|
| Kontrolere adgang til nettet Fra : Bo Ramsing |
Dato : 24-11-03 10:31 |
|
Hej,
jeg har læst en del indlæg på nettet, men har ikke fundet det rigtige
endnu. Jeg har en stor gruppe af maskiner. Disse er alle sat op med
TCP/IP. Nogle gange har jeg behov for at kunne forbyde enkelte af dem
adgangen til Internettet, men IKKE til det lokale net. Jeg har set
løsninger der var mulige, men meget besværlige. Er der nogen her der
har et genialt forslag? Måske noget software hvor man centralt kan
tildele rettigheder?
Mvh
Bo
| |
Kasper Dupont (24-11-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 24-11-03 10:45 |
|
Bo Ramsing wrote:
>
> Hej,
> jeg har læst en del indlæg på nettet, men har ikke fundet det rigtige
> endnu. Jeg har en stor gruppe af maskiner. Disse er alle sat op med
> TCP/IP. Nogle gange har jeg behov for at kunne forbyde enkelte af dem
> adgangen til Internettet, men IKKE til det lokale net. Jeg har set
> løsninger der var mulige, men meget besværlige. Er der nogen her der
> har et genialt forslag? Måske noget software hvor man centralt kan
> tildele rettigheder?
Det bliver svært at lave en sikker løsning, da en maskine kan spoofe
en anden maskines MAC og IP adresse. Hvis du ikke bekymrer dig om
spoofing, og blot ønsker en løsning, der fungerer, så længe ingen
spoofer adresser, så kan du nøjes med filtrering i din gateway. Det
kunne f.eks. gøres ved at bruge en Linux maskine med iptables som
gateway, men der er mange andre muligheder.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Platte Povl (24-11-2003)
| Kommentar Fra : Platte Povl |
Dato : 24-11-03 13:12 |
|
Kasper Dupont wrote:
> Bo Ramsing wrote:
>
>>Hej,
>>jeg har læst en del indlæg på nettet, men har ikke fundet det rigtige
>>endnu. Jeg har en stor gruppe af maskiner. Disse er alle sat op med
>>TCP/IP. Nogle gange har jeg behov for at kunne forbyde enkelte af dem
>>adgangen til Internettet, men IKKE til det lokale net. Jeg har set
>>løsninger der var mulige, men meget besværlige. Er der nogen her der
>>har et genialt forslag? Måske noget software hvor man centralt kan
>>tildele rettigheder?
>
>
> Det bliver svært at lave en sikker løsning, da en maskine kan spoofe
> en anden maskines MAC og IP adresse. Hvis du ikke bekymrer dig om
> spoofing, og blot ønsker en løsning, der fungerer, så længe ingen
> spoofer adresser, så kan du nøjes med filtrering i din gateway. Det
> kunne f.eks. gøres ved at bruge en Linux maskine med iptables som
> gateway, men der er mange andre muligheder.
>
det kræver administrator privilegier at ændre mac- og ip-addresse på min
maskine. ved ikke med win2000/xp mht. mac men jeg forestiller mig at
det er det samme der. under alle omstændigheder er det 'sværeste' at
ændre mac- for at omgå dine filtre.. så måske en filtrering på
mac-addresser i gatewayen var en idé.
du må meget gerne fortælle hvad du finder på..
VH
| |
Kasper Dupont (24-11-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 24-11-03 13:59 |
|
Platte Povl wrote:
>
> det kræver administrator privilegier at ændre mac- og ip-addresse på min
> maskine. ved ikke med win2000/xp mht. mac men jeg forestiller mig at
> det er det samme der.
Det burde kræve administrator rettigheder på de
fleste systemer.
> under alle omstændigheder er det 'sværeste' at
> ændre mac- for at omgå dine filtre.. så måske en filtrering på
> mac-addresser i gatewayen var en idé.
Det er jo kun svært indtil man finder ud af,
hvordan det gøres.
Hvis man vil sikre sig mod brugere som ændrer
deres MAC adresse for at slippe udenom filtret,
kræver det nok at man laver filtreringen i sin
switch, så specifikke fysiske porte på switchen
ikke kan kommunikere med internettet. Eventuelt
sætter man en gang for alle filtrering i
switchen, så hver port kun kan sende pakker med
korrekt source MAC og efterfølgende kan man så
filtrere på MAC i sin gateway. Det kræver nok
en highend switch, hvis man vil bruge denne
løsning.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */
| |
Jesper Louis Anderse~ (24-11-2003)
| Kommentar Fra : Jesper Louis Anderse~ |
Dato : 24-11-03 20:21 |
|
On Mon, 24 Nov 2003 13:59:29 +0100, Kasper Dupont <kasperd@daimi.au.dk> wrote:
> Hvis man vil sikre sig mod brugere som ændrer
> deres MAC adresse for at slippe udenom filtret,
> kræver det nok at man laver filtreringen i sin
> switch, så specifikke fysiske porte på switchen
> ikke kan kommunikere med internettet. Eventuelt
> sætter man en gang for alle filtrering i
> switchen, så hver port kun kan sende pakker med
> korrekt source MAC og efterfølgende kan man så
> filtrere på MAC i sin gateway. Det kræver nok
> en highend switch, hvis man vil bruge denne
> løsning.
Portlocking i switche er en god ting :)
--
Jesper
| |
Platte Povl (24-11-2003)
| Kommentar Fra : Platte Povl |
Dato : 24-11-03 22:25 |
|
Kasper Dupont wrote:
> Platte Povl wrote:
>
>>det kræver administrator privilegier at ændre mac- og ip-addresse på min
>>maskine. ved ikke med win2000/xp mht. mac men jeg forestiller mig at
>>det er det samme der.
>
>
> Det burde kræve administrator rettigheder på de
> fleste systemer.
>
>
>>under alle omstændigheder er det 'sværeste' at
>>ændre mac- for at omgå dine filtre.. så måske en filtrering på
>>mac-addresser i gatewayen var en idé.
>
>
> Det er jo kun svært indtil man finder ud af,
> hvordan det gøres.
>
> Hvis man vil sikre sig mod brugere som ændrer
> deres MAC adresse for at slippe udenom filtret,
> kræver det nok at man laver filtreringen i sin
> switch, så specifikke fysiske porte på switchen
> ikke kan kommunikere med internettet. Eventuelt
> sætter man en gang for alle filtrering i
> switchen, så hver port kun kan sende pakker med
> korrekt source MAC og efterfølgende kan man så
> filtrere på MAC i sin gateway. Det kræver nok
> en highend switch, hvis man vil bruge denne
> løsning.
>
manden kan vel vurdere om der er nogen af hans brugere der, selvom de
har administrator privilegier, kan omgå et mac-filter. især hvis han
ikke fortæller vidt og bredt om det..
| |
Rasmus Bøg Hansen (24-11-2003)
| Kommentar Fra : Rasmus Bøg Hansen |
Dato : 24-11-03 22:28 |
|
Platte Povl <p_povl@fatter-intet.dk> writes:
> manden kan vel vurdere om der er nogen af hans brugere der, selvom de
> har administrator privilegier, kan omgå et mac-filter. især hvis han
> ikke fortæller vidt og bredt om det..
Det kan være ret svært at overskue, om nogen af ens brugere har den
nødvendige viden, hvis man har mere end en lille håndfuld brugere.
/Rasmus
--
-- [ Rasmus "Møffe" Bøg Hansen ] ---------------------------------------
It ain't possible for a dumb to sing no matter how good his
dice rolls are!
-- SmurfQuest rules
----------------------------------[ moffe at amagerkollegiet dot dk ] --
| |
Platte Povl (24-11-2003)
| Kommentar Fra : Platte Povl |
Dato : 24-11-03 22:38 |
|
Rasmus Bøg Hansen wrote:
> Platte Povl <p_povl@fatter-intet.dk> writes:
>
>
>>manden kan vel vurdere om der er nogen af hans brugere der, selvom de
>>har administrator privilegier, kan omgå et mac-filter. især hvis han
>>ikke fortæller vidt og bredt om det..
>
>
> Det kan være ret svært at overskue, om nogen af ens brugere har den
> nødvendige viden, hvis man har mere end en lille håndfuld brugere.
>
> /Rasmus
>
joo.. men jeg ville nu alligevel mene at det ville være nok ( og billigt
). ihvertfald til at begynde med.. købet af en så dyr switch, der
muligvis er overkill - det ville være et spild.
| |
Platte Povl (24-11-2003)
| Kommentar Fra : Platte Povl |
Dato : 24-11-03 13:23 |
|
Bo Ramsing wrote:
> Hej,
> jeg har læst en del indlæg på nettet, men har ikke fundet det rigtige
> endnu. Jeg har en stor gruppe af maskiner. Disse er alle sat op med
> TCP/IP. Nogle gange har jeg behov for at kunne forbyde enkelte af dem
> adgangen til Internettet, men IKKE til det lokale net. Jeg har set
> løsninger der var mulige, men meget besværlige. Er der nogen her der
> har et genialt forslag? Måske noget software hvor man centralt kan
> tildele rettigheder?
>
> Mvh
> Bo
det kræver administrator privilegier at ændre mac- og ip-addresse på min
maskine. ved ikke med win2000/xp mht. mac men jeg forestiller mig at
det er det samme der. under alle omstændigheder er det 'sværeste' at
ændre mac- for at omgå dine filtre.. så måske en filtrering på
mac-addresser i gatewayen var en idé.
du må meget gerne fortælle hvad du finder på..
VH
ps. kom til at svare på Kasper Dupont's indlæg ved en fejl.
| |
Bo Ramsing (25-11-2003)
| Kommentar Fra : Bo Ramsing |
Dato : 25-11-03 10:03 |
|
Hej,
og tak for de mange svar. Der er ingen af mine brugere der har så
store evner. Det drejer sig såmænd om 8. og 9. klasses elever til
terminsprøven. Indtil nu har vi måtte slukke for Internettet når der
skal skrives stil til prøver. Eleverne har dog stadig brug for adgang
til det lokale net for at kunne printe.
Det har indtil nu betydet at resten af skolen i det tidsrum ikke kan
benytte nettet. Måske kan det her stillede forslag ændre ved dette.
Mvh
Bo Ramsing
| |
Christian E. Lysel (25-11-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 25-11-03 11:28 |
|
In article <e2f7c780.0311250103.323647f1@posting.google.com>, Bo Ramsing wrote:
> store evner. Det drejer sig såmænd om 8. og 9. klasses elever til
> terminsprøven. Indtil nu har vi måtte slukke for Internettet når der
> skal skrives stil til prøver. Eleverne har dog stadig brug for adgang
> til det lokale net for at kunne printe.
Er i en af den slags skoler hvor lokalnettet er direkte forbundet med
Internet, dvs. med offentlige IP adresser.
> Det har indtil nu betydet at resten af skolen i det tidsrum ikke kan
> benytte nettet. Måske kan det her stillede forslag ændre ved dette.
Har du mulighed for at bruge VLAN?
| |
Bo Ramsing (26-11-2003)
| Kommentar Fra : Bo Ramsing |
Dato : 26-11-03 07:46 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message news:<slrnbs6bm7.4ep.chel@weebo.dmz.spindelnet.dk>...
> In article <e2f7c780.0311250103.323647f1@posting.google.com>, Bo Ramsing wrote:
> > store evner. Det drejer sig såmænd om 8. og 9. klasses elever til
> > terminsprøven. Indtil nu har vi måtte slukke for Internettet når der
> > skal skrives stil til prøver. Eleverne har dog stadig brug for adgang
> > til det lokale net for at kunne printe.
>
> Er i en af den slags skoler hvor lokalnettet er direkte forbundet med
> Internet, dvs. med offentlige IP adresser.
Ja, vi har fået tildelt en pakke ip-adr. som vores server (der har
fast ip) tildeler efter behov. De enkelte maskiner arbejder altså med
dynamiske adresser.
>
> > Det har indtil nu betydet at resten af skolen i det tidsrum ikke kan
> > benytte nettet. Måske kan det her stillede forslag ændre ved dette.
>
> Har du mulighed for at bruge VLAN?
Måske - det er ikke noget jeg har nogen erfaring med - men hvis det er
en mulighed, så er det da noget jeg kan lærer.
Efter mit første indlæg er der forøvrigt kommet mere til. Der er nu
ønske om at man kan slukke for enkelte maskiner hurtigt og nemt
(trykke på en knap) når dansklæreren ønsker at kunne sende elever til
EDB-lok for at skrive eventyr -- og kun det, mens geografilæreren
timen efter ønsker, at eleverne skal indhente info om forholdene på
Juleøen om sommeren; ... osv...
Dette kan vel kun efterkommes hvis det er et stykke software der
styrer adgangen?
Jeg er stadig taknemmelig alt indput der bringer mig nærmere målet.
Mvh
Bo Ramsing
| |
Christian E. Lysel (26-11-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 26-11-03 08:38 |
|
In article <e2f7c780.0311252246.32bff6c4@posting.google.com>, Bo Ramsing wrote:
>> Er i en af den slags skoler hvor lokalnettet er direkte forbundet med
>> Internet, dvs. med offentlige IP adresser.
>
> Ja, vi har fået tildelt en pakke ip-adr. som vores server (der har
> fast ip) tildeler efter behov. De enkelte maskiner arbejder altså med
> dynamiske adresser.
Er disse adresser offentlige?
Er der en firewall til at segmentere jeres Internet og Internet?
Jeg har set flere skoler, hvor alle maskiner var tilgændelige fra
Internet. Herfra kunne man ændre opsætningen af switchen, printere og
servere..da disse brugte standard password. Endvidere var
det installeret troj'er på klienterne af system administratoren.
Det medførte desværrer at en af deres elever blev anklaget for nogle
forhold de på inden måde kunne bevise.
Jeg ville nok starte med at segmentere Jeres net, hvis
det ikke er tilfældet idag.
>> Har du mulighed for at bruge VLAN?
>
> Måske - det er ikke noget jeg har nogen erfaring med - men hvis det er
> en mulighed, så er det da noget jeg kan lærer.
Vi have en gammel hp switch med en 100Mbit port til serveren og
8x10Mbit porte til lokalerne, på et af mine første jobs på en handelsskole.
På denne, kunne vi logge ind og fjerne internet porten for et
klasselokale...det kræver dog at man ved hvilke porte der er
hvilke lokaler...vi have en coax tråd til hvert lokale, med en coax
converter i hver port på switchen, så det var nemt at overskue for os.
> Efter mit første indlæg er der forøvrigt kommet mere til. Der er nu
> ønske om at man kan slukke for enkelte maskiner hurtigt og nemt
> (trykke på en knap) når dansklæreren ønsker at kunne sende elever til
> EDB-lok for at skrive eventyr -- og kun det, mens geografilæreren
> timen efter ønsker, at eleverne skal indhente info om forholdene på
> Juleøen om sommeren; ... osv...
Vi havde et stor strøm håndtag i hvert lokale, man kunne afbryde strømmen
på, hvis eleverne ikke havde ens opmærksomhed.
Dit ønske er dog mere specifikt.
Vores Novell server software og klienter, tillod os at styrer hvilke
programmer brugerne kunne bruge i hvilket tidsrum. Hvis vi havde
for få licenser til en given software, kunne dette også styres
så ikke mere end fx 20 samtidige brugere kunne kører programmet.
> Dette kan vel kun efterkommes hvis det er et stykke software der
> styrer adgangen?
Denne adgang kunne vi senere styre i en Novell firewall, hvor
adgang kunne styres på lokale-, pc-, brugergruppe- og brugerniveua.
Vi købte en Novell licens for en slik...da der er mange der konvertere
væk. Herefter gik vi i gang med at installere i produktionsmiljøet, hvilket
jeg protosterede imod, da vi jo ikke kunne vide om deres marketingmatriale
levede op til forventningerne eller ej. Det virker altid at virker
i første forsøg.
> Jeg er stadig taknemmelig alt indput der bringer mig nærmere målet.
>
> Mvh
> Bo Ramsing
| |
|
|