiveCDs nicht gebootet werden. Anschließend das BIOS noch mit PW sichern.
Hilft Dir das weiter?
Da Du die Konfigurationen (Den Zugriff auf die Einstellungsoberfläche im Kaspersky) per Passwort vor Veränderungen schützen kannst, kann auch kein Mitarbeiter den Filter ohne weiteres deaktivieren.
Allerdings glaube ich wird so eine Zentralverwaltung bestimmt nur für die "Business"-Version von Kaspersky angeboten. Weiß nicht, ob ihr die habt...
Einziger Wehrmutstropfen: Du müsstest alle Clients (geht auch per Fernwartung / Remotedesktop) so einstellen, dass sie sich mit deinem Kaspersky-Verwaltungsprogramm (auf deinem Server oder wo auch immer) verbinden. Dann kannst du dort alle weiteren Einstellungen vornehmen. Eventuell musst Du noch einen Port auf dem Router hinter der Dein Verwaltungsserver steht freigeben.
Übrigens: "Klevere" Mitarbeiter werden vielleicht versuchen über LiveCDs oder Laptops ins Internet zu kommen. Eine MAC-Filterung + Rechnernamenfilterung schaft zumindest ein wenig abhilfe...
Auch kannst Du das BIOS so konfigurieren, dass LiveCDs nicht gebootet werden. Anschließend das BIOS noch mit PW sichern.
Hilft Dir das weiter?
Ob der Aufwand mit der Firewall Frickelei dann geringer ist als bei den Filialen diese URLs in HW zu sperren sei ja mal dahingestellt. Mal ganz abgesehen das man das "bastelfest" machen müsste um die Hacker in den Filialen nicht noch einen Grund zu geben der sie von der regulären Arbeit abhält.
Sowas hardwareseitig mit Netzkomponenten zu machen stellt immer eine erheblich größere Hürde da weil da Winblows Bastelknowhow meist nicht mehr reicht um es zu überwinden und es mehr kriminelle Energie erfordert.
Das grundlegende Problem ist das das ganze Filial Vernetzungskonzept in sich schon völliger Murks ist und eher Bastelei denn ein Konzept ist.
Und nun sollst du mit Bordmitteln, die vermutlich nichts kosten sollen wie immer, diese Fehlplanung fixen.
Einfach ohne nur minimalen HW Aufwand wird das so nicht zu machen sein. Zumal bei der Firewall Lösung jeder ja zudem beliebig seine Privatrechner, PDAs ins Netz nehmen kann und hat das Konzept dann im Handumdrehen ausgehebelt ist !
Sowas hardwareseitig mit Netzkomponenten zu machen stellt immer eine erheblich größere Hürde da weil da Winblows Bastelknowhow meist nicht mehr reicht um es zu überwinden und es mehr kriminelle Energie erfordert.
Das grundlegende Problem ist das das ganze Filial Vernetzungskonzept in sich schon völliger Murks ist und eher Bastelei denn ein Konzept ist.
Und nun sollst du mit Bordmitteln, die vermutlich nichts kosten sollen wie immer, diese Fehlplanung fixen.
Einfach ohne nur minimalen HW Aufwand wird das so nicht zu machen sein. Zumal bei der Firewall Lösung jeder ja zudem beliebig seine Privatrechner, PDAs ins Netz nehmen kann und hat das Konzept dann im Handumdrehen ausgehebelt ist !