Hallo zusammen,
der Post ist zwar schon recht alt, aber dieses Thema ist immer aktuell. Ich stehe gerade vor der gleichen Problematik, wobei es bei mir derzeit nur um's Surfen geht, für das ich für die Kinder ein tägliches Zeitlimit festlegen möchte.
Die FritzBox kann das zwar, aber meine Sophos UTM steht zwischen internen Clients und der FritzBox mit dem DSL-Anschluss. Und bei der FritzBox geht es nur, wenn diese an einem DSL-Anschluss angebunden ist und die Clients mit unterschiedlichen MAC-Adressen erkannt werden. Das würde bedeuten, dass ich der UTM weitere externe Netzwerkschnittstellen zuordnen und ein Source-NAT für die Clientgeräte meiner Kinder einrichten müsste. Das ist gestern bei mir daran gescheitert, dass die UTM bei neuen Interfaces - ich habe eine virtuelle Appliance - die Sortierung der Netzwerk-Karten verändert und damit dann alle Netzwerkverbindungen verloren gegangen sind. Und ich hatte keine Lust, wieder an der Zuordnung herumzubasteln. Außerdem finde ich diesen Weg ziemlich aufwändig für diese Aufgabe.
Gerne würde ich das direkt auf der UTM einrichten. Aber nach meinem Verständnis geht das nur für Benutzerkonten. Das hat zur Folge, dass sich die Kinder immer erst am Proxy authentifizieren müssten. Das ist in meinen Augen nicht sinnvoll. Gibt es eine Möglichkeit, das Zeitkontingent für IP-Adressen einzurichten und wenn ja, wie?
Wie habt ihr das gelöst?
Kind Regards
TheExpert
Was spricht denn gegen eine Authentifizierung am UTM-Proxy? Ich finde das nicht so schlimm, meine Kinder im Übrigen auch nicht. Mein Netzwerk läuft ebenfalls in der Konstellation FritzBox <-> UTM9 <-> Kinder-WLAN. Über die Webfilter-Richtlinien habe ich eingestellt, für welche Kategorien ein Zeitkontingent festgelegt werden soll. Das funktioniert wunderbar, solange in kurzen Zeitabständen unterschiedliche URLs aufgerufen werden. Sobald man aber auf einer Online Spieleseite ein Flash- oder Shockwave-Spiel startet, funktioniert die Zeitkontingentierung nicht mehr, weil nur beim Start des Spiels eine HTTP-Anfrage geschickt wird. Solange keine erneute HTTP-Anfrage erfolgt, gibt es unbegrenzte Spielzeit. Hier bin ich auf der Suche nach einer Abfrage des verbleibenden Zeitkontingents unabhängig davon ob eine HTTP-Anfrage geschickt wird oder nicht.
Gegen eine Benutzerauthentifizierung spricht, dass sich die Benutzer jedes Mal anmelden müssen. Ich habe kein AD und kann nicht mit irgendwelchen SSO-Technologien die Authentifizierung automatisieren.
Ich habe aber mittlerweile einen Weg gefunden, der für ein dauerhaft eingeschaltetes Smartphone allerdings nur bedingt sinnvoll ist, da bereits morgens das Zeitkontingent aufgebraucht ist, aber er funktioniert:
Damit das Kontingent nicht auf den gesamten Web-Traffic angewandt wird, müsste ich dann noch die Kategorien anpassen, wobei mir das zu wenig granular ist. So würde ich grundsätzlich das Updaten von Apps und Android an sich (wir haben Android One basierte Smartphones, die sich regelmäßig aktualisieren) gerne ausschließen, aber eben nicht die komplette Kategorie, die bei diesen Diensten greift. Das ist in der Sophos UTM sicherlich möglich - ich glaube zumindest, dass ich in irgendeinem Artikel etwas dazu gelesen habe, aber ich muss mich da noch etwas tiefer einarbeiten.
Weitere Nachteile:
Kind Regards
TheExpert
Gegen eine Benutzerauthentifizierung spricht, dass sich die Benutzer jedes Mal anmelden müssen. Ich habe kein AD und kann nicht mit irgendwelchen SSO-Technologien die Authentifizierung automatisieren.
Ich habe aber mittlerweile einen Weg gefunden, der für ein dauerhaft eingeschaltetes Smartphone allerdings nur bedingt sinnvoll ist, da bereits morgens das Zeitkontingent aufgebraucht ist, aber er funktioniert:
Damit das Kontingent nicht auf den gesamten Web-Traffic angewandt wird, müsste ich dann noch die Kategorien anpassen, wobei mir das zu wenig granular ist. So würde ich grundsätzlich das Updaten von Apps und Android an sich (wir haben Android One basierte Smartphones, die sich regelmäßig aktualisieren) gerne ausschließen, aber eben nicht die komplette Kategorie, die bei diesen Diensten greift. Das ist in der Sophos UTM sicherlich möglich - ich glaube zumindest, dass ich in irgendeinem Artikel etwas dazu gelesen habe, aber ich muss mich da noch etwas tiefer einarbeiten.
Weitere Nachteile:
Kind Regards
TheExpert