6
Lösung gesucht für Router oder Appliance mit Proxy und Logfunktion
Hallo zusammen!
Ich bin aktuell auf der Suche nach geeigneter Hardware, bzw. Lösung für einen Router oder eine Appliance, der/die folgende Funktionen erfüllt:
Der Anwender soll sich vor dem Surfen (browserbasierten Zugriff auf das Internet) mit Benutzername und Kennwort anmelden (Proxy?)
Alle browserbasierten Zugriffe des Anwenders auf das Internet (inkl. URLs) sollen protokolliert werden. Das Protokoll soll per E-Mail verschickt werden können.
Wenn der Anwender sich abmeldet, bzw. den Browser schließt, dann soll er sich danach wieder anmelden müssen.
Bei meiner bisherigen Recherche kam die Sophos UTM dem ganzen schon sehr nahe. Zumindest musste der Anwender sich anmelden und alles wurde fein säuberlich dokumentiert. Die Reports konnten auch per Mail versendet werden. Das Problem war allerdings, dass der Anwender für einen gewissen Zeitraum (15 Minute glaube ich) authentifiziert war, bzw. das Gerät war es. Hat sich ein anderer Anwender vor Ablauf der Zeit an dem Gerät angemeldet, so muss er sich nicht authentifizieren.
Nun bin ich auf der Suche nach einer geeigneten Lösung
Danke
Norm
Ich bin aktuell auf der Suche nach geeigneter Hardware, bzw. Lösung für einen Router oder eine Appliance, der/die folgende Funktionen erfüllt:
Der Anwender soll sich vor dem Surfen (browserbasierten Zugriff auf das Internet) mit Benutzername und Kennwort anmelden (Proxy?)
Alle browserbasierten Zugriffe des Anwenders auf das Internet (inkl. URLs) sollen protokolliert werden. Das Protokoll soll per E-Mail verschickt werden können.
Wenn der Anwender sich abmeldet, bzw. den Browser schließt, dann soll er sich danach wieder anmelden müssen.
Bei meiner bisherigen Recherche kam die Sophos UTM dem ganzen schon sehr nahe. Zumindest musste der Anwender sich anmelden und alles wurde fein säuberlich dokumentiert. Die Reports konnten auch per Mail versendet werden. Das Problem war allerdings, dass der Anwender für einen gewissen Zeitraum (15 Minute glaube ich) authentifiziert war, bzw. das Gerät war es. Hat sich ein anderer Anwender vor Ablauf der Zeit an dem Gerät angemeldet, so muss er sich nicht authentifizieren.
Nun bin ich auf der Suche nach einer geeigneten Lösung
Danke
Norm
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 658829
Url: https://administrator.de/contentid/658829
Printed on: April 16, 2024 at 06:04 o'clock
6 Comments
Latest comment
Hallo,
bei der Anleitung geht es um WLAN & Radius.
Gruß
Norm
bei der Anleitung geht es um WLAN & Radius.
Gruß
Norm
Bei ihm würde wohl eher Squid Proxy und eins der zahllosen Analyse Tools:
http://www.squid-cache.org/Misc/log-analysis.html
der bessere Weg sein.
Das kann heute jede Open Source oder Baumarkt Firewall von der Stange...
http://www.squid-cache.org/Misc/log-analysis.html
der bessere Weg sein.
Das kann heute jede Open Source oder Baumarkt Firewall von der Stange...
Hallo,
was ist den der Zweck des ganzen? Wofür wird das gebraucht ?
Ich benutzt bei mir eine Rhode&Schwarz Gateprotect Firewall, das gleiche wie die UF Serie von Lancom. Da kann man einen User definieren und der benutzt dann auf irgend einem Rechner im Netz Security Cient, da ist nix anderes als ein Programm wo er seine Zugangsdaten eingibt, also Benutzername und Kennwort. Danach kann er dann maximal das machen was er aufgrund der Userdefinition machen darf.
Das Protokoll der Firewall dann einfach auf einen Syslog Server senden und auswerten.
Ein automatisches Reporting hab ich da noch nicht entdeckt.
Die Art der Kontrolle halte ich allerdings für etwas problematiscch in rechtlicher Hinsicht.
was ist den der Zweck des ganzen? Wofür wird das gebraucht ?
Ich benutzt bei mir eine Rhode&Schwarz Gateprotect Firewall, das gleiche wie die UF Serie von Lancom. Da kann man einen User definieren und der benutzt dann auf irgend einem Rechner im Netz Security Cient, da ist nix anderes als ein Programm wo er seine Zugangsdaten eingibt, also Benutzername und Kennwort. Danach kann er dann maximal das machen was er aufgrund der Userdefinition machen darf.
Das Protokoll der Firewall dann einfach auf einen Syslog Server senden und auswerten.
Ein automatisches Reporting hab ich da noch nicht entdeckt.
Die Art der Kontrolle halte ich allerdings für etwas problematiscch in rechtlicher Hinsicht.
Moin,
Ich tippe mal auf Gefängnis. Ansonste wäre das höchst problematisch.
Liebe Grüße
Erik
Zitat von @Snagless:
Die Art der Kontrolle halte ich allerdings für etwas problematiscch in rechtlicher Hinsicht.
Die Art der Kontrolle halte ich allerdings für etwas problematiscch in rechtlicher Hinsicht.
Ich tippe mal auf Gefängnis. Ansonste wäre das höchst problematisch.
Liebe Grüße
Erik
Moin,
ich gehe mal davon aus, dass Ihr das auch wirklich dürft.
M. E. ist folgender Lösungsansatz der Beste:
Die Clients bekommen kein Gateway eingetragen, sondern nur lokale IP und Subnetz. IPv6 brauchen wir nicht. Ausschalten. Im Browser wird als Internetzugang ein Proxy angegeben, über den Webseiten und nur Webseiten erreichbar sind. Sprich, der Proxy spricht nur http: und https: und sonst gar nichts.
Der Proxy wird so konfiguriert, dass er vor Benutzung eine Authentifizierung verlangt und dann einen Session-Cookie setzt. So lange der Browser offen ist, kann der User jetzt surfen. Sobald er den Browser schließt, wird der Keks gelöscht und er muss sich neu authentifizieren. Den Verlauf inkl. aller Cookies müsst Ihr sowieso beim Schließen löschen. Sonst könnte ja der nächste Nutzer (ich vermute mal, da wird ein Login von vielen genutzt) sehen, was die Vorgänger so gemacht haben. Auf dem Proxy nun mitzuschreiben, was alles passiert, ist dann ein Kinderspiel, naja fast (s. u.).
Der Ansatz bietet noch zwei weitere Vorteile:
Es kann ganz einfach zensiert werden. Da ich mir ja nur einen Ort vorstellen kann, wo solche Kontrolle erlaubt ist, wird sicherlich auch das Bedürfnis bestehen, Zugriffe zu unterbinden.
Es kann https: aufgebrochen werden. Mitschreiben ist eigentlich banal. Aber was nützt mir das, wenn es unverständliche Chiffrate sind? Auf dem Proxy kann ich, vorausgesetzt ich kann auch im Browser dafür sorgen, dass meine CA anerkannt wird, https: so aufbrechen, dass es der User nicht merkt (es sei denn, er guckt sich die Zertifikate genau an; aber wer macht das schon?). Wie? Das würde, glaube ich, endgültig gegen die Forumsregeln verstoßen.
Für den Proxy würde ich eher einen kleinen Server unter Linux nehmen als ein fertiges Blech. Wenn Du wirklich alles mitschreiben willst, braucht es schnelle Platten und hinreichend Speicher.
hth
Erik
ich gehe mal davon aus, dass Ihr das auch wirklich dürft.
M. E. ist folgender Lösungsansatz der Beste:
Die Clients bekommen kein Gateway eingetragen, sondern nur lokale IP und Subnetz. IPv6 brauchen wir nicht. Ausschalten. Im Browser wird als Internetzugang ein Proxy angegeben, über den Webseiten und nur Webseiten erreichbar sind. Sprich, der Proxy spricht nur http: und https: und sonst gar nichts.
Der Proxy wird so konfiguriert, dass er vor Benutzung eine Authentifizierung verlangt und dann einen Session-Cookie setzt. So lange der Browser offen ist, kann der User jetzt surfen. Sobald er den Browser schließt, wird der Keks gelöscht und er muss sich neu authentifizieren. Den Verlauf inkl. aller Cookies müsst Ihr sowieso beim Schließen löschen. Sonst könnte ja der nächste Nutzer (ich vermute mal, da wird ein Login von vielen genutzt) sehen, was die Vorgänger so gemacht haben. Auf dem Proxy nun mitzuschreiben, was alles passiert, ist dann ein Kinderspiel, naja fast (s. u.).
Der Ansatz bietet noch zwei weitere Vorteile:
Es kann ganz einfach zensiert werden. Da ich mir ja nur einen Ort vorstellen kann, wo solche Kontrolle erlaubt ist, wird sicherlich auch das Bedürfnis bestehen, Zugriffe zu unterbinden.
Es kann https: aufgebrochen werden. Mitschreiben ist eigentlich banal. Aber was nützt mir das, wenn es unverständliche Chiffrate sind? Auf dem Proxy kann ich, vorausgesetzt ich kann auch im Browser dafür sorgen, dass meine CA anerkannt wird, https: so aufbrechen, dass es der User nicht merkt (es sei denn, er guckt sich die Zertifikate genau an; aber wer macht das schon?). Wie? Das würde, glaube ich, endgültig gegen die Forumsregeln verstoßen.
Für den Proxy würde ich eher einen kleinen Server unter Linux nehmen als ein fertiges Blech. Wenn Du wirklich alles mitschreiben willst, braucht es schnelle Platten und hinreichend Speicher.
hth
Erik