[Terminal Server] Proxy oplossingen - Serversoftware en clouddiensten

dinsdag 7 maart 2006 15:41

Acties:

Verwijderd

Topicstarter

Beste tweakers,

Ik heb een probleem waar ik mee worstel sinds ik een Terminal Server omgeving beheer.

Ik zal kort de situatie schetsen:

Een X aantal gebruikers die gebruik maken van de Terminal server omgeving. Het management heeft besloten dat gebruiker A wel MP3tjes mag downloaden van site X en dat gebruiker C MS Word documenten mag downloaden van site Y. Gebruiker D mag vervolgens alleen maar html / jpeg bestanden downloaden. Ditzelfde geld voor websites met bepaalde content.

Daarnaast zijn er diverse gebruikers die bepaalde websites moeten bezoeken die niet op de standaard http / https poorten luisteren.

Bovenstaand geheel moet gescand worden op virussen. Vervolgens moeten er logs bijgehouden worden welke gebruikers welke sites bezocht hebben.

Nu zijn er legio applicaties / hardwarematige oplossingen die dit realiseren. Oa. Winroute, Netasq BlueCoat, Symantec etc etc.

Het vervelende van bovenstaande oplossingen is dat deze controleren op IP nummer. Hartstikke fijn als je gebruik maakt van Losse werkstations of MPS 4.0 maar in een pure Terminal server omgeving heb ik hier niets aan. Immers alle gebruikers op de zelfde TS communiceren via het IP nummer van de Terminal Server.

Het enige wat heb kunnen vinden is NetIQ Webmarshall, Helaas dekt dit pakket de lading niet (alleen support voor ftp, http en https)

Iemand een oplossing voor mij?

dinsdag 7 maart 2006 15:43

Acties:

Coach4All

I'm a Coach 4 All

Yep, GFI webmonitor 3 op ISA 2000/2004.

--- Systeembeheerdersdag --- Voedselintolerantie ---

dinsdag 7 maart 2006 15:59

Acties:

Verwijderd

websecurity van mcafee op isa2004.

met isa kan je alle regels definieren die je wilt op gebruikersnaam, websecurity zorgt voor virusscanning.

dinsdag 7 maart 2006 16:09

Acties:

Verwijderd

Topicstarter

Coach4All schreef op dinsdag 07 maart 2006 @ 15:43:
Yep, GFI webmonitor 3 op ISA 2000/2004.

Ik zie 2x ISA server voorbij komen. maakt ISA server dan gebruik van de firewall client om onderscheid te maken tussen de verschillende gebruikers die op dezelfde Terminal Server ingelogd zijn?

[ Voor 8% gewijzigd door Verwijderd op 07-03-2006 16:09 ]

dinsdag 7 maart 2006 16:19

Acties:

WhizzCat

www.lichtsignaal.nl

Verwijderd schreef op dinsdag 07 maart 2006 @ 16:09:
[...]

Ik zie 2x ISA server voorbij komen. maakt ISA server dan gebruik van de firewall client om onderscheid te maken tussen de verschillende gebruikers die op dezelfde Terminal Server ingelogd zijn?

Jja want je ISA hang je gewoon in het domein en is gekoppeld aan je AD. Daarop kan je aangeven wie wat waar wanneer waarheen en hoe mag

Gezocht: netwerkbeheerder
Als je het niet aan een 6-jarige kan uitleggen, snap je er zelf ook niks van! - A. Einstein

dinsdag 7 maart 2006 16:33

Acties:

Verwijderd

Topicstarter

WhizzCat schreef op dinsdag 07 maart 2006 @ 16:19:
[...]

Jja want je ISA hang je gewoon in het domein en is gekoppeld aan je AD. Daarop kan je aangeven wie wat waar wanneer waarheen en hoe mag

I Know, de oplossingen in mijn start post doen dit ook.
Vervolgens vervangen ze de Windows NT gebruikersnaam door het IP nummer wat aan dat werkstation hangt.In een Terminal server omgeving is dit dus geen oplossing. De eerst aangemelde gebruiker op de betreffende TS bepaald direct wat de overige gebruikers aan "internet rechten" hebben.

dinsdag 7 maart 2006 16:44

Acties:

sh4d0wman

Attack | Exploit | Pwn

Wij hebben hier Webmarshal van NetIQ voor webfiltering. Gebruikers werken onder Citrix/TS en dat geeft geen probleem. Webmarshal is bij ons ingesteld op AD groepen/gebruikers. Via het opzetten van diverse policies filteren wij wat gebruikers kunnen zien en downloaden. Meer info:
http://www.marshal.com/webmarshal.html

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

dinsdag 7 maart 2006 16:49

Acties:

sanfranjake

Computers can do that?

Bij ISA Server kan je per user/groep aangeven welke protocollen (ook met evt filters voor bepaalde content) ze vanaf welke computers naar welke computers ze mogen gebruiken. Ik ben niet echt heel erg goed bekend met andere oplossingen, maar het lijkt me sterk dat er geen andere zijn die user-authentication aankunnen.
Je kan de firewall client gebruiken op de ts, en zo configureren dat iedereen standaard de goede server gebruikt

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 7 maart 2006 17:15

Acties:

Verwijderd

Topicstarter

sh4d0wman schreef op dinsdag 07 maart 2006 @ 16:44:
Wij hebben hier Webmarshal van NetIQ voor webfiltering. Gebruikers werken onder Citrix/TS en dat geeft geen probleem. Webmarshal is bij ons ingesteld op AD groepen/gebruikers. Via het opzetten van diverse policies filteren wij wat gebruikers kunnen zien en downloaden. Meer info:
http://www.marshal.com/webmarshal.html

Momenteel gebruiken wij Webmarshal ook echter dekt dit de lading niet meer.

Ben nu de 120 dagen trial van ISA 2004 aan het downloaden. Hiermee ga ik eens aan de slag.

dinsdag 7 maart 2006 17:37

Acties:

Zwelgje

Verwijderd schreef op dinsdag 07 maart 2006 @ 16:33:
[...]

I Know, de oplossingen in mijn start post doen dit ook.
Vervolgens vervangen ze de Windows NT gebruikersnaam door het IP nummer wat aan dat werkstation hangt.In een Terminal server omgeving is dit dus geen oplossing. De eerst aangemelde gebruiker op de betreffende TS bepaald direct wat de overige gebruikers aan "internet rechten" hebben.

ISA doet dit dus niet

als je de firewall client installeerd gebruikt hij netjes je ntaccount om je te verifieren (ook in een ts/citrix omgeving)

isa = $_/-\o_$

A wise man's life is based around fuck you

dinsdag 7 maart 2006 19:50

Acties:

Verwijderd

Waarom niet gewoon een aparte PC/Machine met IPCOP ? Lekker gratis én goed, werkt samen met LDAP en/of RADIUS, dus meer dan voldoende voor jouw doeleinden lijkt me ...

Grtz,
Thanis

dinsdag 7 maart 2006 20:12

Acties:

mutsje

Certified Prutser

Je kunt er gewoon een isa server tussen zetten en de firewallclient op de terminal server uitrollen. Authenication zal tussen user of group op isa niveau bekeken worden wat je wel en niet mag. Dit werkt zoals Zwelgje al gemeld had gewoon. Toch lekker Microsoft producten die fijn samenwerken he

dinsdag 7 maart 2006 23:11

Acties:

Verwijderd

Topicstarter

Zwelgje schreef op dinsdag 07 maart 2006 @ 17:37:
[...]

ISA doet dit dus niet

als je de firewall client installeerd gebruikt hij netjes je ntaccount om je te verifieren (ook in een ts/citrix omgeving)

isa = $_/-\o_$

Dit klinkt hoopvol

woensdag 8 maart 2006 15:01

Acties:

elevator

Officieel moto fan :)

Squid met de NTLM authenticatie module in combinatie met bv. squidGuard kan dit ook al - deze zal transparent van IE de user credentials doorkrijgen (of er om prompten) en je kan via squidGuard dan ACL's hangen aan black/white-lists

woensdag 8 maart 2006 18:06

Acties:

Zwelgje

elevator schreef op woensdag 08 maart 2006 @ 15:01:
Squid met de NTLM authenticatie module in combinatie met bv. squidGuard kan dit ook al - deze zal transparent van IE de user credentials doorkrijgen (of er om prompten) en je kan via squidGuard dan ACL's hangen aan black/white-lists

doet squid niet alleen http/ftp

corrigeer me als ik ernaast zit (graag zelfs), dan ga ik squid ook weer wat actiever gebruiken

+ squid transparant werkt alleen op linux/unix en niet op NT (squid zelf wel, maar de transparant optie niet)

A wise man's life is based around fuck you

donderdag 9 maart 2006 13:52

Acties:

elevator

Officieel moto fan :)

Zwelgje schreef op woensdag 08 maart 2006 @ 18:06:
doet squid niet alleen http/ftp

Ja, maar er wordt ook niet meer gevraagd volgens mij?

donderdag 9 maart 2006 15:53

Acties:

Zwelgje

elevator schreef op donderdag 09 maart 2006 @ 13:52:
[...]

Ja, maar er wordt ook niet meer gevraagd volgens mij?

Het enige wat heb kunnen vinden is NetIQ Webmarshall, Helaas dekt dit pakket de lading niet (alleen support voor ftp, http en https)

ow

A wise man's life is based around fuck you