Wie kann ich das SURFEN am Arbeitsplatz unterbinden?

Samoth

Samoth

Reborn in 2020
Registriert
29. April 2001
Reaktionspunkte
282
Ort
Würzburger Gegend
Einer unserer Kunden benutzt einen Gateway um @mails im gesamten Büro abzurufen.

Seine beiden Sekretärinnen sollen dies natürlich auch können, dabei jedoch nicht die Möglichkeit zum surfen im Netz haben.

Ich könnte sicherlich die Verknüpfungen zum IE löschen, aber das wäre nichts Halbes und nichts Ganzes.

Was noch möglich wäre(leider mit Kosten verbunden): Eine Firewall installieren und dann eine Regel aufstellen, die einfach dem IE Zugriff auf das Internet verbietet.

Gibt es noch andere Möglichkeiten?

Grundsätzlich reicht es wohl nicht, nur den IE zu sperren, da ich mit jeglichen "Adressleisten" unter Windows wieder Zugriff aufs Netz bekommen würde.


Nach einigen Tests:

Die Sache scheint mir auf den zweiten Blick schwerwiegender als zuerst angenommen. Ich hab den Firewalleinsatz mal gestestet, aber das funzt nicht 100%ig.

Ich kann zwar keine Seiten mehr ansurfen, ist aber in einer @mail ein Link so kann dieser einwandfrei gestartet UND angesurft werden...
 
Ich weiss zwar nicht genau, was eine @mail sein soll (at-mail?!), aber den Zugriff aufs Web kannst Du unterbinden, indem Du auf dem Gateway Port 80 und 443 sperrst (oder besser, nur Port 53 (DNS), Port 25 (SMTP), Port 143, 220 und 993 (IMAP) und Port 110 und 995 (POP3), resp. die jeweils verschluesselte Variante offen laesst), sofern der das unterstuetzt. Was ist das denn fuer ein Gateway?
 
Sollen den die restlichen mitarbeiter über das Gateway ins Internet können?? Falls nicht die oben genannten Ports am Gateway sperren.

Falls andere ins Internet kommen sollen brauchst du halt eine Firewall oder Proxy Server bei dem du Gruppenweise oder Userweise Regeln zuweisen kannst.

Was nutzt du denn als Gateway.

Ich bin mir zwar nicht sicher aber im Windows kann man auch irgendwo ports sperren unter netzwerkkarteneinstellung. Und was passiert denn wenn du an den pcs als dns server irgenwas sinnloses einträgst. Dann können sie eigentlich die Adressen nicht mehr auflösen. Und ich glaub kaum das dein Sekretärinnen IP Adressen auswendig können.
 
wenn die sekretaerin nit besonders viel ahnung von computern hat, trag doch einfach unter extras verbindungen nen proxy ein im ie, den es gar nicht giebt. und fettich ist der lack dann kommt sie mit ihrem ie net mehr ins www
aber die anderen haben schon recht, mit proxy, und dann entsprechende regeln aufsetzen, wer darf wann und wer darf net.
gruesse grosso
 
Original geschrieben von tobi
Und was passiert denn wenn du an den pcs als dns server irgenwas sinnloses einträgst.
Zum Vergrößern anklicken....

Dann koennen die Mailclients auch keinen smtp.*, mail.*, pop3.* oder sonst einen Mailserver mehr aufloesen. Keine gute Idee, selbst wenn man die IP-Adressen vorher ermitteln und eintragen koennte (die Mailserver koennten z.B. mit Round-Robin-DNS Lastverteilung arbeiten, so dass eine einmal ermittelte IP nicht unbedingt immer richtig ist).

Ganz klar, hier wird ein Paketfilter(=Firewall) gebraucht, am besten mit "Least Priviledge" Konfiguration, also nur die Ports zulassen, die funktionieren sollen. Zweitbeste Loesung, die Ports sperren, die nicht funktionieren sollen. Alles andere kann von jemandem mit minimalem Plan in Sekundenschnelle ausgehebelt werden.
 
Ich hab das hier auch mal in anderen Foren gepostet und hier kamen die besten Vorschläge :-) DANKE!

Ich hab mich jetzt für die Proxy-Methode entschieden. Warum?

Die guten Damen haben keinerlei Ahnung von Einstellungen, IP Adressen, etc. Sie haben keine Adminrechte, d. h. selbst wenn sie wüssten was los ist sollten sie keine Änderungen vornehmen können.

Die Proxy Methode habe ich bzgl. @mail (was meine Schreibweise von e-mail sein soll, lieber gageC *g*) getestet und für funktionsfähig befunden ;-)

Wenn noch Vorschläge bestehen sollten, dann immer raus damit - kann ja sein, dass ich eine mal eine Advanced-Method brauchen könnte.
 
ich nehme in solchen Fällen je nach Netzkonfiguration folgende Möglichkeiten.

1. Ich lege intern einen Mailserver mittels dem Mailprogramm the Bat an. hier können die einzelnen Clients im Intranet zugreifen, haben aber selbst gar keine Möglichkeit durch die fehlende Gateway in Netz der Netze zu surfen.

2. Ich benutze Ken DSL/ISDN als Mailserver. Auch hier habe die Clients keine Möglichkeit nach Aussen zuzugreifen.

The Bat gibt es bei Ritlabs als 30 Tage Testversion. Die beifügte Hilfe ist sehr gut und ausführlich. Für Sachverständige ist die Beschreibung der Netzwerkintegration leicht verständlich.

Bei Ken DSL von AVM gibt es meines Wissens keine Testversion. Eine Programmbeschreibung als PDF kann ich aber bei Bedarf zumailen.

Ich halte beide Möglichkeiten in Deinem Fall für praktikabel. Diese Möglichkeiten setzen auch eine Basis für den weiteren Netzausbau.

Ich hoffe, dass ich ein wenig helfen konnte.
 
Original geschrieben von Samoth
Ich hab mich jetzt für die Proxy-Methode entschieden. Warum?

Die guten Damen haben keinerlei Ahnung von Einstellungen, IP Adressen, etc. Sie haben keine Adminrechte, d. h. selbst wenn sie wüssten was los ist sollten sie keine Änderungen vornehmen können.
Zum Vergrößern anklicken....

Die Proxyeinstellungen des Browsers (egal welcher) kann jeder User ändern. Aber wenn sie keinen Plan haben, können sie das nicht.
 
.. im Zweifel reicht fuer sowas ein kurzer Anruf bei 'nem Bekannten (und den haben meist sogar planlose Sekretaerinnen) der einen Bodensatz von Computerverstaendnis hat.

@Samoth .. Advanced Loesungen stehen ja schon oben. Selbst simpelste DSL-Router koennen meist schon Layer-4 Filtering (siehe nobike), Konfiguration, siehe mein Beitrag weiter oben.
 
Wenn ich das richtig verstehe, soll NUR E-Mail funktionieren. Eine Möglichkeite wäre vielleicht noch ein Rechner mit einem Mail-Server, der als einziger am Internet hängt und die E-Mails abholt, dann muß bei den Clients nur der interne Server eingetragen werden und es gibt keine Verbindung nach draußen (auf dem Server einfach alle Arten von IP-Forwarding oder dergleichen ausschalten).

Gruß

Paddie
 
Original geschrieben von Paddie
Wenn ich das richtig verstehe, soll NUR E-Mail funktionieren. Eine Möglichkeite wäre vielleicht noch ein Rechner mit einem Mail-Server, der als einziger am Internet hängt und die E-Mails abholt, dann muß bei den Clients nur der interne Server eingetragen werden und es gibt keine Verbindung nach draußen (auf dem Server einfach alle Arten von IP-Forwarding oder dergleichen ausschalten).

Gruß

Paddie
Zum Vergrößern anklicken....

genau und dann kanst du auch gleich nen schoenes linux draufmachen, und die mailerei machst du mit postfix, und mit squid dem http proxy giebst du nur die ips von den rechnern frei, welche auch ins internet duerfen. und fertig ist der lack.
und das schoene an der sache ist, dass du dafuer irgend eine alte lahme gurke nehmen kannst.:)
 
Original geschrieben von grosso


genau und dann kanst du auch gleich nen schoenes linux draufmachen,
Zum Vergrößern anklicken....


Das war auch mein Hintergedanke :)

und die mailerei machst du mit postfix, und mit squid dem http proxy giebst du nur die ips von den rechnern frei, welche auch ins internet duerfen. und fertig ist der lack.
und das schoene an der sache ist, dass du dafuer irgend eine alte lahme gurke nehmen kannst.:)
Zum Vergrößern anklicken....

Für den Squid sollte dann nur etwas mehr RAM drin sein, aber das sollte ja auch kein Problem darstellen.

Gruß

Paddy
 
Postfix ist die Macht! :daumen:

Ein schoener, schmaler Proxy Server ist auch Oops ... aber auch einen Squid kriegt man so konfiguriert, dass ein 486/66 mit 32MB RAM fuer ein kleines Unternehmen noch ausreicht :)

So ein "Applikations-Layer" Gateway ist natuerlich noch netter als ein einfacher Packetfilter, aber noch mehr Aufwand.
 
Original geschrieben von gageC
Postfix ist die Macht! :daumen:
Zum Vergrößern anklicken....

6 Punkte wegen Flameware-Anzettelns: Exchange-Server ist doch auch nicht schlecht :lol:

Was ist das Besondere an postfix, was exim nicht hat?

Gruesse, Marcus
 
Bitte beachte unsere Verhaltensregeln beim Antworten. Danke 🙂
Zurück