Sperren von Radio , Video usw. für User

Robert_77547f · 24. März 2009 um 14:21

Hallo Wissenden,

kann ich für meine fleissigen User über einen Router ( Typ nicht relavant ) sperren, damit die Kollegen und Kolleginnen nicht mehr Radio hören und/oder Video, Live Streams usw. sehen können im Internet.
Sind bestimmte Ports zu sperren oder Stichwörter/Url´s
Bin für jeden Tip dankbar

Robert

Lorgarn_bd1220 · 24. März 2009 um 14:51

kann ich für meine fleissigen User über einen Router ( Typ
nicht relavant ) sperren, damit die Kollegen und Kolleginnen
nicht mehr Radio hören und/oder Video, Live Streams usw. sehen
können im Internet.

Da man so einen Stream über jeden beliebigen Port empfangen kann, kannst Du eigentlich nur alle eingehenden Ports bis auf 80 (HTTP), 20/21(FTP), 22(ssh) und was Du sonst noch brauchst dicht machen. Ne Liste gibt es hier:
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_por…

Robert_77547f · 24. März 2009 um 14:57

Danke für deine Tips

Robert

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Reinhard_Kern_4bc529 · 24. März 2009 um 15:13

kann ich für meine fleissigen User über einen Router ( Typ
nicht relavant ) sperren, damit die Kollegen und Kolleginnen
nicht mehr Radio hören und/oder Video, Live Streams usw. sehen
können im Internet.

Hallo Robert,

das ist fast unmöglich - ich würde an einem Business-PC keine Lautsprecher betreiben. Den Bildschirm kann man zwar nicht abschalten, aber Videos ohne Ton sind nicht so attraktiv.

Natürlich hat das Vor- und auch Nachteile, aber ich kann darauf verzichten, dass sich jedes „moderne“ Programm mit einer Fanfare meldet und mich anschreit „Hallo, hier ist ihr SuperDuper-Schreibprogramm von der Firma XYZ, der besten Softwarefirma die es gibt“ usw.

Gruss Reinhard

deconstruct · 24. März 2009 um 15:48

Da man so einen Stream über jeden beliebigen Port empfangen
kann, kannst Du eigentlich nur alle eingehenden Ports bis auf
80 (HTTP), 20/21(FTP), 22(ssh) und was Du sonst noch brauchst
dicht machen. Ne Liste gibt es hier:
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_por…

Ähm, das ist Unsinn. Die Port-Nummern des eingehenden Ports bei dir ist nicht 80. Das ist die ausgehende Port-Nummer z.B. des Webservers.

Wenn dein Browser eine Webseite abrufst, dann benutzt er dazu irgendeinen Port, z.B. 16233.

Wenn dann willst du den Ziel-Port von ausgehenden Verbindungen beschränken. Blöd ist halt nur, dass viele Streaming-Protokolle zur Not einfach über HTTP streamen, wenn sonst nichts funktioniert. Und HTTP wirst du wohl nicht sperren wollen.

deconstruct · 24. März 2009 um 15:52

kann ich für meine fleissigen User über einen Router ( Typ
nicht relavant ) sperren,

Wieso sollte der Typ des Routers nicht relevant sein? Der Typ des Routers ist das relevanteste bei der ganzen Angelegenheit…

damit die Kollegen und Kolleginnen
nicht mehr Radio hören und/oder Video, Live Streams usw. sehen
können im Internet. Sind bestimmte Ports zu sperren oder
Stichwörter/Url´s

Bestimmte Ports lassen sich nicht sperren, weil viele Streaming-Protokolle auch über HTTP laufen können. Auch Stichwörter usw bringen nicht viel. Du bräuchtest für sowas eine Application Level Firewall, die die Streaming-Protokolle unabhängig vom Port erkennen kann. Sowas ist aber in keinem „Standard-Router“ eingebaut und kostet einiges.

Einige normalen Router erlauben aber das Sperren bestimmter Webseiten, also wenn die Mitarbeiter bevorzugt Radio XY hören dann kannst du dort einfach die Webseite von Radio XY sperren. Aber dazu müsste man wieder wissen, was du für einen Router hast oder welche Netzwerk-Komponenten (Dedizierte Firewall etc) sonst noch bei euch rumstehen.

Hermann_Schaefer · 24. März 2009 um 15:53

kann ich für meine fleissigen User über einen Router ( Typ
nicht relavant ) sperren

Nicht wirklich bzw. nicht so einfach. Viele Webseiten versuchen heute Limitierungen durch NAT-Router zu umgehen - mit dem Ergebnis, daß sich die Daten inzwischen nur noch schwer mit einfachen Mitteln abfangen lassen, da nicht selten Standardports verwendet werden. Dinger wie z.B. Skype tunneln locker durch einfache Firewalls. Richtig dichter bekommt man Gateways nur, wenn man auf Level 7 filtert - und damit auch gleich Sachen wie P2P und die diversen Messenger abfängt. Das ganze ist mit einem 08/15-Router aber nicht zu machen.
In kleineren Umgebungen muss man da eher zu der bewährten Methode greifen: mit den Anwendern reden und ggf. Betriebsvereinbahrungen erlassen. Wenn das - warum auch immer - so nicht möglich oder erwünscht ist, hilft nur ein Gateway, welches alles nach außen sperrt und Kontakt nur über einen Zwangsproxy zuläßt, welcher wiederrum mit Filterlisten arbeitet und ggf. noch Layer-7-Filter dabei hat. Die Konfiguration von so einem Teil ist aber nicht gerade trivial, gute Dienste leistet da z.B. IPCop mit Squidguard, l7-filter, blockouttraffic etc. pp.
Generell läßt sich deine Frage also nicht einfach beantworten, möglicherweise bekommt man einzelne Dinge auch einfacher in den Griff. Dazu müßte man aber die genaue Situation vor Ort kennen.

Lorgarn_bd1220 · 24. März 2009 um 16:05

Ähm, das ist Unsinn. Die Port-Nummern des eingehenden Ports
bei dir ist nicht 80. Das ist die ausgehende Port-Nummer z.B.
des Webservers.

Stimmt Fehler meinerseits. Verzeihung.

Blöd ist halt nur, dass viele
Streaming-Protokolle zur Not einfach über HTTP streamen, wenn
sonst nichts funktioniert. Und HTTP wirst du wohl nicht
sperren wollen.

Sicher, aber die ‚standardt Webradios‘ filtert man schonmal aus, wenn man mal aufs geradewohl alles von 400 bis 10000 eingehend sperrt. Daß man das für alle Streamingmedien, insbesondere welche, bei denen man Einfluß darauf hat, auf welchem Port sie betreiben werden, nicht so einfach handhaben kann dürfte klar sein. Ob da überhaupt der Aufwand den Zweck lohnt wage ich zu bezweifeln.

deconstruct · 24. März 2009 um 16:25

Sicher, aber die ‚standardt Webradios‘ filtert man schonmal
aus, wenn man mal aufs geradewohl alles von 400 bis 10000
eingehend sperrt.

Eben nicht!
Nochmal: Dein Eingangsport ist jedes mal unterschiedlich. Ein Sperren der Ports von 400 bis 10000 im Router als eingehende Ports führt dazu, dass gar nichts mehr geht, weil auch dein Webbrowser Ports aus diesem Bereich benutzen wird.

Es macht nur Sinn ausgehende Ports zu sperren, wie z.B. Port 21 wenn du nicht willst, dass jemand auf FTP-Server zugreift.

Das geht aber bei Streaming-Inhalten nicht, da die oft über Port 80 laufen und den willst du nicht sperren, weil dann auch keine Webseite mehr abrufbar ist.

Daß man das für alle Streamingmedien,
insbesondere welche, bei denen man Einfluß darauf hat, auf
welchem Port sie betreiben werden, nicht so einfach handhaben
kann dürfte klar sein.

Der Witz ist ja, dass Streaming über Port 80 erfolgen kann, als TCP-Verbindung und z.T. sogar direkt mittels HTTP-Protokoll. Das hat man ja gerade deswegen so gemacht, damit man einfach durch Firewall-Strukturen durch kommt.
Deshalb nützt es überhaupt nichts das auf Vermittlungsschicht zu filtern, d.h. irgendwelche Ports zu sperren. Eine Filterung kann nur auf Applikationsebene erfolgen, also durch Analyse des verwendeten Applikations-Protokolls durch die Firewall. Für sowas braucht man in der Regel einen dedizierten Firewall-Rechner. Mit einem Standard-Router geht sowas nicht.

mabuse · 24. März 2009 um 16:26

Hallo Robert,

kann ich für meine fleissigen User über einen Router ( Typ
nicht relavant ) sperren,

Klares Njain.
Über den Router wohl eher selten.

Aber wenn ihr einen richtigen Server habt, dann kann man etwas tricksen . . .

Auf dem (Windows)-Server den DNS-Server-Dienst starten und auf automatischen Start stellen.
Dann die „richtigen“ DNS-Server (im Zweifelsfalle die aus dem Router, ansonsten Liste ergoogeln, kleiner Tipp: die DNS-Server von Arcor kann jeder benutzen und die sind um einiges schneller als die Schnecken-Server der Telekom) in den TCP/IP-Eigenschaften der Netzwerkkarte des Servers eintragen.
Anschließend die TCP/IP-Adresse des Servers als DNS-Server in den entsprechenden Feldern des Routers (sofern der auch als DHCP-Server fungiert, wenn das auch der Server macht, dann muss man gar nichts umstellen - sonst halt fest in den TCP/IP-Eigenschaften der Netzwerkkarten jedes einzelnen Rechners) eintragen.

Ab dann fungiert der Server auch als DNS-Server für das ganze Haus.
Bis hierhin funktioniert dann alles ganz normal.

Netterweise funktioniert dann jetzt aber die hosts-Datei auf dem Server auch für’s ganze Haus. Und wenn man da You-Tube und die gängigen Internet-Radios auf localhost umbiegt ist Ende mit Video und Radio.
Dannach isses natürlich erst mal ein Wettrennen zwischen den Usern (die immer wieder neue Radiosender finden werden) und dem Admin (der halt immer am Ball bleiben und fleissig sperren muss). Aber die Erfahrung lehrt, das die User irgendwann entnervt aufgeben ;D

lg, mabuse

Peter_TOO · 24. März 2009 um 16:43

Hallo mabuse,

Dannach isses natürlich erst mal ein Wettrennen zwischen den
Usern (die immer wieder neue Radiosender finden werden) und
dem Admin (der halt immer am Ball bleiben und fleissig sperren
muss).

Der nächste Schritt ist dann die Verbindung über einen Proxy, bzw. Anonymisierer, aufzubauen

MfG Peter(TOO)

Lorgarn_bd1220 · 25. März 2009 um 11:47

Nochmal: Dein Eingangsport ist jedes mal unterschiedlich. Ein
Sperren der Ports von 400 bis 10000 im Router als eingehende
Ports führt dazu, dass gar nichts mehr geht, weil auch dein
Webbrowser Ports aus diesem Bereich benutzen wird.

Es macht nur Sinn ausgehende Ports zu sperren, wie z.B.
Port 21 wenn du nicht willst, dass jemand auf FTP-Server
zugreift.

Arrrrrrggh…Irgendwie passe ich offensichtlich nicht auf. Du hast selbstverständlich völlig recht.

Das geht aber bei Streaming-Inhalten nicht, da die oft über
Port 80 laufen und den willst du nicht sperren, weil dann auch
keine Webseite mehr abrufbar ist.

Auch das ist richtig.

Der Witz ist ja, dass Streaming über Port 80 erfolgen kann,
als TCP-Verbindung und z.T. sogar direkt mittels
HTTP-Protokoll. Das hat man ja gerade deswegen so gemacht,
damit man einfach durch Firewall-Strukturen durch kommt.
Deshalb nützt es überhaupt nichts das auf Vermittlungsschicht
zu filtern, d.h. irgendwelche Ports zu sperren. Eine Filterung
kann nur auf Applikationsebene erfolgen, also durch Analyse
des verwendeten Applikations-Protokolls durch die Firewall.
Für sowas braucht man in der Regel einen dedizierten
Firewall-Rechner. Mit einem Standard-Router geht sowas nicht.

Natürlich. Ich sehe auch nicht im geringsten irgendwo einen Nutzen. Aber ich habe aufgehört, die Ideen der Leute zu hinterfragen. Insbesodere, wenn im Eingangsbeitrag der Satz fällt, ‚der Router tut nichts zur Sache‘ ist da eine kompetentere Antwort leider nicht möglich.

mabuse · 25. März 2009 um 12:59

Hi Peter,

Der nächste Schritt ist dann die Verbindung über einen Proxy,
bzw. Anonymisierer, aufzubauen

Ja, natürlich.
Wie gesagt, der Admin muss immer am Ball bleiben und fleissig sperren.
Und die Durchschnitts-User sind mit Proxys etc. schon überfordert (wenigstens meine . . . kann man mit einem Anonymizer auch einen Radiostream abgreifen? Muss ich beizeiten mal austesten.

lg, mabuse

Robert_77547f · 26. März 2009 um 08:21

Nochmals vielen Dank an alle für die hilfreichen Tips.
Den Router habe ich nicht angegeben weil dort die Möglichkeiten der Sperrung ähnlich sind und für solche Zwecke eh nicht ausreichen. Kann sein das es bei Cisco anders ist, aber die sind mir zu teuer.

Mir ist eingefallen das ich bei Schulungen schon mal mit Ken3 von AVM gearbeitet habe und dort munter protokollieren konnte wo die Teilnehmer so rumsurfen und diese Seiten relativ schnell in ein Textdatei von Ken kopieren konnte. Von da an war die Seite nicht mehr zu erreichen. Ist sicherlich am Anfang etwas Fleissarbeit. Aber irgendwann sollte das meisste dicht sein.

Wie sieht es eigentlich rechtlich aus. Muss ich den Usern mitteilen das das Surfen protokolliert wird ?. Müssen Sie dafür eine Genehmigung erteilen ?

Jetzt gibt es die Version Ken4. Hat jemand schon einmal mit dieser Version gearbeitet und kann mir von Erfhrungen berichten ?
Leider gibt es davon keine Testversion um die mal auszuprobieren

Robert