[WIN2000 SERVER] webmail blokkeren

Hoe ga je het Internet op? ISA server, of een andere firewall?

Wat heb je oa zelf al gedaan of geprobeerd? Waar heb je al op gezocht op bv google?

Er zijn diverse mogelijkheden, maar dan hebben we toch meer info nodig van jouw netwerk.

Een duidelijk antwoord: Ja, dat kan.

Maar omdat je een beetje heel weinig info heeft over hoe jou situatie is, kan ik hier ook niet meer zeggen over het hoe.

Je kan dan toch gewoon internet ristricties instellen Ook als je via een ISA server werkt kan je het allemaal blokeren natuurlijk. Of wat je ook kan doen is werken via een proxy en allemaal webmail site's blokeren.

Verwijderd schreef op maandag 11 april 2005 @ 08:57:
We hebben hier een internet verbinding die priority telecom, deze hebben de router geleverd en beheren deze.
Een echte firewall zit er niet tussen.
Het egine waar ik wat instellingen kan doen is de DHCP server.

Op google heb misschien wel de verkeerde termen gebruikt..
Ik heb het geprobeerd met kreten als; webmail blokeren group policy ect...

Wat voor firewall zou ik er het beste tussen kunnen zetten (max 25 users)

Aangezien webmail ook via poort 80 gaat zul je aan een normale firewall niks hebben. Je moet de aanvraag www.hotmail.com van een gebruiker onderscheppen, stoppen of redirecten. Dit kan op verschillende manieren. Een manier wat ik kan voorstellen is de hosts file per pc aanpassen, maar als ze daar achter komen is het simpel omgezet (als je gebruiker als admin is ingelogd tenminste geloof ik).

een linux bak met ipchains of iptables werkt prima om dit soort dingen te stoppen. Alleen in de praktijk zal dit vrij lastig worden omdat er ondertussen zoveel verschillende gratis mail providers zijn (en iemand met een beetje kennis zal zelfs op php enabled webservers een eigen webmail app kunnen bouwen) dat het bijna een dagtaak wordt om dit soort dingen van het netwerk te houden.

Wat je beter kan doen is bijhouden wie er waar naar internet surft en dit rapporteren richting management indien dit gevraagd wordt. Als men van deze richtlijn ook een kennisgeving richting de medewerkers van het bedrijf stuurt is dit vrijwel net zo effectief als preventie (iemand laat het wel om extreem veel privezaken te regelen op het werk als ze weten dat ze in de gaten worden gehouden en er eventueel maatregelen genomen zullen worden)

[ Voor 76% gewijzigd door mindcrash op 11-04-2005 09:09 ]

Zonder een firewall gaat het moeilijk. Je moet nu namelijk alles met de hand bijhouden, en geloof me dat is niet te doen. Immers je kan dit soort websites op diverse mannieren benaderen.

Wat je zou kunnen doen is, je Windows 2003 server als default gateway te gaan gebruiken en hierop een route aan maken voor de webmail url's. Maar dit is iets wat je zelf moet beheren. Ook de meeste Firewalls of of proxy server moet je dan met de hand gaan bij houden. Dit is niet te doen. Als je dit echt goed wilt doen, dan moet je toch een proxy server applicatie aanschaffen en eventueel een applicatie die het zelf bij houd. Er bestaan ook applicaties die het eventueel zonder proxy server kunnen surf contol. Maar reken al gouw op een €1000 voor dit soort applicaties.

mindcrash schreef op maandag 11 april 2005 @ 09:01:
Firewall is nergens voor nodig als je alleen access naar OWA of een ander webmail produkt wil blokkeren, kijk maar eens naar de Security instellingen van IIS en dan met name de inhoud van "IP address and domain name restrictions".

Hij wil juist de hotmail enz enz websites blokkeren, en niet zijn eigen webserver. Hij zal dus toch iets van een firewall/proxy product moeten gebruiken.

[ Voor 24% gewijzigd door Rolfie op 11-04-2005 09:06 ]

Rolfie schreef op maandag 11 april 2005 @ 09:04:
Hij wil juist de hotmail enz enz websites blokkeren, en niet zijn eigen webserver. Hij zal dus toch iets van een firewall/proxy product moeten gebruiken.

Ja, weet ik... las de vraag verkeerd (het is nog vroeg en ik ben nog niet aangekomen aan m'n bak koffie ) - zie ook m'n gewijzigde reply

je wilt zeggen dat je je bedrijfsnetwerk op het internet heb aangesloten zonder dat je er echt een firewall tussen heb zitten, dus geen beveiliging?
zou ik toch eerst een firewall tussenzetten alleen al voor de beveiliging naar binnen toe.....

de toegangsrestrictie is het makkelijkste te regelen via proxyserver waar je specifieke websites kan blokkeren
als je IP ranges gaat blokkeren komen waarschijnlijk ook andere sites die je niet wilt blokkeren toch in de blokkering....
volgens mij gebeurt dat bv als je de iprange van MSN messenger blokkeert, dan kom je technet niet meer op geloof ik (zoiets kan ik me herinneren)

Verwijderd schreef op maandag 11 april 2005 @ 09:12:
Kun je iets in elkaar knutselen met het stuk routing en remote acces?
Of is dit alleen bedoeld voor inkomende aanvragen?

Dit stuk is op onze server niet geconfigureerd...

RRAS is inderdaad een mogelijkheid, maar eigenlijk niet te doen. Je moet namelijk per webmail website IP adres een route aan maken. Dit gaan er een hoop worden. Ik weet ook niet of dit performance technisch dan een probleem gaat worden. Immers je moet een hoop routes gaan aanmaken.

En het is dan nog steeds mogelijk dat je gebruikers die kunnen omzeilen. Als zal de standaard gebruiker dit niet lukken.

Move PNS > NT

Niet lullig bedoeld, maar voor iemand die zoiets moet beheren vind ik het schrikbarend dat je niet weet hoe je verkeer loopt en hoe je bepaalde traffic moet blokken.

Mijn advies : mik er een ISA doos tussen.

Zoals als gezegd is een ISA server ertussen een oplossing.
Er zullen ook wel open source alternatieven zijn maar ik weet niet of dat een optie is? En als het bedrijf wil dat jij als systeembeheerder dingen beheert en jij hebt nog niet genoeg kennis moeten ze je de kans geven de benodigde kennis op te doen lijkt mij. Vraag eens even of je een cursus isa 2004 mag doen of zo. Ik moet wel zeggen dat enige voorkennis van windows 2000 (server) wel gemakkelijk is.
Zowiezo is een ISA server of iets vergelijkbaars wel aan te raden als je je bedrijf aan internet hebt hangen.

Hoe wil je dan echte prive webmail blokkeren? Kijk gmail, hotmail etc is natuurlijk makkelijk. Maar ik draai bijvoorbeeld een webmail op mijn thuisserver. Dus dan zou je ook alle ranges van alle providers moeten blokkeren. En wat dan als iemand webmail heeft van een domein van een hostingprovider?
Wat ik eigenlijk wil zeggen: dit hou je waarschijnlijk toch niet tegen...

We hebben hier een internet verbinding die priority telecom, deze hebben de router geleverd en beheren deze. Een echte firewall zit er niet tussen.

Ik neem aan dat priority de router wel redelijk geconfigureerd heeft, anders is er iets goed mis met jullie contract .

Verder moet je echt op zoek naar een proxy oplossing, isa of als je echt te weinig kennis van zaken hebt zou je ook eens kunnen spelen met bv. winroute/web filter. Vergeet echter niet dat je het beste eerst zelf kunt testen op een omgeving los van de productieomgeving!