Zeitlimit für das tägliche Surfen

Hallo zusammen,

der Post ist zwar schon recht alt, aber dieses Thema ist immer aktuell. Ich stehe gerade vor der gleichen Problematik, wobei es bei mir derzeit nur um's Surfen geht, für das ich für die Kinder ein tägliches Zeitlimit festlegen möchte.

Die FritzBox kann das zwar, aber meine Sophos UTM steht zwischen internen Clients und der FritzBox mit dem DSL-Anschluss. Und bei der FritzBox geht es nur, wenn diese an einem DSL-Anschluss angebunden ist und die Clients mit unterschiedlichen MAC-Adressen erkannt werden. Das würde bedeuten, dass ich der UTM weitere externe Netzwerkschnittstellen zuordnen und ein Source-NAT für die Clientgeräte meiner Kinder einrichten müsste. Das ist gestern bei mir daran gescheitert, dass die UTM bei neuen Interfaces - ich habe eine virtuelle Appliance - die Sortierung der Netzwerk-Karten verändert und damit dann alle Netzwerkverbindungen verloren gegangen sind. Und ich hatte keine Lust, wieder an der Zuordnung herumzubasteln. Außerdem finde ich diesen Weg ziemlich aufwändig für diese Aufgabe.

Gerne würde ich das direkt auf der UTM einrichten. Aber nach meinem Verständnis geht das nur für Benutzerkonten. Das hat zur Folge, dass sich die Kinder immer erst am Proxy authentifizieren müssten. Das ist in meinen Augen nicht sinnvoll. Gibt es eine Möglichkeit, das Zeitkontingent für IP-Adressen einzurichten und wenn ja, wie?

Wie habt ihr das gelöst?

Was spricht denn gegen eine Authentifizierung am UTM-Proxy? Ich finde das nicht so schlimm, meine Kinder im Übrigen auch nicht. Mein Netzwerk läuft ebenfalls in der Konstellation FritzBox <-> UTM9 <-> Kinder-WLAN. Über die Webfilter-Richtlinien habe ich eingestellt, für welche Kategorien ein Zeitkontingent festgelegt werden soll. Das funktioniert wunderbar, solange in kurzen Zeitabständen unterschiedliche URLs aufgerufen werden. Sobald man aber auf einer Online Spieleseite ein Flash- oder Shockwave-Spiel startet, funktioniert die Zeitkontingentierung nicht mehr, weil nur beim Start des Spiels eine HTTP-Anfrage geschickt wird. Solange keine erneute HTTP-Anfrage erfolgt, gibt es unbegrenzte Spielzeit. Hier bin ich auf der Suche nach einer Abfrage des verbleibenden Zeitkontingents unabhängig davon ob eine HTTP-Anfrage geschickt wird oder nicht.

Gegen eine Benutzerauthentifizierung spricht, dass sich die Benutzer jedes Mal anmelden müssen. Ich habe kein AD und kann nicht mit irgendwelchen SSO-Technologien die Authentifizierung automatisieren.

Ich habe aber mittlerweile einen Weg gefunden, der für ein dauerhaft eingeschaltetes Smartphone allerdings nur bedingt sinnvoll ist, da bereits morgens das Zeitkontingent aufgebraucht ist, aber er funktioniert:

1. Anlegen eines weiteren Web-Filter-Profils und als Quelle das Objekt mit der festen IP-Adresse für das zu kontrollierende Gerät als "Allowed Network" eintragen.
2. Unter "Policies" eine neue Policy anlegen, die dann die Quota-Einstellungen enthält und die Default-Policy deaktivieren (das zu kontrollierende Gerät ist im gleichen Netzwerk, wie die anderen Systeme). An der Reihenfolge der Policies muss dann nichts geändert werden.
3. Unter "Web Filtering" für die Default-Einstellungen muss dann in "Policies" die neu angelegte Policy deaktiviert werden. Auch hier ist keine Änderung der Reihenfolge der Policies erforderlich.

Damit das Kontingent nicht auf den gesamten Web-Traffic angewandt wird, müsste ich dann noch die Kategorien anpassen, wobei mir das zu wenig granular ist. So würde ich grundsätzlich das Updaten von Apps und Android an sich (wir haben Android One basierte Smartphones, die sich regelmäßig aktualisieren) gerne ausschließen, aber eben nicht die komplette Kategorie, die bei diesen Diensten greift. Das ist in der Sophos UTM sicherlich möglich - ich glaube zumindest, dass ich in irgendeinem Artikel etwas dazu gelesen habe, aber ich muss mich da noch etwas tiefer einarbeiten.

Weitere Nachteile:

1. Wahrscheinlich löst dieser Weg auch nicht das Problem mit Online-Spielen, die auf Flash oder Shockwave basieren, da hier keine weiteren HTTP-Anfragen geschickt werden. Aber das ist derzeit bei uns kein Thema.
2. In der UTM sieht man nicht, inwiefern das Zeitkontingent aufgebraucht ist, da dies offenbar nur funktioniert, wenn man mit authentifizierten Benutzern arbeitet.
3. Im Daily Executive Report der UTM werden aufgrund der Quota geblockte Website-Kategorien in der gleichen Statistik aufgeführt, in der auch die aufgrund von Malware oder schlechter Reputation geblockten Webseiten/Kategorien landen. Hier würde ich mir eine Trennung der Statistiken wünschen.

Gegen eine Benutzerauthentifizierung spricht, dass sich die Benutzer jedes Mal anmelden müssen. Ich habe kein AD und kann nicht mit irgendwelchen SSO-Technologien die Authentifizierung automatisieren.

Ich habe aber mittlerweile einen Weg gefunden, der für ein dauerhaft eingeschaltetes Smartphone allerdings nur bedingt sinnvoll ist, da bereits morgens das Zeitkontingent aufgebraucht ist, aber er funktioniert:

1. Anlegen eines weiteren Web-Filter-Profils und als Quelle das Objekt mit der festen IP-Adresse für das zu kontrollierende Gerät als "Allowed Network" eintragen.
2. Unter "Policies" eine neue Policy anlegen, die dann die Quota-Einstellungen enthält und die Default-Policy deaktivieren (das zu kontrollierende Gerät ist im gleichen Netzwerk, wie die anderen Systeme). An der Reihenfolge der Policies muss dann nichts geändert werden.
3. Unter "Web Filtering" für die Default-Einstellungen muss dann in "Policies" die neu angelegte Policy deaktiviert werden. Auch hier ist keine Änderung der Reihenfolge der Policies erforderlich.

Damit das Kontingent nicht auf den gesamten Web-Traffic angewandt wird, müsste ich dann noch die Kategorien anpassen, wobei mir das zu wenig granular ist. So würde ich grundsätzlich das Updaten von Apps und Android an sich (wir haben Android One basierte Smartphones, die sich regelmäßig aktualisieren) gerne ausschließen, aber eben nicht die komplette Kategorie, die bei diesen Diensten greift. Das ist in der Sophos UTM sicherlich möglich - ich glaube zumindest, dass ich in irgendeinem Artikel etwas dazu gelesen habe, aber ich muss mich da noch etwas tiefer einarbeiten.

Weitere Nachteile:

1. Wahrscheinlich löst dieser Weg auch nicht das Problem mit Online-Spielen, die auf Flash oder Shockwave basieren, da hier keine weiteren HTTP-Anfragen geschickt werden. Aber das ist derzeit bei uns kein Thema.
2. In der UTM sieht man nicht, inwiefern das Zeitkontingent aufgebraucht ist, da dies offenbar nur funktioniert, wenn man mit authentifizierten Benutzern arbeitet.
3. Im Daily Executive Report der UTM werden aufgrund der Quota geblockte Website-Kategorien in der gleichen Statistik aufgeführt, in der auch die aufgrund von Malware oder schlechter Reputation geblockten Webseiten/Kategorien landen. Hier würde ich mir eine Trennung der Statistiken wünschen.