Blokkeren van zoveel mogelijk internet/apps

PrimusX schreef op dinsdag 29 augustus 2017 @ 23:33:
en de resterende bandbreedte te kunnen gebruiken om men te voorzien van whatsapp verbinding en dan puur alleen de tekst.

Dat kan alvast niet. Whatsapp is end-to-end encrypted, dus je kunt in het netwerk geen verschil zien tussen tekst en plaatjes/audio/video.

maarre, waar zit je dan?

3mbit is wel bizar weinig

je zou iets met dns kunnen proberen?

en deny all geld meestal voor inkomende verbindingen. om naar buiten te filteren heb toch wel een pittige router/fw nodig...

Je kan niet op basis van een of andere ondoorzichtige 'rule' die whatsapp heet een paar poorten open knikkeren en hopen dat het werkt.

Als je echt wat wil gaan filteren zal je moeten kijken welke IP-adressen bij welk bedrijf horen, en die whitelisten, en de rest by default blacklisten.

Afhankelijk van de schaal waarop een site of bedrijf opereert kan dat varieren. WhatsApp heeft bijvoorbeeld een eigen ASN, dus dat is goed te doen whitelist alles wat dat ASN beschikbaar stelt en het zal werken. Voor de bakker om de hoek zal het waarschijnlijk eerder een kwestie van een DNS lookup zijn en het A-record dat naar boven komt is dan genoeg voor die ene site.

Een app als Facebook of snapchat zal op verschillende manieren verbinding proberen te maken, waarschijnlijk eerst een DNS lookup doen om te kijken wat het IP is, en als dat mislukt misschien een IP uit de cache proberen, en dan als dat niet lukt pas stoppen. Stel dat DNS werkt of een IP uit de cache werkt zal de verbinding waarschijnlijk ten eerste over 443 met HTTPS gedaan worden, dus zolang dat open staat in de outbound firewall gaat dat werken.

[ Voor 25% gewijzigd door johnkeates op 30-08-2017 02:15 ]

Kun je geen router gebruiken die per werkstation de bandbreedte limiteert?
Dan kun je de gebruikers aangeven wat ze met die bandbreedte kunnen doen en wat de gevolgen zijn wanneer ze meer doen. Wanneer iemand via één werkstation dan toch meer wil dan mogelijk is hebben de andere werkstations daar geen last van.

Dan heb je een deftige Layer7 firewall nodig. Denk Palo Alto, Fortigate etc. Maar daar hangt een prijskaartje aan (en dan niet alleen aanschaf en licenties, maar ook een fatsoenlijke implementatie door een expert )

PrimusX schreef op dinsdag 29 augustus 2017 @ 23:33:

Collega's die in dezelfde situatie zaten hadden een vorige config gebruikt van de AER2100 welke wel werkte maar nu niet.

Moet je dan niet eens op zoek waarom het wel werkte en nu niet meer?

En zoals je gedeeltelijk al aangeeft; je zal met een general Deny moeten gaan werken en voortschrijdend langzaam maar zeker bepaalde zaken op Allow gaan zetten.

Het is dan handig(er) om een firewall te implementeren die relatief veel CPU-power heeft en SSL-decryption/DPI aan boord heeft. Dan kan je eventueel wel zaken als Facebook (de site) blokkeren maar Facebook Messenger (mobiele app) wel toestaan. Of je kan mogelijk voorkomen dat Whatsapp wordt gebruikt om home-videos van 70MB te versturen.

Dit is wel veel werk; sowieso de implementatie zal je mogelijk door een expert moeten laten doen maar ook het (dagelijks) onderhoud op wat kan er wel/niet alsmede het updaten van rules, patters, blacklists, certificaten wordt een redelijke tedious job.

Met bandbreedte beheer voorrang geven op de lan poorten waar de werkstations op aangesloten zijn en de rest van het verkeer de overige bandbreedte geven met eventueel een max van 1Mb bijvoorbeeld.

Dat blijft aankloten op deze manier. Zoals al eerder opgemerkt, schaf een NGFW aan. Met de gelimiteerde bandbreedte waar je beschikking over hebt, heb je voldoende aan een Fortigate 30E, kost richting de €500 maar dat werkt ook gewwoon goed. Deze fungeert als SSL-proxy dus je kan mbv policies exact bepalen wat er wel en niet door mag op applicatie nivo. Wel tekst whatsappen maar geen media versturen of ontvangen e.d.

Volgens mij zit je ofwel vast aan een (dure) firewall ofwel PfSense installeren en langdurig naar documentatie zoeken over hoe eea te doen is in PFSense (wat ook geld kost). Maar als ik in je vraag lees dat er drie werkstations op locatie staan, lijkt het mij dat er geen miljoenmiljard gebruikers hiervan gebruik maken (maar dat kan een verkeerde vooronderstelling zijn).

Als alternatief voor het filteren van verkeer zou je op zoek kunnen gaan naar een oplossing waarbij je de bandbreedte per host kan instellen, wat meer voor de werkstations, veel minder voor de rest (hierdoor duurt het ontvangen van foto's en filmpjes langer en dat vinden gebruiker niet leuk). Als je dit vooraf meedeelt, kunnen je gebruikers dit met het thuisfront delen.

Mensen een eigen loginnaam en ww geven om op het netwerk te komen (en het datagebruik loggen) heeft mogelijk ook een 'afschrikkende' werking op datavreters. Desnoods loof je wekelijks een 'prijsje' uit voor de gebruiker die de minste data heeft 'gesnoept'..

Maar, ervan uitgaand dat je groep gebruikers niet héél groot is (+/- <10 mensen) én bestaat uit redelijke en volwassen mensen, kan je mogelijk vooraf bespreken dat de bandbreedte beperkt is, en dat het niet de bedoeling is om allerlei privé-bestanden uit te wisselen. Een omfloerst dreigement dat, als er teveel bandbreedte opgaat aan privé-gedoe, de internettoegang beperkt wordt tot de werkstations, is natuurlijk optioneel hierin.

--Nagekomen gedachte-- Ik ga weer een paar vooronderstellingen doen, het lijkt me dat het WhatsApp, Instagram en snapchat bedoeld zijn voor privégebruik. 'Enig privégebruik' van bestaande middelen is voor een werknemer toegestaan, maar dat betekent niét dat jij je in allerlei bochten moet wringen en je werkgever meer geld kwijt moet zijn om dit te kunnen faciliteren. Kweenie hoe het met anderen zit, maar ik heb de eerste negenendertig jaar van mijn leven het zonder Whatsapp moeten stellen en heb het in die tijd niet gemist.

[ Voor 16% gewijzigd door Bernard0343 op 30-08-2017 12:24 . Reden: leesbaarheid ]

CyBeR schreef op woensdag 30 augustus 2017 @ 01:44:
[...]
Dat kan alvast niet. Whatsapp is end-to-end encrypted, dus je kunt in het netwerk geen verschil zien tussen tekst en plaatjes/audio/video.

Helemaal onmogelijk is dat niet. De video's en plaatjes staan op een server van Whatsapp. De Chinezen hebben dit weten te blokkeren (al dan niet per ongeluk).

mashell schreef op woensdag 30 augustus 2017 @ 16:41:
[...]

Helemaal onmogelijk is dat niet. De video's en plaatjes staan op een server van Whatsapp. De Chinezen hebben dit weten te blokkeren (al dan niet per ongeluk).

Ah, dat biedt inderdaad mogelijkheden. Blokkeer die server.

Andere opties, zoals 4G, zijn geen optie?

Dit is een economische afweging i.p.v. technische.

Berken het volgende:

* aantal manuren (van iedereen) die bezig zal zijn met het white listen of blacklisten van sites etc....
* Extra geld betalen aan satelliet provider voor "unlimited", of een groter pakket.

Leg deze twee naast elkaar en kijk wat interessanter wordt. Vergeet niet, dat als jij voor optie 2 gaat, de vrijgekomen personeel uit optie 1 andere nuttige dingen kan gaan doen en dus productief is.

Hier heb je een next gen firewall voor nodig. Eenvoudig om te configureren is een Meraki MX64 met advanced security licentie. Op locatie en ergens in de cloud zou je twee WAN optimalisatie appliances als VM's kunnen draaien. Op de WAN optimalisatie appliance op locatie kan je dan Web Cache configureren. HTTPS is encrypted, dus daar kan je niets aan comprimeren of cachen, maar je kan wel TCP verkeer optimaliseren voor de hoge latency van satelliet verbindingen. Daarnaast kan je verkeer shapen op de MX appliance.