windows updates via firewall im hotspot netz blocken
Hallo,
vielleicht ein bisschen offtopic, passt hier aber noch am besten wegen firewall.
Wir bieten per HotSpot in einem abgeschotteten Netz einen Internetzugang an. Funktioniert soweit auch alles ganz gut, allerdings liegt der Standort sehr abgelegen und hohe Bandbreiten sind nahezu unmöglich. Daher würden wir gerne den Updatedienst von Microsoft blocken, damit nicht jeder Client dort seine Updates von Microsoft zieht. Wie würdet ihr hierbei vorgehen?
Also Updates aktiv zu blockieren finde ich persönlich ein wenig daneben. Möglichkeit 1 wäre es für diesen Standort einen WSUS Server zu implementieren, der dann zentralisiert einmal die Patches von MS lädt und an die Clients ausliefert. Mit der entsprechenden Updatepolicy schauen die Clients auch nicht mehr bei MS sondern beim WSUS nach.
Möglichkeit 2 wäre u.U. eine Art Cache Proxy. Einmal runterladen, danach wird das Update Package aus dem Cache des Proxies gelutscht.
unsere verwaltung dort wird von einem wsus gespeist, dieser zieht über nacht die updates, also daher kein problem.
das problem habe ich im gast netz. und ich kann die gäste auch nicht durch einen zwangsproxy quetschen, da die sehr unterschiedliche anwendungen nutzen, welche da probleme machen. damit scheidet 1 und 2 aus, da diese nicht von mir verwaltet werden.
ich habe also keine wirkliche möglichkeit diese clients zu beeinflussen. somit bleibt mir nur die möglichkeit den datenfluss etwas zu steuern, damit mir nicht ein einziger client schon die leitung dicht macht.
ansonsten stimme ich mit dir da vollkommen überein. mir sind nur leider die hände gebunden, sowohl was die leitung nach draußen angeht, als auch was die clients angeht. die leute wissen auch nicht was sie einstellen müssen / können / dürfen.
1) bist Du Dir sicher, dass die Updates das Problem sind? Mach doch mal eine Auswertung über alle Ports, dann hast Du einen guten Anhaltspunkt, welches Protokoll am meisten Traffic "verbraucht".
2) Wenn ich mir unsere GPOs so ansehen, dann wollen die Clients mit Port 8530 bzw. 8531 des WSUS kommunizieren. Allerdings kannst Du damit nur die abfangen, die sich die Updates direkt bei MS holen. Du "erwischt" nicht diejenigen, die eine VPN-Verbindung zum Arbeitsplatz aufbauen und von dort die Updates ziehen.
4) Doofe Frage: Warum kannst Du den Leuten nicht einen Proxy vorsetzen? Darauf gibst Du gleich ein paar notwendige Ports frei (HTTP, HTTPS, ...), den Rest dann bei Bedarf einmal einrichten und gut ist.
1. jipp, da ich per nat verbindungen geschaut wo die verbindungen hin laufen und den einen client mal kurz danach aus dem netz geschossen habe (wlan), dann war ruhe (im verhältnis)
2. 8530 is aber nur beim wsus im lokalen netz afair. die vpn verbindungen erwische ich sowieso nicht, weil ich da sowieso nichts sehe, außer der verbindung.
3. warum ich das nicht kann: es sind gäste, denen is sch...egal warum was nicht funktioniert, es hat einfach zu funktionieren. denk dich also in einen hotelgast, dem is alles ziemlich egal. die werden höchstens pampig, verständnis haben sie keins. einige der schönen anwendungen, die die haben machen probleme mit dem zwangsproxy, also habe ich hier keine wahl. wie gesagt ist ja ein hotspot für die gäste.
ich will dort auch so wenig wie möglich einschränken, aber ich muss auch dafür sorgen, dass das netz funktionsfähig bleibt für die anderen gäste. und heute ist uns das mit den windows updates eben extrem aufgefallen. grundsätzlich verstehe ich die gäste auch, aber man kann nicht alles haben im leben. es gibt halt nicht unbedingt das hotel im wald, welches gleichzeitig noch ruhig liegt und dann noch an einer super infrastruktur hängt. damit dürften wir nicht ganz alleine liegen bei derartigen hotels.
ich denke ich sperre jetzt per dns folgende einträge:
eigenentwicklungen der gäste, die dort geschult werden (ist ein seminar- und tagungshotel). darauf haben wir schon mal keinen einfluss. die sagen uns auch bloß, dass es nicht läuft. eine analyse oder ähnliches ist mit denen nicht möglich, die wollen kommen, arbeiten/schulen und wieder gehen ohne irgendwas machen zu müssen.
insofern sehe ich da wenig chancen derzeit etwas zu verbessern die leitung ließe sich natürlich schon aufbohren, aber diese kosten lassen sich niemals mehr über den verkauf von internet tickets finanzieren. außerdem gehört internet ja fast schon zur standardausstattung eines hotels.
wenn du den proxy transparent machst kannst du damit die updates abfangen (und hast auch nen cache, dass google nicht für jeden pc geladen werden muss) und den clients bzw den applikationen ists egal. es sei denn du gibst nur port 80, 443 etc frei...
Darf ich fragen warum ihr so eine teure FW habt? Es gibt doch open source
Off-Topic: ich brauche eine fertige anwendung für das hotspot system. es gibt eine gui applikation für die mitarbeiter, die die tickets anfertigen. zudem soll das ganze recht einfach zu handeln sein und gewartet werden vom hersteller. insofern war das gar nicht so teuer.
das mit dem transparenten proxy ist eben nicht jeder anwendung egal :/
aber wie gesagt die lösung haben wir ja im prinzip. ende des jahres ist hoffentlich auch etwas mehr bandbreite drin...
achso, also die anwendungen die wir in der firma haben, die keinen Proxy können (also ip und port eintragen) können trotzdem über den transparenten wenn die ports dort durchgeschleift werden. hatte jetzt gehofft, dass das auf deine apps auch zutrifft
die leitung ließe sich natürlich schon aufbohren, aber diese kosten lassen sich niemals mehr über den verkauf von internet tickets finanzieren. außerdem gehört internet ja fast schon zur standardausstattung eines hotels.
