tikayevent
Goto Top

Mit Squid private und geschäftliche Internetnutzung trennen

Moin,

ich habe heute die Aufgabe bekommen, dass ich in der Bude, in der ich arbeite, die Möglichkeit einführe, die private Nutzung von der geschäftlichen Nutzung zu separieren. Das ganze soll mit auf einem bereits vorhandenen Squid-Proxy laufen.

Unterschieden wird dabei einzig und alleine anhand der URLs, sprich es gibt eine Liste mit Domains, die als geschäftlich eingestuft werden und die anderen sollen damit automatisch privat gelistet werden.

Nun soll jeder Benutzer informiert werden, wenn er von der geschäftlichen Nutzung in die private Nutzung rutscht und soll diese per Klick bestätigen.

Gleichzeitig soll ein Verhältnis zwischen geschäftlicher und privater Nutzung ermittelt werden. Dazu sollen einfach die Benutzer in einer Datenbank eingetragen werden (werden mittels NTLM authentifiziert) und dann soll in Sekunden, Minuten, Stunden oder was auch immer die geschäftlich versurfte Zeit getrennt von der privat versurften Zeit hinterlegt werden, so dass man am Ende eine datenschutzrechtlich unverfängliche Analyse des Nutzungsverhaltens machen kann.

Hintergrund ist der, dass die Mitarbeiter, bzw. korrekt heißt es freiberuflichen Vertriebler, sehr viel Zeit privat im Internet unterwegs sind und dabei streckenweise sehr viel Scheiße bauen. Ging sogar so weit, dass wir heute den kompletten Netzbetrieb einstellen mussten, um eine ausufernde Infektion zu verhindern. Komplett untersagen können wir die Nutzung nicht, weil sonst alle Vertriebler das Weite suchen.

Content-Key: 123565

Url: https://administrator.de/contentid/123565

Ausgedruckt am: 28.03.2024 um 21:03 Uhr

Mitglied: wiesi200
wiesi200 26.08.2009 um 20:53:31 Uhr
Goto Top
Zitat von @tikayevent:
Moin,

Unterschieden wird dabei einzig und alleine anhand der URLs, sprich
es gibt eine Liste mit Domains, die als geschäftlich eingestuft
werden und die anderen sollen damit automatisch privat gelistet
werden.

Nun soll jeder Benutzer informiert werden, wenn er von der
geschäftlichen Nutzung in die private Nutzung rutscht und soll
diese per Klick bestätigen.

Das stelle ich mir eher schwer vor.

Gleichzeitig soll ein Verhältnis zwischen geschäftlicher
und privater Nutzung ermittelt werden. Dazu sollen einfach die
Benutzer in einer Datenbank eingetragen werden (werden mittels NTLM
authentifiziert) und dann soll in Sekunden, Minuten, Stunden oder was
auch immer die geschäftlich versurfte Zeit getrennt von der
privat versurften Zeit hinterlegt werden, so dass man am Ende eine
datenschutzrechtlich unverfängliche Analyse des
Nutzungsverhaltens machen kann.

Hier hast du ein Problem mit der Zeit. da der Proxy nicht sehen kann wie lange man sich etwas ansieht. Der registriert nur die anfragen an ihm. Du kannst sagen wann wer was aufgerufen hat.

Hintergrund ist der, dass die Mitarbeiter, bzw. korrekt heißt
es freiberuflichen Vertriebler, sehr viel Zeit privat im Internet
unterwegs sind und dabei streckenweise sehr viel ###e bauen.
Ging sogar so weit, dass wir heute den kompletten Netzbetrieb
einstellen mussten, um eine ausufernde Infektion zu verhindern.
Komplett untersagen können wir die Nutzung nicht, weil sonst alle
Vertriebler das Weite suchen.

Für soetwas gibt's eine Vernünftige Antivirenlösung. Eftl. mit einer Content Controll wo so fragwürdige Seiten gesperrt werden. Denn der Anschlussinhaber ist ja verantwortlich was damit gemacht wird. Also ein absoluter Freibrief ist nicht grad gut.
Mitglied: tikayevent
tikayevent 26.08.2009 um 21:05:56 Uhr
Goto Top
Es geht hier nicht um jede einzelne Sekunde. Es sollen nur grobe Richtwerte sein, irgendwie mittels Timeout auf 5 Minuten oder so.

Wir haben eine vernünftige Antivirenlösung, bloß die bringt nichts, wenn die brain.exe nicht funktioniert. Der Proxyserver wird ebenfalls noch mit einem Virenscanner ausgestattet.

Es geht nur um die Auswertung der Zeit (von mir aus auch in einem Verhältnis).
Mitglied: wiesi200
wiesi200 26.08.2009 um 21:22:44 Uhr
Goto Top
Und genau das wird so nicht gehen jedenfalls wüsste ich nicht wie.

Wie gesagt der Proxy hat keine Ahnung ob man sich ne stunde nen Text durchsieht oder nach 5 sec wieder zu macht.

Und Brain.exe kann man unterstüzen in dem man zumindest Gesetzwiedrige Seiten sperrt
Mitglied: tikayevent
tikayevent 26.08.2009 um 21:36:25 Uhr
Goto Top
Gut, dass muss ich halt hinnehmen, dass es da etwas Ungenauigkeiten gibt.

Ich hab da ansich ja auch schon ne grobe Idee, wollte nur halt wissen, obs da schon irgendwas (fast-)fertiges gibt.
Mitglied: wiesi200
wiesi200 26.08.2009 um 21:47:03 Uhr
Goto Top
Ungenauigkeit und nicht Aussagekräftig sind zwei eigene Welten.
Mitglied: aqui
aqui 26.08.2009 um 21:51:27 Uhr
Goto Top
Aus Netzwerk Infrastruktur Sicht könnte man das mit einem separaten VLAN für die Vertriebler angehen und auf dem L3 Switch oder Internet Router mit PBR (Policy Based Routing) oder WCCP usw. ein Verteilen der privaten Daten auf die vom Unternehmen erlaubten machen solange sich die Anzahl der erlaubten Internet Ziele in Grenzen hält.
Damit liesse sich erstmal eine Verkehrstrennung errreichen, allerdings bleibt dann natürlich das Problem der zeitlichen Auswertung und des Popups "Achtung es wird privat" was man natürlich so über die Netzwerk Infrastruktur nicht lösen kann, das kann nur der Squid Proxy selber.
Ist die Frage ob sich letztlich der Aufwand lohnt wenn diese Trennung auch mit spezifischen ACLs im Proxy selber realisierbar ist....
Nur mal so als Vorschlag im Raum.. face-wink
Mitglied: tikayevent
tikayevent 26.08.2009 um 21:57:36 Uhr
Goto Top
Ich kann ja mal meine Gedanken veröffentlichen, die sich hier seit dem Krisengespräch heute Mittag gebildet haben.

Ich leite einfach sämtliche Anfragen an einen Redirector weiter, der prüft, ob die angeforderte Seite auf der Whitelist für geschäftliches ist. Wenn ja, wird ein Eintrag in einer Datenbank mit dem Benutzernamen angelegt. Wenn die Seite nicht auf der Liste steht, kommt ein anderer Eintrag in die Datenbank, aber erst, wenn man bestätigt hat, dass man die Seite wirklich aufrufen will. Die Datenbank speichert dann auch nen Timestamp, damit man nicht bei jeder Seite nen Aufruf bekommt, solange man von der gleichen IP und dem gleichen Benutzernamen rumsurft. Bei jeder aufgerufenen Seite wird der Timestamp erneuert.
Die Genauigkeit liegt dann einfach an dem Wert des Timeouts.

Nur die Umsetzung hab ich noch nicht ausgekotzt.

Aber scheinbar gibts ja keine Fertiglösung dafür.

PS: @wissi200: Genau wegen einer solchen Klein###erei stell ich nur sehr ungern irgendwelche Fragen hier, weil der größte Teil der Themen auseinandergerissen wird und im Endeffekt nix bei rumkommt
Mitglied: Iwan
Iwan 27.08.2009 um 08:00:05 Uhr
Goto Top
Kausalität - Ursache und Wirkung
was du hier versuchst oder vorhast, ist die Wirkung zu verändern, ohne die Ursache zu ermitteln

wenn ich das so richtig verstanden habe, dann hat also ein Vertriebler Mist gemacht und das Netz lahmgelegt
da frage ich mich, wie er das geschafft hat und da solltet ihr zunächst ersteinmal ansetzen
angefangen bei Adminrechten, AV-Programmen, Sicherheitsrichtlinien, GPOs, etc.

grundsätzlich sollte das private surfen kontrolliert, protokolliert und im Bedarfsfall eingeschränkt werden
die Leute sind schliesslich zum arbeiten eingestellt worden und nicht um sich privat zu vergnügen
darüber müssen die Leute natürlich informiert werden und hier sind die Chefs gefragt
auf Grund dieses Vorfalls sollte es ja möglich sein, ein passendes Rundschreiben zu verfassen
Inhalt: Protokollierung der aufgerufenen Seiten und private Nutzung nur noch in den Pausenzeiten oder so ähnlich

viel Glück
Mitglied: tikayevent
tikayevent 27.08.2009 um 08:38:28 Uhr
Goto Top
Der Befall kam nicht von einem unserer Rechner sondern wurde von außerhalb durch ein Notebook eingeschleppt. Der hat sich dann halt munter im Netzwerk ausgebreitet.

Die sind ja "leider" nicht angestellt die Vertriebler, sondern die sind mehr oder weniger selbstständig und bekommen von uns nur Infrastruktur und Verwaltung gestellt. Die können kommen und gehen wie und wann die wollen, Pause machen können die ebenfalls so Pi mal Daumen, solange wie die lustig sind.
Mitglied: Iwan
Iwan 27.08.2009 um 09:33:06 Uhr
Goto Top
nur mal als Beispiel:
bei uns dürfen Fremdrechner erst nach Überprüfung durch IT ans Netz
ist kein (aktueller) Virenscanner drauf -> und tschüss
sind sie am Netz, kommen sie in einen eigenen IP-Bereich
dort läuft jeglicher Verkehr zuerst über einen eigenen Proxy, der natürlich AV & FW hat
somit sind wir da relativ sicher und bisher *aufholzklopf* ist noch nix passiert
Mitglied: tikayevent
tikayevent 27.08.2009 um 09:58:51 Uhr
Goto Top
Ist hier nicht anders, hier läuft das ganze sogar automatisiert. Bei den betroffenen Notebooks sind keinerlei Mängel gemeldet worden.

Das Zeug war so aggressiv, erst der fünfte Virenscanner der drüber gelaufen ist hat die erkannt.

Eigener IP-Bereich ist hier auch normal.

Problem war, dass das son spammendes Zeug war. Zum Glück sind sämtliche Systeme wieder von der Blacklist runter.

Die entsprechenden Notebooks wurden beschlagnahmt und hart bereinigt.
Mitglied: 45877
45877 27.08.2009 um 11:22:48 Uhr
Goto Top
hallo,

das ganze welche Seite angesurft wird, wird in ne Datenbank geschrieben wenn auf Whitelist usw. wird ich mir sparen, und im Bedrafsfall einfach die Logs entsprechend Filtern, dürfte weit weniger aufwand sein.
Mitglied: jensen4
jensen4 31.08.2009 um 12:40:47 Uhr
Goto Top
Hallo,
habt ihr euch, abgesehen von den technischen Details, schon Gedanken bezüglich Privatsphäre/Rechtskonformität gemacht? Spätestens dort wirds ein einfacher Squid nicht mehr tun. Wir entwickeln und nutzen eine Software die neben der Trennung privater und dienstlicher Internetnutzung auch alle rechtlichen Aspekte erfüllt: http://www.webfox.de/