ISA Server FAQ Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Kapitel höher

 

Case Study: Burstek WebFilter

Von Frank Weber / ReWe AG Köln

Beschreibung ISA Server mit WWW Seiten Filter + Firewall.

Hier finden Sie eine Beschreibung und einen Erfahrungsbericht (14 Monate) von unserm ISA Server in Verbindung mit einem WWW Seiten Filter.

Von unserer Firma wurden folgende Anforderungen an einen Internetzugang für 200 User gestellt.

  1. Schneller Internetzugang mit guter Cache Leistung.
  2. Die Freigabe der Internetseiten sollte auf  User, Gruppen, sowie Internetseiten begrenzt werden können.
  3. Maximale Verfügbarkeit und Sicherheit.

 

Warum sollte es möglich sein, die User oder Gruppen in Ihrem Surfverhalten zu beschränken?

Um das Internet für normale Benutzer produktiv nutzen zu können, muss das WWW beschränkt werden können, denn sonst werden zum großen Teil nur Seiten aufgerufen, die keinen produktiven Nutzen haben. Ich persönlich habe das zuerst für Unsinn gehalten, Seiten zu begrenzen, mittlerweile bin ich anderer Meinung. Denn durch Begrenzung der Internetseiten können Ihr IT- System und User von gefährlichen Internetseiten bewahrt werden.
 
Hier mal ein kleiner Auszug der Übersicht von WWW Seiten, die unser User versuchen haben zu besuchen.

Wenn die Benutzer alle diese Seiten besucht hätten, währen erst mal unzählige Dialer installiert worden (was ohne Adminrecht nicht funktionieren sollte, geht aber teilweise doch) und sonstige Scripts, abgesehen von den ganzen Crack- und Hackerseiten, die ein erhebliches Sicherheitsrisiko sind. Durch ein WWW Filter können solche Seiten nahezu ausgeschlossen werden.

 

Unsere Technischen Voraussetzungen waren:

Windows NT 4.0 Domäne, mit 750 Usern, 200 User für einen Internetzugang vorgesehen. Normale Workstation (als ISA Proxy) mit 80 GB Platte, 2 GHz P4, 1GB RAM. Heute würde ich einen richten Server empfehlen (Pizzaflunder von DELL oder so) mit Dual CPU und 2GB RAM. Zwei Standleitungen für das Internet je 2 MBit/s je Leitung, vor den je ein Squid Proxy Server mit Firewall Richtung Internet vermittelt. Das heißt, dass unser ISA Server immer zwischen der besten Leitung Richtung Internet wählen kann. Das hat den Vorteil, ist eine Verbindung Richtung Internet dicht, schaltet der Proxy auf die andere Leitung um.

Schalten der Routen zu den Upstream Proxy Servern, hier in der Ereignisanzeige zu sehen .

 

Was haben wir installiert:

  • Win2K Server als Mitgliedsserver in ein NT 4.0 Domäne
  • ISA Server im Cache Modus
  • WWW Filter von Burstek
  • Kerio Firewall

Ich möchte hier keine Installationsanleitung für einen ISA Server abgeben, da gibt es hier auf der www.msisafaq.de genügend Informationen, ich möchte mich mehr auf den Schwerpunkt der Filterlösung beschränken.

Hier jedoch noch ein paar allgemeine Tipps zum ISA Server selber:

Wenn Ihr wie ich den Server nur im Cache Modus betreibt, dann braucht Ihr nur eine Netzwerkkarte. Es sollte sich ja herumgesprochen haben, das der ISA Server die Internetseiten auf der Festplatte und im RAM cachen kann. Im RAM ist natürlich besser als auf der Platte, weil erheblich schneller. Also, wenn Ihr den Festplattencache auf einer langsamen Festplatte (Normaler PC siehe oben) anlegt, dann macht den Cache auf der Festplatte nicht größer als max. 200 MB sonst wird das Internet (Cache Leistung auf Platte) langsam, besser mehr RAM, 1GB min. Oder halt einen richtigen Serverhardware mit RAID 15000U/min Festplatten verwenden, dann kann man auch mit einer größeren Plattencache arbeiten.

Auf unserm ISA Server sind immer so um die 500 MB Internetseiten im RAM Cache gehalten, das macht mit Festplattencache 700 MB Internetcache. Es gab Zeiten, da haben die User bei T-Online 1 MB Web Serverspeicher für ihre WWW Page erhalten. Also sind 700 MB Internetcache, für 200 Internetuser, auch nicht so schlecht.

 

Der WEB Seiten Filter der Fa. www.burstek.com

Was kann der Filter für Ihr Unternehmen leisten?

Der Filter soll bis Ende 2003 auf Deutsch erscheinen. Sie können nach Filtergruppen (von Domäne), das Internet. ganz exakt Freischalten oder Beschränken. Anlegen von eigenen Filtergruppen, um explizit einzelne Seiten, User, Gruppen bezogen Freizuschalten oder zu Sperren.

Nach der Installation des Burstek WEB Filters, werden zuerst Ihre Domänendaten synchronisiert. Das funktioniert mit einer NT 4.0 Domänen und natürlich mit dem ADS.

Hier sind die synchronisierten Gruppen aus unser Domäne zu sehen.

Verwaltung über die MMC ist auch an Ihrem Admin PC möglich.

Hier können Sie erst mal entscheiden, wie die Filterregen angewandt werden sollen. Bei uns ist es so, das keine Gruppe oder User den Internetzugang frei geschaltet hat. Wir müssen explizit, über eine Filterregel, das Internet gruppenbezogen frei schalten. Besser so!

Beispiel einer Filterregel für die Usergruppe Programmierer.

Hier sehen sie die User die Mitglieder der Gruppe Programmierers sind:

User, die Mitglieder der Gruppe Programmierer sind, dürfen die folgenden Internetseiten besuchen:

Ich arbeite dabei immer mit solchen Platzhaltern z.b. (*heise*), das bedeutet, solange z.b. heise in der angeforderten URL steht, ist die Seite freigeschaltet, wenn nicht, wird der Internetuser auf eine von Ihnen definierte Internetseite (Verboten WEB Seite) umgeleitet:

 

 

Beispiel einer Filterregel (Kategorien) für die Usergruppe Internetcafe:

User der Gruppe dürfen alle Internetseiten (*.*) besuchen.

Jedoch keine Seiten, die gegen folgende Filterkategorien verstoßen.

Die Filter für die WWW Adressen für die Kategorien werden täglich von Burstek aktualisiert. Bei Kategorie Sex sind derzeit mehr als 16322 Internetseiten hinterlegt. Das geht so weit, dass Sie noch nicht mal nach einer verbotenen Kategorien im Internet suchen können.

Folgende Kategorien stehen derzeit zu Verfügung. Sie könne natürlich auch, in den Kategorien eigene Internetadressen einfügen oder ausklammern. Musste ich sehr selten machen.

Ich persönlich kann die Filterlösung auf einem ISA Server nur loben, funktioniert superschnell, auch bei einer komplexen Internetkonfiguration.

Als besonders Funktion können Sie, User vom Internetvolumen her beschränken werden z.b. max 20 MB Datentransfer am Tag. Das kann manchmal wichtig sein.

Mit dieser Lösung nutzt unsere Firma das Internet produktiver und sicherer denn je!

Auf dem ISA Proxy läuft eine Kerio (Tiny) Firewall, die so konfiguriert ist, dass nur Ports und IP-Adressen in Richtung der beiden Upstream Proxyserver, Domänen Controllern und Internetuser frei geschaltet (Filterregeln auf Firewall) sind.

Ich hoffe, ich konnte Euch helfen, auf der Suche nach der richtigen Filterlösung.

Fragen und Hilfe rund um die Filterlösung unter frank.weber@rewe.de

Bis dann

Frank

J

Stand: Friday, 28. August 2009.

Home | ISA 2000 | ISA 2004 | ISA 2006 | TMG | Verschiedenes | Tools | Downloads | Links | Das Buch! | Bücher | User Group | Events | Blog | About | Sitemap | Suche

Fragen oder Probleme in Zusammenhang mit dieser Website richten Sie bitte an den Webmaster. Bitte inhaltliche oder technische Fragen ausschließlich in der deutschen ISA Server Newsgroup stellen.
Verbesserungsvorschläge, Anregungen oder Fremdartikel sind jederzeit willkommen! Copyright 2001-2009. Alle Rechte vorbehalten. msisafaq.de steht in keiner Beziehung zur Microsoft Corp.
Stand: Wednesday, 04. August 2010 / Dieter Rauscher