yaligan
Goto Top

Websitesperrung für bestimmte AD Gruppen

Hallo zusammen,

ich sollte eine Möglichkeit finden, wie man für eine bestimmte AD Gruppe eine Sperre für Websites einrichten kann.
Diese Gruppe soll Seiten wie zum Beispiel Youtube, Facebook, Netflix usw. nicht mehr aufrufen können.

Das soll aber nicht für alle Mitarbeiter gelten.

Über die Firewall soll das erstmal nicht gehen, da der Dieister, der das bei uns machen würde Geld dafür verlangt.
Es wird eine Lösung gesucht, die wir selber umsetzen könnten.

Über die Hostsdatei will ich das nicht machen, da das zu viele IPs wären, die wir händisch eintragen müssten.
Hätte jemand eine Idee für mich?

Grüße

Content-ID: 4573393661

Url: https://administrator.de/contentid/4573393661

Ausgedruckt am: 24.11.2024 um 10:11 Uhr

Dani
Dani 10.11.2022 um 13:40:09 Uhr
Goto Top
Moin,
Hätte jemand eine Idee für mich?
Proxy als Squid ist keine Option?


Gruß,
Dani
Doskias
Doskias 10.11.2022 um 13:50:54 Uhr
Goto Top
Moin,

Bei uns Regelt das die Firewall über Policies. Dafür gibt es in AD eine gewisse Anzahl an Proxy-Gruppe. Die Firewall ruft ab, in welchem Gruppe der User ist und der User erhält dann basierend auf der Gruppierung die entsprechenden Rechte und kann dann die für seine Gruppe definierten Seiten aufrufen.

Gruß
Doskias
Yaligan
Yaligan 10.11.2022 um 14:09:50 Uhr
Goto Top
Schaue ich mir mal an danke
Yaligan
Yaligan 10.11.2022 um 14:10:22 Uhr
Goto Top
Zitat von @Doskias:

Moin,

Bei uns Regelt das die Firewall über Policies. Dafür gibt es in AD eine gewisse Anzahl an Proxy-Gruppe. Die Firewall ruft ab, in welchem Gruppe der User ist und der User erhält dann basierend auf der Gruppierung die entsprechenden Rechte und kann dann die für seine Gruppe definierten Seiten aufrufen.

Gruß
Doskias

genau das würde uns ja der Dienstleister machen gegen Aufpreis. Das wollen die ja nicht.
3063370895
Lösung 3063370895 10.11.2022 um 14:16:40 Uhr
Goto Top
Wenn es nicht per Firewall passieren soll, kann man das auch per GPO pro Browser regeln.

Warum nicht hosts-Datei? Eine hosts-Datei zentral per Netzwerkshare ablegen und dann per GPO an die jeweiligen Gruppen verteilen.
em-pie
em-pie 10.11.2022 um 14:22:59 Uhr
Goto Top
Moin,

Zitat von @Dani:
Proxy als Squid ist keine Option?

Da wäre ich auch für:
https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDi ...
https://www.linuxhelp.com/how-to-restrict-websites-for-squid-proxy-user- ...

und per GPO verteilst du dann den Proxy an ALLE Clients

Gruß em-pie
Yaligan
Yaligan 10.11.2022 um 14:46:56 Uhr
Goto Top
Zitat von @chaot1coz:

Wenn es nicht per Firewall passieren soll, kann man das auch per GPO pro Browser regeln.

Warum nicht hosts-Datei? Eine hosts-Datei zentral per Netzwerkshare ablegen und dann per GPO an die jeweiligen Gruppen verteilen.

Hab gelesen, dass die Hosts-Datei angeblich Fehleranfällig ist und man die lieber nicht nutzen sollte für mehrere Anwender.
3063370895
3063370895 10.11.2022 um 14:54:09 Uhr
Goto Top
Na wo hast du das denn gelesen.
Crusher79
Crusher79 10.11.2022 aktualisiert um 14:57:31 Uhr
Goto Top
Ähm wieso schaust du dir AD Gruppen und Firwall Policy wie von @Doskias beschrieben an, wenn Du ohne den Dienstleister nichts machen kannst?

Gefrickel gegen einmal richtig. Nehmen die so viel Kohle? Sonst musst du die Arbeitszeit zur Einrichtung eines Proxies mit ähnlichen Verhalten einkalkulieren. + erstmal Einarbeitung.

Ob das dann soviel günstiger und besser wird?

+1 @Doskias Post

Der Mehrwert ist später, dass ihr dann nur in der AD die Gruppen ändern müsst. Set-it-and-forget-it.
Yaligan
Yaligan 10.11.2022 um 14:57:47 Uhr
Goto Top
Zitat von @Crusher79:

Ähm wieso schaust du dir AD Gruppen und Firwall Policy wie von @Doskias beschrieben an, wenn Du ohne den Dienstleister nichts machen kannst?

Gefrickel gegen einmal richtig. Nehmen die so viel Kohle? Sonst musst du die Arbeitszeit zur Einrichtung eines Proxies mit ähnlichen Verhalten einkalkulieren. + erstmal Einarbeitung.

Ob das dann soviel günstiger und besser wird?

Angeschaut habe ich mir nichts. Ich hatte dort nachgefragt und die hatten mir dann geantwortet. Das wurde von meinem Vorgesetzten abgelehnt, da das zu teuer ist.
Yaligan
Yaligan 10.11.2022 um 14:59:02 Uhr
Goto Top
Zitat von @chaot1coz:

Na wo hast du das denn gelesen.

In einem Forum weiß nicht mehr genau wo. Aber wir haben das eben besprochen und werden das über die hosts datei machen und die dann per GPO ausrollen. Danke dir
em-pie
em-pie 10.11.2022 um 15:01:55 Uhr
Goto Top
Angeschaut habe ich mir nichts. Ich hatte dort nachgefragt und die hatten mir dann geantwortet. Das wurde von meinem Vorgesetzten abgelehnt, da das zu teuer ist.
Dann frag deinen Chef mal, was du die Stunde kostest (dein Stundenlohn + Sozialabgaben des Arbeitgebers) und sag ihm, wie lange du für die Umsetzung benötigen würdest...

Der Dienstleister ist schneller wieder drin als du (außer du bist nur ein Geringverdiener)
Doskias
Doskias 10.11.2022 um 15:40:53 Uhr
Goto Top
Zitat von @Yaligan:

Zitat von @Crusher79:

Ähm wieso schaust du dir AD Gruppen und Firwall Policy wie von @Doskias beschrieben an, wenn Du ohne den Dienstleister nichts machen kannst?

Gefrickel gegen einmal richtig. Nehmen die so viel Kohle? Sonst musst du die Arbeitszeit zur Einrichtung eines Proxies mit ähnlichen Verhalten einkalkulieren. + erstmal Einarbeitung.

Ob das dann soviel günstiger und besser wird?

Angeschaut habe ich mir nichts. Ich hatte dort nachgefragt und die hatten mir dann geantwortet. Das wurde von meinem Vorgesetzten abgelehnt, da das zu teuer ist.

Zu Teuer? Warte mal kurz. Du musst eine Regel bei der Firewall anlegen, eine Gruppe im Ad. Das ganze miteinander verknüpfen. Dauert etwa 3 bis 5 Minuten. Und dann muss dir einmal gezeigt werden, wie du da eine URL einträgst, was wiederrum 3 Minuten dauert. Also mit 15 Minuten bist du gut bedient und kannst es anschließend selbst. Und das ist dir bzw. deinem Chef zu teuer?

Aber nagut. Sicherheit soll ja auch nichts kosten.
Dani
Dani 10.11.2022 um 16:07:43 Uhr
Goto Top
@Doskias
Warum die Firewall durch einen DL betreut wird, hat vermutlich (mehrere) gute Gründe. Sei es Wissen, sei es Fachpersonal, sei es Zeit, sei es rechtliche Themen. Die Firewall wird als ManagedServer inkl. einem bestimmten Kontigent an Änderungen gemietet sein. Wenn du so wie in diesem Fall nachträglich was dazu haben möchtest, hält der DL natürlich die Hand auf.

Je nach welche Punkte zu treffen, wird das Problem mit einem Proxy erneut auftreten. Was passiert wenn der Proxy ausfällt. Dann geht vermutlich an keinem Client mehr das Internet. Ich denke, das ist nicht zu Ende gedacht sondern ein Schnellschuss und zwar nicht technisch sondern organisatorisch/wirtschaftlich.


Gruß,
Dani
Doskias
Doskias 10.11.2022 um 16:31:17 Uhr
Goto Top
Wir haben auch einen Dienstleister für unsere Firewall, aber es ist wie gesagt unsere Firewall und kleine Änderungen machen wir auch selbst, wie sowas. wenn es aber um etwas größeres geht (z. B. Firmwareupdates), dann lassen wir da schon den Profi dran, denn wenn ich beim Update irgendwas falsch mache, dann fehlt mir einfach die Erfahrung um schnell den Fehler zu finden. Der externe Dienstleiser, der das jede Woche macht, findet den Fehler deutlich schneller als der interne IT-Admin, der das ganze nur alle 6 bis 12 Monate mal anklickt. Aber Dinge, die im Alltag anfallen, sollte man auch selbst machen können. Und vor allem: Wenn es eine Firewall gibt, die das kann, dann ist alles andere nur ein rumgefrickel, was der User dann auch irgendwie umgehen kann.

Meiner Meinung nach: Selbst wenn er jetzt noch einen Proxy für die User aufsetzt und diesen Verteilt, dann hindert es den User nicht den Proxy wieder auf den jetzigen zu ändern um die GPO zu umgehen. Klar, nur temporär bis sich die GPO wieder aktualisiert, aber es geht. Und zu dem Gefrickel mit der Host-Datei sage ich lieber mal nichts. Oder doch: Lass es face-wink

Meiner Meinung nach gibt es nur wenige Firmen, die wirklich eine Blacklist-Firewall benötigen. Überleg lieber mal ob ihr dazu gehört und wenn nicht, dann stell die Firewall auf Whitelisting um. Das Ganze ist einmalig ein gewisser Aufwand, lohnt sich aber aus dem Sicherheitsaspekt deutlich.

Zitat von @Crusher79:
+1 @Doskias Post
dann klick aufs Herz face-wink

Gruß
Doskias
Crusher79
Crusher79 10.11.2022 aktualisiert um 18:04:41 Uhr
Goto Top
Frage ist eh ob die Firewall das kann. Solche Services haben nicht alle. Wir haben als Fw WatchGuard und als AV TrendMicro. Von TM auch einen Webproxy zum Schutz von an die 100 POS. URL Freigaben sind zwar erst nervig, aber später sind es nur wenige die dazu kommen. SSL Inspection muss man sich auch überlegen.

Zumindest kann man es dann den DL in die Schuhe schieben face-wink Manche werden ja zertifiziert, wie bei Intel und Co. Lustige Videos und ein paar Fragen. Gut es gibt auch Hersteller die mir ihren Koffer und Kabeln ankommen und einen Mikrokosmos aufbauen. Da nimmt man dann einiges mit. Echte Fälle halt.

@Dani Update ist immer so ein Punkt. Im Worst-Case läuft aber auch das bei vielen gleich ab. Ob ich einen Zyxel WLAN Controller oder eine Watchguard hab. Reconvery ist meist auf den letzten Seiten beschrieben. face-wink Ich weiss auch nicht ob der Kofferjunge mit der Appliance im Gepäck das in 8 Std. auch mit schafft. Das gute ist, dass man das Problem dann nach extern verlagern kann.

Bei unserer WatchGuard sind historisch an die 120 Rules. Alias mehr oder miner nach eigenen Standard:
- H_ für Host
- N_ für Netz
- H_EXT_TRU_ extern trusted.

Auch ein Experte müsste sich da einmal zurecht finden. Dann wäre es wiederum schon besser, wenn alles aus einer Hand kommt - oder zumindest gut dokumentiert ist. Policy ist ja mitunter nicht nur eine schnöde Regel sonder kann durch policy based routing u.ä. noch andere Sauereien machen. Da wieder alle Gewerke unter einen Hut zu bringen ist auch nicht einfach. Kommt auf die größe und Dokumentation an. Und ob wer Bock auf seinen Job hat, oder sich dadurch unabkömmlich machen will.

Denke sowas kennen wir alle.
Yaligan
Yaligan 11.11.2022 um 10:57:39 Uhr
Goto Top
Zu Teuer? Warte mal kurz. Du musst eine Regel bei der Firewall anlegen, eine Gruppe im Ad. Das ganze miteinander verknüpfen. Dauert etwa 3 bis 5 Minuten. Und dann muss dir einmal gezeigt werden, wie du da eine URL einträgst, was wiederrum 3 Minuten dauert. Also mit 15 Minuten bist du gut bedient und kannst es anschließend selbst. Und das ist dir bzw. deinem Chef zu teuer?

Aber nagut. Sicherheit soll ja auch nichts kosten.

Bin hier gerade mal einen Monat :D Ich weiß noch nicht wie die hier drauf sind. Meine Aufgabe war es nichts umzusetzen sondern nur zu schauen, was es für Möglichkeiten gibt. Und ja die 475€ für die Arbeit war meinem Chef wohl zu teuer :D
Hab ihm jetzt die Möglichkeiten, die mir hier geschrieben worden sind vorgestellt und er entscheidet dann.
Yaligan
Yaligan 11.11.2022 um 10:59:07 Uhr
Goto Top
Dann frag deinen Chef mal, was du die Stunde kostest (dein Stundenlohn + Sozialabgaben des Arbeitgebers) und sag ihm, wie lange du für die Umsetzung benötigen würdest...

Der Dienstleister ist schneller wieder drin als du (außer du bist nur ein Geringverdiener)

Ich soll ja nichts umsetzen. Sollte nur nach Möglichkeiten schauen, wie man das machen kann.
Dani
Dani 12.11.2022 um 10:52:36 Uhr
Goto Top
@Doskias
Aber Dinge, die im Alltag anfallen, sollte man auch selbst machen können. Und vor allem: Wenn es eine Firewall gibt, die das kann, dann ist alles andere nur ein rumgefrickel, was der User dann auch irgendwie umgehen kann.
Grundsätzlich bin ich bei dir. Es gibt aber Szenarien, wo es um rechtlichen Themen und/oder Haftung bei Fehlkonfigurationen geht. Da sagen dir alle seriösen Dienstleister "Entweder ihr oder mir, aber nicht beide".

Meiner Meinung nach: Selbst wenn er jetzt noch einen Proxy für die User aufsetzt und diesen Verteilt, dann hindert es den User nicht den Proxy wieder auf den jetzigen zu ändern um die GPO zu umgehen. Klar, nur temporär bis sich die GPO wieder aktualisiert, aber es geht.
Man kann die Einstellungen doch vor Änderungen sperren. Unabhängig davon würde ich sowas mit Hilfe von WPAD umsetzen. Um so wenig wie möglich an den Clients zu verändern und maximale Flexibilität zu haben.

@Yaligan
Und ja die 475€ für die Arbeit war meinem Chef wohl zu teuer :D
Einmalig für die EInrichtung der Konfiguration auf der Firewall?

Gruß,
Dani
Saftnase
Saftnase 14.11.2022 um 08:49:07 Uhr
Goto Top
Moin,
ich denke Ihr habt ein strategisches Problem bei der Ausrichtung euerer IT.
Wer könnte sonst auf die Idee kommen eine Firewall einzusetzen ohne lokale Kompetenz für den Betrieb zu haben.
Dann darf man sich auch nicht beschweren, wenn der Dienstleister für jeden Furz eine Rechnung schreibt.
Da stimmt euere Kostenkalkulation nicht.
Yaligan
Yaligan 14.11.2022 um 08:53:28 Uhr
Goto Top
@Yaligan
Und ja die 475€ für die Arbeit war meinem Chef wohl zu teuer :D
Einmalig für die EInrichtung der Konfiguration auf der Firewall?

Gruß,
Dani

Jupp
hushpuppies
hushpuppies 14.11.2022 aktualisiert um 10:16:36 Uhr
Goto Top
450€ für eine (wenn es die Firewall denn kann) winzige Änderung?
Also selbst bei einer gut gemeinten Stunde Aufwand ist das viel zu viel - da braucht man ja keinen IT-Forensiker dafür, sondern maximal nen Techniker oder einen guten Azubi...

Bei den Preisen wäre mein Vorschlag eher mal den Dienstleister zu wechseln...
Wir haben auch einen managed service - der kostet im Monat für 3 Standorte gute 950 Euro und solche "Kleinigkeiten" sind da inkludiert, wenn man nicht gerade jeden zweiten Tag ne Änderung will.
Dani
Dani 14.11.2022 um 10:59:22 Uhr
Goto Top
Moin,
Wer könnte sonst auf die Idee kommen eine Firewall einzusetzen ohne lokale Kompetenz für den Betrieb zu haben.
wir haben auch Firewalls, die die IT nicht administrieren darf. Da kümmert sich auch ausschließlich ein Dienstleister drum. Es gibt da schon gute Gründe dafür.

450€ für eine (wenn es die Firewall denn kann) winzige Änderung?
Ich vermute die 450€ sind nicht für die Änderung sondern für die Implementierung, Testing, Dokuemtation (Einrichtung) gedacht. Und dafür sind 450,00€ nicht viel, wenn man bedenkt dass der Stundensatz bei 140-220€ (Netto) liegt.

Bei den Preisen wäre mein Vorschlag eher mal den Dienstleister zu wechseln...
Davor evtl. die Vertäge anschauen (die du und ich nicht kennen) und daraus Anforderungen, Vor- und Nachteile abwiegen. Statt gleich mit einem Wechsel des DL zu kommen ohne Datengrundlage.


Gruß,
Dani
hushpuppies
hushpuppies 14.11.2022 aktualisiert um 22:00:13 Uhr
Goto Top
Zitat von @Dani:

Moin,
Wer könnte sonst auf die Idee kommen eine Firewall einzusetzen ohne lokale Kompetenz für den Betrieb zu haben.
wir haben auch Firewalls, die die IT nicht administrieren darf. Da kümmert sich auch ausschließlich ein Dienstleister drum. Es gibt da schon gute Gründe dafür.

450€ für eine (wenn es die Firewall denn kann) winzige Änderung?
Ich vermute die 450€ sind nicht für die Änderung sondern für die Implementierung, Testing, Dokuemtation (Einrichtung) gedacht. Und dafür sind 450,00€ nicht viel, wenn man bedenkt dass der Stundensatz bei 140-220€ (Netto) liegt.

Bei den Preisen wäre mein Vorschlag eher mal den Dienstleister zu wechseln...
Davor evtl. die Vertäge anschauen (die du und ich nicht kennen) und daraus Anforderungen, Vor- und Nachteile abwiegen. Statt gleich mit einem Wechsel des DL zu kommen ohne Datengrundlage.


Gruß,
Dani

@Dani:
Es gibt sicher für alles "Gründe". Wenn du magst kannst du mir gerne mal die Gründe für einen solchen Mischbetrieb schreiben - würde mich sehr interessieren.

Zu den 450€...Also mal ehrlich... Bei Sophos ist das ein Aufwand von nicht mal 10 Minuten. Bei so einer kleinen Änderung dauert die Dokumentation auch vielleicht ne Viertelstunde.
Zum Testen gibt es da auch nicht viel - nochmal gut gemeinte 30 Minuten.
Und das sind alles keine Tätigkeiten für die man einen Senior Techniker braucht, der einen entsprechenden Stundensatz hat.
Aber selbst wenn der Stundensatz So ist, was machst du dann mit den restlichen zwei Stunden damit man ungefähr auf die 450€ kommt?
Dienstleister heißt für mich, dass das jemand ist, der weiss was er tut und demzufolge schneller und sicherer ist, als wenn man sich das selbst googled und demzufolge effizient und schnell eine solche kleine Aufgabe löst.

Wenn der also zwei Stunden überlegt was er für schöne Worte auf die Rechnung schreibt, damit die 450€ gerechtfertigt sind, ist mein Vorschlag sich mit den Verträgen und Konkurrenten auseinander zu setzen nicht abwegig.

Wo du allerdings völlig recht hast, ist, dass mehr Informationen zum Umfeld nicht schlecht wären.
Doskias
Doskias 14.11.2022 um 22:10:33 Uhr
Goto Top
Also ich "muss" jetzt hier mal eine Lanze für den Dienstleister brechen, auch wenn ich geschrieben habe, dass es nicht länger als 15 Minuten dauert, da sind wir uns wohl alle einige, egal ob Sophos oder Watchguard oder was auch immer. Das worum es hier geht, ist eine standardisierte Basisfunktion einer anständigen Firewall. Aber: Mir ist durchaus bewußt, dass es Dienstleister gibt, die ein durchdachtes Change-Management haben. Wenn es noch keine Proxy-Gruppen im Ad gibt und keine Blacklist- oder Whitelist-Eisntellungen auf der Firewall, dann können da gut und gerne zwei oder drei Stunden zusammen kommen. Da geht es dann nicht um das was, sondern um das wie.
Gehen wir davon aus, es gibt keien Ad-Gruppen udn keine FW-Regel. Dann muss erstmal ein CR eingereicht werden, um die AD-Grzuppen anzulegen, die Firewallfunktion einzurichten, die Regel einzuriochten. Dann muss das ganze erstmal im Testsystem eingerichtet werden, und getestet werden. Dann gibt es darüber ein Test, Abnahme und Durchführungsprotokoll und dann wird der CR genehmigt und erst dann im Echtsystem 1:1 umgesetzt. Und im Anschluss muss das ganze dann noch in die Kundendokumentation. Und schwubs hast du nen halben Tag Aufwand an mehreren Tagen zusammen.