Im UCG-Ultra Internet sperren bis auf Microsoftprodukte

    Hallo zusammen.
    Ich muss in einem kleinen Büronetzwerk einige Rechner vom Internet sperren, da diese missbräuchlich (Videostreaming, etc.) genutzt wurden.

    Gleichzeitig müssen grob gesagt die Mircosoftdienste (Teams, Outlook, Onedrive, Update, etc.) weiter funktionieren.

    Die Sperrung war ganz einfach eingerichtet (Traffic und Firewall-Regeln, Blockieren -> Quelle besagte Rechner -> Ziel Internet), jedoch hapert es nun an den Freigaben.
    Ich habe es per Apps, AppGruppen, URLs, etc. versucht.
    Nicht der kleinste Erfolg überhaupt. Es bleibt alles wie zugenagelt.

    Was mache ich falsch, bzw. ist mein Ansatz generell falsch?

    Vielen Dank.

    Das wird ein nahezu unmögliches Unterfangen... Ich würde es genau umgedreht machen und halt die Streaming Seiten sperren.

    Mein Netzwerk

    Internet:

    Glasfaser TNG 1 Gigabit Synchron

    Speedtest

    Unifi Komponenten:

    UCG Fiber

    USW-Lite-8-PoE

    3x USW-Flex-Mini

    UAP-AC-Lite

    2x U6-Lite

    UVC-G3-FLEX

    2x UVC-G3-Instant

    1x UVC-G4-Instant

    UVC-G5-Bullet

    Sonstige Hardware:

    QNAP TS-453a als Backup

    Thinkstation mit Unraid, VM 3CX, Pihole + Unbound, Home Assistant usw.

    PC mit Ryzen 3700x, 16GB 3200 Ram, Ati Radeon 5700X, 2x M.2 SSD und 1x SATA SSD

    Ich habe es befürchtet, aber das ist ja auch ein Fass ohne Boden....

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Andere Ideen, z.B. das ich einen anderen DNS Filter davor schalte?
    Hätte noch eine Synology auf der ich Docker Container laufen lassen könnte.

    Die erste Idee wäre den Mitarbeitern auf die Finger zu klopfen. Ansonsten kann man natürlich mit einem DNS Filter ne Menge wegblocken.

    Mein Netzwerk

    Internet:

    Glasfaser TNG 1 Gigabit Synchron

    Speedtest

    Unifi Komponenten:

    UCG Fiber

    USW-Lite-8-PoE

    3x USW-Flex-Mini

    UAP-AC-Lite

    2x U6-Lite

    UVC-G3-FLEX

    2x UVC-G3-Instant

    1x UVC-G4-Instant

    UVC-G5-Bullet

    Sonstige Hardware:

    QNAP TS-453a als Backup

    Thinkstation mit Unraid, VM 3CX, Pihole + Unbound, Home Assistant usw.

    PC mit Ryzen 3700x, 16GB 3200 Ram, Ati Radeon 5700X, 2x M.2 SSD und 1x SATA SSD

    Hallo.

    Ja, das hat der Ultra auch. Glaube es ist eh die gleiche Software drauf.
    MIt den Einstellungen habe ich schon experimentiert, jedoch als Freigabe nachdem ich erst einmal alles gesperrt habe.
    Hatte gehofft es damit umsetzen zu können aber da wurde aber nichts mehr frei gegeben. Alles blieb dicht.
    Daher vermutete ich evtl. einen grundsätzlichen Fehler in der Form wie ich das Internet gesperrt hatte.
    Stichwort Reihenfolge der Firewall Regeln. Aber mit den neuen Trafficrules gibt es ja keine Reihenfolge mehr die beachten kann/muss.

    Ich weiß nicht wie die Reihenfolge der neue Traffic Rules eine Rolle spielt. Ich habe nur eine und die steht bei Internet ganz oben, wenn man auf die erweiterte Ansicht geht.

    Ich würde erstmal alles löschen, dann die erlauben regeln erstellen und zum Schluss die deny all.

    Vielleicht klappt es.

    Oder eben alles löschen und dann bei den App Gruppen Streaming Dienste, Peer To Peer, soziale Netzwerke, File Sharing etc verbieten.


    Generell wenn die Mitarbeiter zu viel streamen während der Arbeitszeit hat man ein anderes Problem...

    https://learn.microsoft.com/de-de/microsof…=o365-worldwide

    Daraus Resultierend dieses JSON da wird drinnen dann den Diensten unterschieden.

    https://endpoints.office.com/endpoints/worl…86-b919946339a7

    Danach dann aber bitte unbedingt mit der

    https://www.telefonseelsorge.de

    sprechen... du wirst entweder suizidale Gedanken haben oder einen ungesunden Hass auf Netzwerke

    oder deinem Chef...

    Ich werde mir einen alten Testrechner aufsetzen und mal den anderen Weg gehen und versuchen alles weitestgehend per App und Appgruppen zu sperren.
    Mal sehen, wie weit ich damit komme. Ansonsten muss ich wieder an die GPOs der Rechner dran.

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Quote from DoPe

    Tja und so wie ich Microsoft kenne, werden ständig neue Subdomains eingeführt oder entfernt. Bei denen ist nichts beständiger als Veränderungen.

    Ja die Liste wird ständig Aktualisiert. Das ist kein Fire and Forget. Das ist bei anderen aber auch das Selbe..

    AWS z.B haben da ihre Richtlinien aber auch besser zu Dokumentiert... (x Wochen Vorlauf bevor ne neue IP für einen Service

    auch aktiv Genutzt wird)

    Das klingt fast so als würdest du ein Gastnetzwerk brauchen mit nur Surfen und Mailen Erlaubnis.

    Aber selbst dann ist noch vieles offen was dann noch angerichtet werden kann.

    Wirklich dicht bekommst du das nie.

    Du könntest evtl noch mit einem Pihole arbeiten und dort eine Blacklist betreiben für Dienste oder Webseiten.

    Ich glaube die wäre noch ein wenig besser als die Möglichkeeiten von Unifi.

    Was du aber auch tun kannst und ich dich richtig verstehe, ist das du alles zu, haben willst ausser Microsoft?

    Meinst du damit die Microsoft Updates?

    Du könntest dann zum Beispiel das Netzwerk für Internet sperren.

    Dafür müsstest du einen Server im Netzwerk haben, einen WSUS. Ist natürlich dann mit Kosten verbunden für Hardware und glaube evtl eine Lizenz oder so, bin mir aber nicht sicher.

    Dieser Rechner kann ins Internet und Updates holen und für die Windows Rechner, dann zur gegebenen Zeit austeilen.

    Falls du aber Webseiten brauchst dann must du wieder das Netzwerk für Internet offen haben, am besten Port für HTTP und HTTPS und Mailen. Den Rest zu machen, was ein wenig Aufwand bedeutet.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.

    Edited once, last by Naichbindas (December 3, 2024 at 2:19 PM).

    Es ist halt so, dass wir unsere ganze Projekte über MS organisieren.
    Über Gruppen und Teams werden die einzelnen Projekte gegliedert, Termine eingetragen, Dateien verwaltet, etc.
    Dazu benutzen wir halt die ganze Bandbreite von Outlook über Onenote, Onedrive/Sharepoint, Teams, wie sie alle heißen.

    Zum eigentlichen Thema zurück:
    Ich bin jetzt mal den anderen Weg gegangen und habe über Appgruppen die Sache weitestgehend gesperrt.
    Das scheint auf dem Testrechner ganz gute Ergebnisse zu liefern.

    Ich habe nämlich vorher auch folgendes probiert:
    Alles gesperrt und nur YT freigegeben, damit ich eine gesicherte Refernzseite habe.
    1. Wenn ich vor der Sperre auf YT war und dann zu mache und nur YT öffne geht YT.
    2. Wenn ich später neu auf YT zugreifen will ist YT gesperrt.

    Scheint fast so, als ob er bei Internet block all vor allem auch den DNS blockiert.
    Wenn man erst einmal drauf ist, dann funktioniert die interne YT Navigation.

    Quote from ZAG

    Scheint fast so, als ob er bei Internet block all vor allem auch den DNS blockiert.
    Wenn man erst einmal drauf ist, dann funktioniert die interne YT Navigation.

    Nunja. Wenn DNS gesperrt wird, dann wäre das normal, solange der Client bei der DNS Abfrage irgendwo aus dem DNS Cache bedient wird oder aber im eigenen Cache fündig wird. Auch bei einer Firewallregel, welche auf New also neue Verbindung filtert, greift diese nicht, wenn der Client eine bestehende Session hat. Gerne gemachter Fehler, man lässt einen Dauerping laufen, baut die Firewallregel ein und erwartet nun das kein Ping mehr durchgeht ... Pustekuchen ... und man sucht dann ggf. einen Fehler der gar nicht da ist.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login