Internet sperren

[miac]

Du kannst doch bestimmt im Router eine Whitelist für den Rechner hinterlegen, oder?

 

[Frightener]

@chrigu
Es gibt aber auch Apps und Dienste, die versuchen, ins Internet zu kommen, die der User nicht beeinflussen kann.

Außerdem ist das durchaus keine einfache Lösung, da der Überwachungsaufwand und die Kosten des Rechtsstreites durchaus nicht unerheblich sind.

 

[Sebbi]

Entweder wenns keine lokale Lösung sein kann wegen der Admin Rechte eignes Subnet fest per DHCP an die MAC (muss dann aber bei jeden Rechner gemacht werden, das die immerwieder die gleiche IP + Subnet bekommen) gebunden oder eignes VLAN am Switch direkt wenn der das unterstützt.

ODER eben ein Proxy, der nur bestimmte IP Addressen zulässt, die ins Internet dürfen.

ODER ... einfach von Netzwerk abklemmen bzw in komplett eigenes Netzwerk stecken.

 

[fuyuhasugu]

Das, was du willst, bekommst du idR nur mit gescheiter NW-Technik hin. Proxy, block basierend auf AD Gruppen oder was weiß ich. Alles andere, insb. Einstellungen auf dem Client direkt, ist quatsch, da der User lokale Adminrechte hat.

+1

Die Firewall braucht muss definitiv DPI beherrschen, sonst kann der Nutzer seinen Netzverkehr einfach verpacken. Beschränkungen auf Port-Basis, Domain Policy etc. kann der Nutzer wegen der lokalen Rechte recht einfach umgehen. Die Freigabe für die Windowsupdates entweder über einen lokalen Update-Server oder über eine IP-Whitelist. Auch die Festlegung nur anhand der MAC ist nicht zuverlässig: FAQ: How to change MAC address on Windows 7.

 

[TheFameGamer]

Ich würde generell mal nachdenken bei euch das Netzwerk / Intranet Sicherer zu machen.
Darf ich fragen wieviel Mitarbeiter ihr habt?

 

[Frightener]

Entweder wenns keine lokale Lösung sein kann wegen der Admin Rechte eignes Subnet fest per DHCP an die MAC (muss dann aber bei jeden Rechner gemacht werden, das die immerwieder die gleiche IP + Subnet bekommen) gebunden oder eignes VLAN am Switch direkt wenn der das unterstützt.

ODER eben ein Proxy, der nur bestimmte IP Addressen zulässt, die ins Internet dürfen.

Das bringt ja nichts, wenn der User Admin ist. Dann konfiguriert er sich einfach eine entsprechende IP.

Am sinnvollsten ist die Sperrung benutzerbezogen an einem Proxy/Gateway.

 

[fireblade_xx]

Hier nochmal genauer:

Allgemein: http://www.squid-cache.org/
Einrichtung: http://blog.proesdorf.de/2010/06/29/squid-proxy-konfigurieren.html

 

[Sebbi]

Das bringt ja nichts, wenn der User Admin ist. Dann konfiguriert er sich einfach eine entsprechende IP.

Am sinnvollsten ist die Sperrung benutzerbezogen an einem Proxy/Gateway.

nicht bei festen DHCP Addressen an MACs gebunden. Und wenn er sich ne Andere MAC holt, hat er entweder nen Addresskonflikt (-> Abmanung für das mutwillige Ändern) oder bekommt keine IP. Ist zwar arbeit für den Admin, aber naja.

Ansonsten Benutzerbezogener Proxy is auch gut.

 

[Miyamori]

die einfachste lösung: dem mitarbeiter abmahnen und bei nochmaligem verstoss gegen "internet-verbot"... kick in se ärsch

Wäre auch mein Vorschlag, soziale Probleme kann man nicht mit Technik erschlagen. Wenn der Mitarbeiter sich nicht an die Regeln halten mag muss er halt gehen.

 

[Frightener]

nicht bei festen DHCP Addressen an MACs gebunden.

Wenn er sich eine feste konfiguriert, umgeht er doch den DHCP Server... Wie gesagt - eine organisatorische Regelung muß man erstmal durchsetzen können (Abmahnung, Kündigung, Klage des AN). Ein Prozeß ist für ein Unternehmen kostspielig mit ungewissem Erfolg.

 

[fuyuhasugu]

Wenn er sich eine feste konfiguriert, umgeht er doch den DHCP Server

Feste Zuweisung von IPs zu allen existierenden MACs, ließe ihm zumindest während alle anderen IPs tatsächlich in Benutzung sind keine Freiheiten. Sobald einer der Rechner mal nicht in Benutzung ist (Krankheit, Urlaub des Kollegen) und derjenige, wegen dem dieser ganze Aufwand hier stattfindet, die IP-MAC-Rechner-Zuordnungen kennt, was als Admin im gleichen Netzwerksegment leicht rauszufinden ist, ist das hinfällig.

 

[Frightener]

Bei Client basiertem Filtern ist noch zu beachten, daß in den Eigenschaften des Benutzerobjektes im AD eine Login-Einschränkung konfiguriert werden muß, damit der User sich nicht einfach an einem anderen PC anmelden kann. Ebenso kommt umgekehrt aber auch kein anderer User über diesen eingeschränkten PC ins Internet. In Einzelfällen kann das somit unter bestimmten Voraussetzungen funktionieren, sofern der User sich kein Gerät mit anderen teilt. Als Konzept ist diese Vorgehensweise aber vollkommen unbrauchbar - aber darum geht es hier ja eigentlich nicht.

Aus konzeptioneller Sicht:
In der von Fireblade verlinkten Lösung muß man nach der Installation lediglich im AD eine Gruppe pflegen, nämlich die mit den Usern, die ins Internet dürfen. Selbst für sehr kleine Unternehmen ist dieser Aufwand und die dahinterstehenden Kosten überschaubar. Bei MAC basiertem Filtern muß es ja ebenfalls eine vorgeschaltete Instanz geben, die filtert, welche MAC ins Internet darf und welche nicht.