Discussion:
Schaedlings- und Contentfilter
(zu alt für eine Antwort)
Thomas Dreher
2010-08-30 11:12:35 UTC
Permalink
Hallo zusammen,

ich suche einen Content/Schädlingsfilter für ein Netzwerk mit ca. 100
Usern, alles Windows-Kisten. Ziel ist, den Traffic zu reduzieren. Den
fragwürdigen Schädlingsschutz betrachte ich nur als Beiwerk, da die
Kisten, die dort stehen ohnehin einen lokalen Virenschutz haben, sich
aber nicht unter meiner Regie befinden. In Frage käme entweder eine
proprietäre Lösung, oder bevorzugt ein Stück Software auf einer
unixoiden Büchse. Hat jemand mit einer bestimmten Lösung gute Erfahrungen?


Gruß

Thomas
Philipp Schneider
2010-08-30 16:16:26 UTC
Permalink
Post by Thomas Dreher
ich suche einen Content/Schädlingsfilter für ein Netzwerk mit ca. 100
Usern, alles Windows-Kisten. Ziel ist, den Traffic zu reduzieren. Den
fragwürdigen Schädlingsschutz betrachte ich nur als Beiwerk, da die
Kisten, die dort stehen ohnehin einen lokalen Virenschutz haben, sich
aber nicht unter meiner Regie befinden. In Frage käme entweder eine
proprietäre Lösung, oder bevorzugt ein Stück Software auf einer
unixoiden Büchse. Hat jemand mit einer bestimmten Lösung gute Erfahrungen?
Wenn es etwas aus dem Opensource Bereich sein soll, könntest du dir mal
Squid in Verbindung mit HAVP anschauen:

http://www.server-side.de/features.htm
http://sourceforge.net/projects/havp/


Die Windowsrechner würde ich dann auch nur noch per Proxy ins Internet
lassen.
Thomas Dreher
2010-08-31 12:44:49 UTC
Permalink
Post by Philipp Schneider
Wenn es etwas aus dem Opensource Bereich sein soll, könntest du dir mal
http://www.server-side.de/features.htm
http://sourceforge.net/projects/havp/
Muß nicht, aber darf gerne. Ich werde mir das mal ansehen, danke.


Gruß

Thomas
Heiko Schlenker
2010-08-31 11:32:21 UTC
Permalink
Post by Thomas Dreher
ich suche einen Content/Schädlingsfilter für ein Netzwerk mit ca. 100
Usern, alles Windows-Kisten.
Auf welcher OSI-Schicht soll der Filter denn arbeiten? Je tiefer,
desto "anspruchsvoller" der Job des Filters.

Gruß, Heiko
Heiko Schlenker
2010-08-31 11:33:12 UTC
Permalink
Post by Thomas Dreher
ich suche einen Content/Schädlingsfilter für ein Netzwerk mit ca. 100
Usern, alles Windows-Kisten.
Auf welcher OSI-Schicht soll der Filter denn arbeiten? Je tiefer,
desto "anspruchsvoller" der Job des Filters. Sollen vielleicht
nur bestimmte Dienste überwacht werden?

Gruß, Heiko
Thomas Dreher
2010-08-31 12:43:36 UTC
Permalink
Post by Heiko Schlenker
Post by Thomas Dreher
ich suche einen Content/Schädlingsfilter für ein Netzwerk mit ca. 100
Usern, alles Windows-Kisten.
Auf welcher OSI-Schicht soll der Filter denn arbeiten? Je tiefer,
desto "anspruchsvoller" der Job des Filters. Sollen vielleicht
nur bestimmte Dienste überwacht werden?
Es geht ausschließlich um http. Hätte ich noch dazuschreiben sollen,
sorry. Priorität hat auch der Contentfilter, nicht der Virenscanner. Ich
vermute nur, daß wenn die Pakete schon mal komplett durch eine wie auch
immer geartete Engine laufen, spielt es jetzt nicht mehr die riesige
Rolle, ob man sie auch gegen eine Virendefinitionsdatei checkt. Ziel
ist, Traffic sowohl auf dem Internet-Uplink, sowie auf den
Einzelverbindungen zu den Unterstationen zu reduzieren. Da läuft sehr
viel und ich will /nicht/ wissen, was das ist, sondern es filtern ;-)


Gruß

Thomas
Helmut Hullen
2010-08-31 13:04:00 UTC
Permalink
Hallo, Thomas,
Post by Thomas Dreher
Es geht ausschließlich um http. Hätte ich noch dazuschreiben sollen,
sorry. Priorität hat auch der Contentfilter, nicht der Virenscanner.
Ich vermute nur, daß wenn die Pakete schon mal komplett durch eine
wie auch immer geartete Engine laufen, spielt es jetzt nicht mehr die
riesige Rolle, ob man sie auch gegen eine Virendefinitionsdatei
checkt. Ziel ist, Traffic sowohl auf dem Internet-Uplink, sowie auf
den Einzelverbindungen zu den Unterstationen zu reduzieren. Da läuft
sehr viel und ich will /nicht/ wissen, was das ist, sondern es
filtern ;-)
Nach welchen Gesichtspunkten/Kriterien soll gefiltert werden?

Wenn Du nicht wissen willst, was dort läuft: worauf willst Du dann
filtern?

Solange nur URLs etc. gefiltert werden sollen, mag schon "squid" (in
Verbindung mit "squidGuard") reichen. Sobald "Content" gefiltert werden
soll: das frisst Leistung und erfordert (wahrscheinlich) viel Zuwendung
durch den Systembetreuer. Für Schulen (wo auch Jugendschutz etc. zu
beachten sind) empfehle ich dafür die Auslagerung der Arbeit und der
Verantwortung an einen externen Dienstleister.

Viele Gruesse!
Helmut
Thomas Dreher
2010-08-31 13:41:30 UTC
Permalink
Post by Helmut Hullen
Hallo, Thomas,
Post by Thomas Dreher
Es geht ausschließlich um http. Hätte ich noch dazuschreiben sollen,
sorry. Priorität hat auch der Contentfilter, nicht der Virenscanner.
Ich vermute nur, daß wenn die Pakete schon mal komplett durch eine
wie auch immer geartete Engine laufen, spielt es jetzt nicht mehr die
riesige Rolle, ob man sie auch gegen eine Virendefinitionsdatei
checkt. Ziel ist, Traffic sowohl auf dem Internet-Uplink, sowie auf
den Einzelverbindungen zu den Unterstationen zu reduzieren. Da läuft
sehr viel und ich will /nicht/ wissen, was das ist, sondern es
filtern ;-)
Nach welchen Gesichtspunkten/Kriterien soll gefiltert werden?
Ich habe mir da eine abonnierbare Liste vorgestellt. Ich will den
Schrott nicht pflegen müssen.
Post by Helmut Hullen
Wenn Du nicht wissen willst, was dort läuft: worauf willst Du dann
filtern?
Auf die Dinge, die Traffic verursachen. Auf den betreffenden Kisten
müssen keine Filme laufen, große Downloads sollten auch nicht vorkommen.
Updates und andere Dinge aus dem Betriebsnetz sind ne andere Sache, die
kommen aus nem anderen Segment.
Post by Helmut Hullen
Solange nur URLs etc. gefiltert werden sollen, mag schon "squid" (in
Verbindung mit "squidGuard") reichen.
Wie gesagt. Ich will keine Black-/Whitelist pflegen müssen.
Post by Helmut Hullen
Sobald "Content" gefiltert werden
soll: das frisst Leistung und erfordert (wahrscheinlich) viel Zuwendung
durch den Systembetreuer. Für Schulen (wo auch Jugendschutz etc. zu
beachten sind) empfehle ich dafür die Auslagerung der Arbeit und der
Verantwortung an einen externen Dienstleister.
Ich hätte nach Möglichkeit gerne den Filter und dessen OS unter meinen
Fittichen, die Liste aber von einem Dienstleister gepflegt. Ist sowas drin?


Gruß

Thomas
Helmut Hullen
2010-08-31 14:31:00 UTC
Permalink
Hallo, Thomas,
Post by Thomas Dreher
Post by Helmut Hullen
Nach welchen Gesichtspunkten/Kriterien soll gefiltert werden?
Ich habe mir da eine abonnierbare Liste vorgestellt. Ich will den
Schrott nicht pflegen müssen.
[...]
Post by Thomas Dreher
Post by Helmut Hullen
Solange nur URLs etc. gefiltert werden sollen, mag schon "squid" (in
Verbindung mit "squidGuard") reichen.
Wie gesagt. Ich will keine Black-/Whitelist pflegen müssen.
Da könntest Du eine solche Liste bequem einbinden.
Post by Thomas Dreher
Ich hätte nach Möglichkeit gerne den Filter und dessen OS unter
meinen Fittichen, die Liste aber von einem Dienstleister gepflegt.
Ist sowas drin?
Natürlich! Gegen entsprechendes Honorar ...

Viele Gruesse!
Helmut
Heiko Schlenker
2010-08-31 14:16:36 UTC
Permalink
Post by Thomas Dreher
Post by Heiko Schlenker
Post by Thomas Dreher
ich suche einen Content/Schädlingsfilter für ein Netzwerk mit ca. 100
Usern, alles Windows-Kisten.
Auf welcher OSI-Schicht soll der Filter denn arbeiten? Je tiefer,
desto "anspruchsvoller" der Job des Filters. Sollen vielleicht
nur bestimmte Dienste überwacht werden?
Es geht ausschließlich um http.
Da gibt es Sachen wie DansGuardian, squidGuard usw. Eine Suchhilfe
in diesem Zusammenhang: transparenter HTTP-(Zwangs-)Proxy

Gruß, Heiko
Thomas Dreher
2010-09-02 06:38:14 UTC
Permalink
Post by Heiko Schlenker
Post by Thomas Dreher
Post by Heiko Schlenker
Post by Thomas Dreher
ich suche einen Content/Schädlingsfilter für ein Netzwerk mit ca. 100
Usern, alles Windows-Kisten.
Auf welcher OSI-Schicht soll der Filter denn arbeiten? Je tiefer,
desto "anspruchsvoller" der Job des Filters. Sollen vielleicht
nur bestimmte Dienste überwacht werden?
Es geht ausschließlich um http.
Da gibt es Sachen wie DansGuardian, squidGuard usw. Eine Suchhilfe
in diesem Zusammenhang: transparenter HTTP-(Zwangs-)Proxy
Der DansGuardian klingt beim Durchlesen recht gut. Der wird mal
probiert, danke.


Gruß

Thomas
Christoph Sternberg
2010-08-31 15:11:49 UTC
Permalink
Post by Thomas Dreher
Es geht ausschließlich um http. Hätte ich noch dazuschreiben sollen,
sorry. Priorität hat auch der Contentfilter, nicht der Virenscanner.
Z.B. eine Sonicwall mit der "Comprehensive Gateway Security Suite":

http://www.sonicwall.com/de/488_6253.html

Christoph Sternberg */\
Thomas Dreher
2010-09-02 06:36:54 UTC
Permalink
Post by Christoph Sternberg
Post by Thomas Dreher
Es geht ausschließlich um http. Hätte ich noch dazuschreiben sollen,
sorry. Priorität hat auch der Contentfilter, nicht der Virenscanner.
http://www.sonicwall.com/de/488_6253.html
Das wäre eine gute Lösung, aber etwas überdimensioniert. Zur Erklärung:
Am Uplink hängen da erst mal 2 Cisco ASAs (failover), die machen NAT,
filtern und terminieren eine Menge IPSec-Geraffel. Die Redundanz
aufzulösen ist keine Option. Ich hätte ja jetzt nicht lange
rumdiskutiert und CSC-SSMs verbaut - leider kann ich das nicht, da der
Erweiterungssteckplatz der Kisten mit zusätzlichen Ports belegt ist, da
hier noch collapsed DMZs dranhängen - und die will ich sicher nicht nur
in einen VLAN haben.

Mir würde also als Lösung ein reiner Contentfilter vorschweben, da die
anderen Aufgaben ja schon bisher zu meiner Zufriedenheit von den ASAs
erledigt werden.

Ich denke mal, daß ich mir den DansGuardian mal genauer anschauen werde,
den Heiko vorgeschlagen hat. Das scheint zwar was ohne remote gepflegte
Blacklists zu sein, aber wenn die Regeln so grob funktionieren, soll das
ja auch passen.


Gruß

Thomas
Christoph Sternberg
2010-09-02 12:15:39 UTC
Permalink
Post by Thomas Dreher
Am Uplink hängen da erst mal 2 Cisco ASAs (failover), die machen NAT,
filtern und terminieren eine Menge IPSec-Geraffel.
Die haben aber auch noch Appliances /nur/ zum Filtern:

http://www.sonicwall.com/de/Content_Security_Management.html

Christoph Sternberg */\
Juergen P. Meier
2010-09-02 21:33:15 UTC
Permalink
Post by Thomas Dreher
Am Uplink hängen da erst mal 2 Cisco ASAs (failover), die machen NAT,
Also eine PIX und ein Standby.
Post by Thomas Dreher
filtern und terminieren eine Menge IPSec-Geraffel. Die Redundanz
aufzulösen ist keine Option. Ich hätte ja jetzt nicht lange
rumdiskutiert und CSC-SSMs verbaut - leider kann ich das nicht, da der
Erweiterungssteckplatz der Kisten mit zusätzlichen Ports belegt ist, da
hier noch collapsed DMZs dranhängen - und die will ich sicher nicht nur
in einen VLAN haben.
Alle DMZen in einem IEEE 802.1q-Trunk, wieso nicht?
Post by Thomas Dreher
Mir würde also als Lösung ein reiner Contentfilter vorschweben, da die
anderen Aufgaben ja schon bisher zu meiner Zufriedenheit von den ASAs
erledigt werden.
ASAs sind hervorragende NAT-Geraete, ganz passable Paketfilter
und brauchbare VPN-Tunnel-Terminatoren - aber eines sind sie ganz
bestimmt nicht: gute Contentfilter.
Post by Thomas Dreher
Ich denke mal, daß ich mir den DansGuardian mal genauer anschauen werde,
den Heiko vorgeschlagen hat. Das scheint zwar was ohne remote gepflegte
Blacklists zu sein, aber wenn die Regeln so grob funktionieren, soll das
ja auch passen.
Du wirst dir das manuelle Pflegen von White- und Blacklisten mit
keiner noch so teuren und vollmundigen "Loesung" einsparen koennen.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Thomas Dreher
2010-09-03 05:50:43 UTC
Permalink
Post by Juergen P. Meier
Post by Thomas Dreher
Am Uplink hängen da erst mal 2 Cisco ASAs (failover), die machen NAT,
Also eine PIX und ein Standby.
Ja. Load Balancing ist bei der Auslastung des Links nicht notwendig.
Post by Juergen P. Meier
Post by Thomas Dreher
filtern und terminieren eine Menge IPSec-Geraffel. Die Redundanz
aufzulösen ist keine Option. Ich hätte ja jetzt nicht lange
rumdiskutiert und CSC-SSMs verbaut - leider kann ich das nicht, da der
Erweiterungssteckplatz der Kisten mit zusätzlichen Ports belegt ist, da
hier noch collapsed DMZs dranhängen - und die will ich sicher nicht nur
in einen VLAN haben.
Alle DMZen in einem IEEE 802.1q-Trunk, wieso nicht?
Sind alle auf einem, das hab ich etwas mißverständlich ausgedrückt, aber
eben physikalisch getrennt von den sicheren Netzen (Von welchen es auch
4 gibt. Das ist leider notwendig, da die Kisten auch ein Hausnetzwerk
von einem Telemetrienetz, der Netzführung und eben dem Uplink trennen).
Dann sind auf der Erweiterung zum einen die DMZs und zum anderen der
failover-link.
Post by Juergen P. Meier
Post by Thomas Dreher
Mir würde also als Lösung ein reiner Contentfilter vorschweben, da die
anderen Aufgaben ja schon bisher zu meiner Zufriedenheit von den ASAs
erledigt werden.
ASAs sind hervorragende NAT-Geraete, ganz passable Paketfilter
und brauchbare VPN-Tunnel-Terminatoren - aber eines sind sie ganz
bestimmt nicht: gute Contentfilter.
Also taugen die CSC-SSMs auch nicht als Contentfilter? Dann hat sich
obiges ja so oder so erledigt.
Post by Juergen P. Meier
Post by Thomas Dreher
Ich denke mal, daß ich mir den DansGuardian mal genauer anschauen werde,
den Heiko vorgeschlagen hat. Das scheint zwar was ohne remote gepflegte
Blacklists zu sein, aber wenn die Regeln so grob funktionieren, soll das
ja auch passen.
Du wirst dir das manuelle Pflegen von White- und Blacklisten mit
keiner noch so teuren und vollmundigen "Loesung" einsparen koennen.
Das wollte ich eigentlich nicht hören, aber habs schon befürchtet. Darum
hab ich das auch rausgeschoben, bis der Traffic anfängt, sich wirklich
bemerkbar zu machen. Das tut er leider so langsam.

Vielleicht komm ich morgen dazu, mal den DansGuardian auf eine
Testbüchse aufzusetzen. Von dem weiß ich mit hoher Wahrscheinlichkeit,
daß er mit VLANs keine großen Probleme haben sollte, das ist ja bei dem
dann Sache des OS (in dem Fall FreeBSD). Bei SonicWall muß ich da erst
mal nachfragen, steht natürlich nicht im Datenblatt :-/


Gruß

Thomas
Christoph Sternberg
2010-09-03 06:19:58 UTC
Permalink
Post by Thomas Dreher
Bei SonicWall muß ich da erst
mal nachfragen, steht natürlich nicht im Datenblatt :-/
Ich kenne hier eine kleine Sonicwall mit der "Comprehensive Gateway Security
Suite" (wird der gleiche Filter wie bei der speziellen Appliance sein) in
einem kleinen Netz von ca. 20 Stationen, wo sie zur Filterung von
Schweinkramseiten etc. eingesetzt wird und zuverlässig arbeitet (es wird
eine monatliche Web-Nutzungsstatistik erstellt). Der Filter musste bisher
nur selten manuell angepaßt werden.

Aber wie Juergen schon sagte: Einen Filter ganz ohne manuelle Nacharbeit
wird man schwerlich finden.

Christoph Sternberg */\
Thomas Dreher
2010-09-03 07:25:49 UTC
Permalink
Post by Christoph Sternberg
Post by Thomas Dreher
Bei SonicWall muß ich da erst
mal nachfragen, steht natürlich nicht im Datenblatt :-/
Ich kenne hier eine kleine Sonicwall mit der "Comprehensive Gateway Security
Suite" (wird der gleiche Filter wie bei der speziellen Appliance sein) in
einem kleinen Netz von ca. 20 Stationen, wo sie zur Filterung von
Schweinkramseiten etc. eingesetzt wird und zuverlässig arbeitet (es wird
eine monatliche Web-Nutzungsstatistik erstellt). Der Filter musste bisher
nur selten manuell angepaßt werden.
Weißt du zufällig, ob das Ding mit VLANs umgehen kann? Auf dem zu
filternden Interface gibt es ~35 VLANs, die eigentlich zu filternden
Büchsen stehen in 4 davon.
Post by Christoph Sternberg
Aber wie Juergen schon sagte: Einen Filter ganz ohne manuelle Nacharbeit
wird man schwerlich finden.
Sehr schade, aber leuchtet mir schon ein. Dumm nur, daß das an mir
hängenbleiben wird. It's an imperfect world ;-)


Gruß

Thomas
Christoph Sternberg
2010-09-03 08:02:30 UTC
Permalink
Post by Thomas Dreher
Weißt du zufällig, ob das Ding mit VLANs umgehen kann?
Das weiss ich leider nicht, mit den reinen Filter-Appliances habe ich eh'
noch nix zu tun gehabt. Im Datenblatt steht auch nichts dazu. Müsstest Du
evtl. mal dort anrufen.

Christoph Sternberg */\
Florian Weimer
2010-09-12 06:13:19 UTC
Permalink
Post by Thomas Dreher
Ja. Load Balancing ist bei der Auslastung des Links nicht notwendig.
Pfft. Und trotzdem willst Du filtern, um den Traffic zu reduzieren?
Wenn es um Kosten geht: Es ist immer billiger, mehr Bandbreite
zu beschaffen (zumindest, wenn man am freien Markt einkaufen kann
und nicht auf die interne IT beschränkt ist).
Thomas Dreher
2010-09-14 16:05:35 UTC
Permalink
Post by Florian Weimer
Post by Thomas Dreher
Ja. Load Balancing ist bei der Auslastung des Links nicht notwendig.
Pfft. Und trotzdem willst Du filtern, um den Traffic zu reduzieren?
Wenn es um Kosten geht: Es ist immer billiger, mehr Bandbreite
zu beschaffen (zumindest, wenn man am freien Markt einkaufen kann
und nicht auf die interne IT beschränkt ist).
Bandbreite != Traffic. Die Bandbreite ist nicht das Problem.


Gruß

Thomas
Florian Weimer
2010-12-12 17:04:28 UTC
Permalink
Post by Thomas Dreher
Post by Florian Weimer
Post by Thomas Dreher
Ja. Load Balancing ist bei der Auslastung des Links nicht notwendig.
Pfft. Und trotzdem willst Du filtern, um den Traffic zu reduzieren?
Wenn es um Kosten geht: Es ist immer billiger, mehr Bandbreite
zu beschaffen (zumindest, wenn man am freien Markt einkaufen kann
und nicht auf die interne IT beschränkt ist).
Bandbreite != Traffic. Die Bandbreite ist nicht das Problem.
Meine Aussage gilt auch für "Traffic" ("Bandbreitenmonate", oder wie
man das nennen will).
Thomas Dreher
2010-12-14 09:18:29 UTC
Permalink
Post by Florian Weimer
Post by Thomas Dreher
Post by Florian Weimer
Post by Thomas Dreher
Ja. Load Balancing ist bei der Auslastung des Links nicht notwendig.
Pfft. Und trotzdem willst Du filtern, um den Traffic zu reduzieren?
Wenn es um Kosten geht: Es ist immer billiger, mehr Bandbreite
zu beschaffen (zumindest, wenn man am freien Markt einkaufen kann
und nicht auf die interne IT beschränkt ist).
Bandbreite != Traffic. Die Bandbreite ist nicht das Problem.
Meine Aussage gilt auch für "Traffic" ("Bandbreitenmonate", oder wie
man das nennen will).
Hmm... rechnen wir mal mit einem Volumen von ca. 3 TByte monatlich, was
etwa einer voll ausgelasteten 10 Mbit Leitung entspricht. Kriegt man die
irgendwo günstig genug[1], daß der Preis eine kleine Filterlösung nicht
rechtfertigen würde?

[1] Also bei einem 100 Mbit-Uplink mit etwa 6 TByte "Grundlast"


Gruß

Thomas
Florian Weimer
2010-12-14 20:55:01 UTC
Permalink
Post by Thomas Dreher
Hmm... rechnen wir mal mit einem Volumen von ca. 3 TByte monatlich, was
etwa einer voll ausgelasteten 10 Mbit Leitung entspricht. Kriegt man die
irgendwo günstig genug[1], daß der Preis eine kleine Filterlösung nicht
rechtfertigen würde?
[1] Also bei einem 100 Mbit-Uplink mit etwa 6 TByte "Grundlast"
Wieviel Prozent des Verkehrs wird der Filter überhaupt los? Und
wieviel legitimen Verkehr gibt es im Vergleich? Wird das irgendwo in
die Pampa geliefert?

60 GB pro Kopf und Monat sind allerdings durchaus sportlich.
Thomas Dreher
2010-12-14 22:29:17 UTC
Permalink
Post by Florian Weimer
Post by Thomas Dreher
Hmm... rechnen wir mal mit einem Volumen von ca. 3 TByte monatlich, was
etwa einer voll ausgelasteten 10 Mbit Leitung entspricht. Kriegt man die
irgendwo günstig genug[1], daß der Preis eine kleine Filterlösung nicht
rechtfertigen würde?
[1] Also bei einem 100 Mbit-Uplink mit etwa 6 TByte "Grundlast"
Wieviel Prozent des Verkehrs wird der Filter überhaupt los? Und
wieviel legitimen Verkehr gibt es im Vergleich? Wird das irgendwo in
die Pampa geliefert?
60 GB pro Kopf und Monat sind allerdings durchaus sportlich.
Ich hab den Filter inzwischen am laufen und kann daher ziemlich genaue
Werte liefern. Schon das filtern von Youtube und co. hat den Verkehr auf
absolut lächerliche Werte schrumpfen lassen. Alle "Arbeits"plätze
zusammen machen noch ca. 1 GByte am Tag. Und noch keine einzige
Beschwerde über false positives... Was auch immer gefiltert wird, keiner
hat es wohl wirklich gebraucht. Und das ohne die befürchteten
Verrenkungen mit nur einer lächerlich kurzen Blacklist.


Gruß

Thomas
Juergen P. Meier
2010-12-15 04:58:04 UTC
Permalink
Post by Thomas Dreher
Ich hab den Filter inzwischen am laufen und kann daher ziemlich genaue
Werte liefern. Schon das filtern von Youtube und co. hat den Verkehr auf
absolut lächerliche Werte schrumpfen lassen. Alle "Arbeits"plätze
zusammen machen noch ca. 1 GByte am Tag. Und noch keine einzige
Beschwerde über false positives... Was auch immer gefiltert wird, keiner
hat es wohl wirklich gebraucht. Und das ohne die befürchteten
Verrenkungen mit nur einer lächerlich kurzen Blacklist.
Web-Filter sorgen in der Tat fuer eine drastische Reduktion des
Web-Traffics. Selbst ein Konzern mit weltweit vierstelligen
Mitarbeitern verursacht weniger Traffic als ein durchschnittlicher
VDSL-Home-Surfer.

Sie sind nur im Nachhinein schwer einzufuehren.
Jens Hektor
2011-01-03 11:58:14 UTC
Permalink
Post by Juergen P. Meier
Sie sind nur im Nachhinein schwer einzufuehren.
Full ACK. Insbesondere vor Studentenwohnheimen :-/

Hier Cisco/Ironport WSA. Hilft, aber nicht gegen alle Malware.
Trotzdem deutliche Infektionsreduktion.

Loading...