Toon posts:

blokken internettoegang op netwerk

Pagina: 1
Acties:
  • 52 views sinds 30-01-2008

vrijdag 17 maart 2006 09:31

Acties:

Verwijderd

Topicstarter
Goedemorgen,

Netwerk: win 2000\2003 server, Isa 2003

Ik ben beheerder van een netwerk, alleen nu loop ik tegen het volgende probleem op.
Als er een extern iemand met een laptop komt en de netwerkkabel aansluit dan kan die persoon door de internet-wizard zo het internet op.
De clients van het netwerk lopen via een proxy. Dus zonder proxy kan men ook het internet op. Hoe kan ik dit instellen\blokkeren zodat men verplicht is door de proxy het internet te kunnen bereiken?

Alvast bedankt

vrijdag 17 maart 2006 09:34

Acties:
  • Pakjebakmeel
  • Registratie: September 2003
  • Laatst online: 25-03 23:01

Pakjebakmeel

Uhm een firewall rule opstellen die er voor zorgt dat ALLEEN de proxy server over poort 80 naar buiten mag? Iedereen die dan naar buiten wil moet via de proxy.

Normaliter force je alle clients een proxy te gebruiken dmv policy maar omdat die externe laptops niet in je domain hangen wordt dat lastig. Denk dat je moet denken aan de bovenstaande oplossing; wil je gehele toegang tot je netwerk ontzeggen (niet alleen internet) zou je moeten denken aan switches met mac adress control maar dat is een stuk bewerkelijker en administratiever.

Denk dat een firewall rule het makkelijkste is voor je.. :)
Volgens mij moet je geen gateway meegeven aan DHCP clients. Daarmee is volgens mij je probleem opgelost.
Dat kan natuurlijk ook, echter heb je dan niet de daadwerkelijke toegang geblokkeerd maar je verteld gewoon niet meer hoe je er moeten komen :p

Principekwestie; echter kan de gemiddelde ietswat van pc's afwetende gebruiker natuurlijk gewoon x.x.1.1 manual instellen in zijn ip config en dan is hij/zij er ook.. (er vanuitgaand dan je gateway 1.1 is..)

Als dit truukje bekend wordt onder je werknemers ben je alsnog de beer. Ik zou het zekere voor het onzekere nemen.

[ Voor 105% gewijzigd door Pakjebakmeel op 17-03-2006 09:40 ]

vrijdag 17 maart 2006 09:36

Acties:
  • Masch
  • Registratie: Augustus 2002
  • Laatst online: 18-04 08:14

Masch

Volgens mij moet je geen gateway meegeven aan DHCP clients. Daarmee is volgens mij je probleem opgelost.

(\__/) Ik wist totaal niet wat hier neer te zetten....
(='.'=) Dus het werd....
("")("") Een konijn!!

vrijdag 17 maart 2006 09:41

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Ik neem aan dat je een ISA2004 hebt? 2003 bestaat niet..

Je moet gewoon een rule aanmaken waarbij je aangeeft dat alleen een specificieke windows groep internettoegang heeft, en that's it.. Dan moeten je clients authenticeren tegen de proxy, of de ISA client installeren..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

vrijdag 17 maart 2006 09:41

Acties:
  • Coach4All
  • Registratie: Januari 2003
  • Laatst online: 15:58

Coach4All

I'm a Coach 4 All

Is een DENY rule op iedereen die niet in de (zelf aan te maken) security group INTERNET zit niet veel eenvoudiger?

--- Systeembeheerdersdag --- Voedselintolerantie ---

vrijdag 17 maart 2006 09:47

Acties:
  • Masch
  • Registratie: Augustus 2002
  • Laatst online: 18-04 08:14

Masch

Pakjebakmeel schreef op vrijdag 17 maart 2006 @ 09:34:
knip

Dat kan natuurlijk ook, echter heb je dan niet de daadwerkelijke toegang geblokkeerd maar je verteld gewoon niet meer hoe je er moeten komen :p

Principekwestie; echter kan de gemiddelde ietswat van pc's afwetende gebruiker natuurlijk gewoon x.x.1.1 manual instellen in zijn ip config en dan is hij/zij er ook.. (er vanuitgaand dan je gateway 1.1 is..)

Als dit truukje bekend wordt onder je werknemers ben je alsnog de beer. Ik zou het zekere voor het onzekere nemen.
Heb je helemaal gelijk in. De praktijk in mijn werksituatie is echter dat mensen bij ons geen idee hebben hoe het moet. Jou oplossing is echter wel beter, dat ben ik met je eens, er is dan namelijk geen workaround :p

(\__/) Ik wist totaal niet wat hier neer te zetten....
(='.'=) Dus het werd....
("")("") Een konijn!!

vrijdag 17 maart 2006 09:47

Acties:
  • Pakjebakmeel
  • Registratie: September 2003
  • Laatst online: 25-03 23:01

Pakjebakmeel

axis schreef op vrijdag 17 maart 2006 @ 09:41:
Ik neem aan dat je een ISA2004 hebt? 2003 bestaat niet..

Je moet gewoon een rule aanmaken waarbij je aangeeft dat alleen een specificieke windows groep internettoegang heeft, en that's it.. Dan moeten je clients authenticeren tegen de proxy, of de ISA client installeren..
uhm, dan kun je toch nog steeds gewoon direct via de gateway naar buiten of denk ik nu scheef? Als je direct via de gateway internet ga je toch helemaal buiten de proxy om?

vrijdag 17 maart 2006 09:51

Acties:

Verwijderd

Topicstarter
dank voor de vele reacties.

Ik denk zelf dat een deny rule aanmaken voor op de isa(2004 inderdaad) de beste oplossing is.
Jammergenoeg heb ik niet veel kaas gegeten van de isa, dus kunnen jullie me vertellen hoe is deze rule aanmaak(protocols, wie, vanwaar enz.)

Eerst maak ik een security group INTERNET.
vervolgens maak ik dus een nieuwe acces rule,maar verder weet ik het niet zo goed.

Bedankt alvast

[ Voor 8% gewijzigd door Verwijderd op 17-03-2006 09:53 ]

vrijdag 17 maart 2006 09:54

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 03:12

Jazzy

Moderator SSC/PB

Moooooh!

Verdiep je er anders even in, het si echt veel beter als je begrijpt wat je aan het doen bent. Je beheert namelijk wel een firewall, dus dat treft de security van het bedrijf.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 17 maart 2006 10:19

Acties:
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 20:48

Rolfie

www.isaserver.org

vrijdag 17 maart 2006 14:19

Acties:
  • axis
  • Registratie: Juni 2000
  • Laatst online: 26-01-2023

axis

Pakjebakmeel schreef op vrijdag 17 maart 2006 @ 09:47:
[...]
uhm, dan kun je toch nog steeds gewoon direct via de gateway naar buiten of denk ik nu scheef? Als je direct via de gateway internet ga je toch helemaal buiten de proxy om?
ISA2004 staat standaard redelijk dicht.. je moet een allow rule aanmaken om te kunnen internetten.. ISA2004 is een heel ander pakket dan het oude Proxy server pakket uit de vorige eeuw, is nu een full-blown application-aware firewall met veel toeters en bellen..

Als je een allow rule aanmaken voor specifieke users, en verder niets, mogen alleen geauthenticeerde users naar buiten, die zich bijv. met de client authoriseren.

In ISA is standaard al de laatste rule om alles te denien, dus je hoeft alleen maar een juiste allow rule te maken..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

vrijdag 17 maart 2006 14:37

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 03:12

Jazzy

Moderator SSC/PB

Moooooh!

axis schreef op vrijdag 17 maart 2006 @ 14:19:
[...]

In ISA is standaard al de laatste rule om alles te denien, dus je hoeft alleen maar een juiste allow rule te maken..
Klopt, en als je die rule niet juist aanmaakt zet je de hele bak wagenwijd open voor alles.

Exchange en Office 365 specialist. Mijn blog.

vrijdag 17 maart 2006 15:04

Acties:
  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 16-04 16:28

Koffie

Koffiebierbrouwer

Braaimeneer

Zie genoemde tips, me dunkt dat je daar een heel eind mee verder kan komen

Tijd voor een nieuwe sig..

Pagina: 1

Dit topic is gesloten.