Bloccare internet Pc in Dominio

[menteperversa]

Non so più dove sbattere la testa...

Ho bisogno di bloccare internet ad un pc, collegato alla Lan in un dominio.
L'utente si connette come user.

Ho provato ad utilizzare l'utility AppLocker per bloccare l'esecuzione di IE, firefox, opera, e compagnia bella. Fin qua tutto ok, provo ad aprire uno di questi browser e il programma li blocca correttamente.

Pensavo d'essere a posto ed invece mi riferiscono che qualcuno con quel computer in internet ci va ancora...

Che posso fare? Esiste qualche utility?

[Teo@Unix]

ci sono molti modi per farlo...

se sei in un dominio puoi creare un nuovo gruppo,

crei un nuovo modello amministrativo (policy)

applichi al gruppo la nuova policy

inserisci nel gruppo i pc che vuoi bloccare

a questo punto con gpedit.msc vai a personalizzare la policy appena creata, ci sono molte limitazioni che puoi settare sulla navigazione. Prova a dare un occhio, così a memoria non ricordo se c'è il blocco totale della navigazione... ma per esempio puoi mettere il blocco defualt verso tutti i siti a parte quelli che vuoi tu.

[Teo@Unix]

...
ecco... ciò che puoi settare nella policy:

Configurazione Utente > Modelli Amministrativi > Sistema: Non eseguire le applicazioni windows specificate: e setti "iexplorer.exe"

naturalmente se internet explorer è utilizzato anche per navigazione in intranet questa soluzione non va bene.

[clockover]

Quote:

Originariamente inviato da menteperversa

Non so più dove sbattere la testa...

Ho bisogno di bloccare internet ad un pc, collegato alla Lan in un dominio.
L'utente si connette come user.

Ho provato ad utilizzare l'utility AppLocker per bloccare l'esecuzione di IE, firefox, opera, e compagnia bella. Fin qua tutto ok, provo ad aprire uno di questi browser e il programma li blocca correttamente.

Pensavo d'essere a posto ed invece mi riferiscono che qualcuno con quel computer in internet ci va ancora...

Che posso fare? Esiste qualche utility?

Se sei in una LAN e hai accesso al router puoi bloccare l'accesso alla rete per un (o più di uno) indirizzi MAC! Certo non è il top perchè l'indirizzo MAC si può sempre sostituire via software!

Per modificare l'indirizzo MAC comunque devi avere i privilegi di root sotto Linux, non so con Windows come si fa comunqe! Perchè se la macchina da bloccare ha un accesso limitato allora puoi bloccarlo semplicemente con il MAC address!

[Teo@Unix]

Quote:

Se sei in una LAN e hai accesso al router puoi bloccare l'accesso alla rete per un (o più di uno) indirizzi MAC!

si, dato che si tratta di un solo pc, così mi pare più agile ancora.

Quote:

Certo non è il top perchè l'indirizzo MAC si può sempre sostituire via software!

.. bè bisogna vedere anche le capacità dell'utente... se si tratta dell'impiegato medio non credo corriamo un gran rischio ... però tu dici .. non si sa mai ...

[clockover]

C'è un piccolo hacker in ognuno di noi.... anche se non lo sappiamo

[nightfly]

Quote:

Originariamente inviato da clockover

C'è un piccolo hacker in ognuno di noi.... anche se non lo sappiamo

Uhm secondo me è sbagliato lavorare a livello Application, piuttosto si dovrebbe assegnare al PC dell'utente un IP fisso e con opportuni permessi impedirne la modifica. A questo punto si potrebbe filtrare il traffico verso Internet mediante una semplice ACL sul router. Così facendo in 3 step hai praticamente risolto il problema. Ciao.

[clockover]

Quote:

Originariamente inviato da nightfly

Uhm secondo me è sbagliato lavorare a livello Application, piuttosto si dovrebbe assegnare al PC dell'utente un IP fisso e con opportuni permessi impedirne la modifica. A questo punto si potrebbe filtrare il traffico verso Internet mediante una semplice ACL sul router. Così facendo in 3 step hai praticamente risolto il problema. Ciao.

Diciamo che comunque dovrai far evitare quell'indirizzo al dhcp del router (ovviamente se è configurato per fare da server dhcp)! Ma senza sfiorare minimamente il pc utente, bloccare il MAC address dal router non sarebbe molto più veloce?
Poi comunque come ho già detto prima dipende a chi si vuol bloccare internet! Più che altro al grado di conoscenza che ha e da che strumenti ha a disposizione! E' ovvio che uno si può inventare tutte le robe che vuole ma se è una persona in gamba e preparata e gli metti davanti un Linux con password di root....

[Alfonso78]

prova K9 Web Protection

http://www1.k9webprotection.com/

[>|HaRRyFocKer|]

Quote:

Originariamente inviato da nightfly

Uhm secondo me è sbagliato lavorare a livello Application, piuttosto si dovrebbe assegnare al PC dell'utente un IP fisso e con opportuni permessi impedirne la modifica. A questo punto si potrebbe filtrare il traffico verso Internet mediante una semplice ACL sul router. Così facendo in 3 step hai praticamente risolto il problema. Ciao.

Quoto, il problema si dovrebbe risolvere sempre a livello più basso possibile...

[nightfly]

Quote:

Originariamente inviato da clockover

Diciamo che comunque dovrai far evitare quell'indirizzo al dhcp del router (ovviamente se è configurato per fare da server dhcp)! Ma senza sfiorare minimamente il pc utente, bloccare il MAC address dal router non sarebbe molto più veloce?
Poi comunque come ho già detto prima dipende a chi si vuol bloccare internet! Più che altro al grado di conoscenza che ha e da che strumenti ha a disposizione! E' ovvio che uno si può inventare tutte le robe che vuole ma se è una persona in gamba e preparata e gli metti davanti un Linux con password di root....

Il blocco sul MAC address è facilmente aggirabile mediante uno spoofing.

[clockover]

Quote:

Originariamente inviato da nightfly

Il blocco sul MAC address è facilmente aggirabile mediante uno spoofing.

Possiamo "spoofare" anche a livello IP, per questo dicevo bisogna vedere i casi! Che bisogno c'è affannarsi tanto quando magari sul nostro bel router possiamo spuntare una casella e far morire di disperazione il nostro caro "bannato dalla rete" che a malapena sa inserire una password sulla sua casella di posta!
Si può fare impazzire una persona poco esperta semplicemente settandogli un IP fisso e non mettendogli il DNS

[nightfly]

Quote:

Originariamente inviato da clockover

Possiamo "spoofare" anche a livello IP, per questo dicevo bisogna vedere i casi! Che bisogno c'è affannarsi tanto quando magari sul nostro bel router possiamo spuntare una casella e far morire di disperazione il nostro caro "bannato dalla rete" che a malapena sa inserire una password sulla sua casella di posta!
Si può fare impazzire una persona poco esperta semplicemente settandogli un IP fisso e non mettendogli il DNS

L'IP spoofing non è banale nè tanto meno immediato come lo può essere un MAC spoofing.

[clockover]

Quote:

Originariamente inviato da nightfly

L'IP spoofing non è banale nè tanto meno immediato come lo può essere un MAC spoofing.

Non ci sono dubbi su questa cosa! Infatti, anche se non era la soluzione proposta da me in questo caso, di solito è molto meglio una lista di MAC address di autorizzati che di negati!

Quote:

Originariamente inviato da nightfly

Uhm secondo me è sbagliato lavorare a livello Application

non siamo a livello applicativo con il MAC address

Quote:

Originariamente inviato da nightfly

con opportuni permessi impedirne la modifica

con questi opportuni permessi impediresti anche la modifica del mac address!

[clockover]

Quote:

Originariamente inviato da >|HaRRyFocKer|

Quoto, il problema si dovrebbe risolvere sempre a livello più basso possibile...

A dimenticavo.... più in basso di ethernet cosa si fa??? Si stacca la spina...

[nightfly]

Quote:

Originariamente inviato da clockover

Non ci sono dubbi su questa cosa! Infatti, anche se non era la soluzione proposta da me in questo caso, di solito è molto meglio una lista di MAC address di autorizzati che di negati!


non siamo a livello applicativo con il MAC address


con questi opportuni permessi impediresti anche la modifica del mac address!

Infatti non ho quotato te quando dicevo che non bisogna lavorare a livello Application. Sul fatto che il MAC address sia un indirizzo di livello 2 non ci sono dubbi.

Esistono programmini che modificano i MAC address "aggirando" i blocchi, ma questo lo sai, vero?

Per il quieto vivere, moderiamo i toni ed evitiamo di voler avere per forza ragione. Siamo qui per aiutare gli utenti in difficoltà, non per sciorinare le nostre (a volte presunte) conoscenze.

[clockover]

Quote:

Originariamente inviato da nightfly

Infatti non ho quotato te quando dicevo che non bisogna lavorare a livello Application. Sul fatto che il MAC address sia un indirizzo di livello 2 non ci sono dubbi.

Esistono programmini che modificano i MAC address "aggirando" i blocchi, ma questo lo sai, vero?

Per il quieto vivere, moderiamo i toni ed evitiamo di voler avere per forza ragione. Siamo qui per aiutare gli utenti in difficoltà, non per sciorinare le nostre (a volte presunte) conoscenze.

Il problema è che a volte si rischia di mettere in difficoltà qualcuno sparando cose troppe esagerate! Mi scuso se ti sono sembrato troppo "acido" ma io prima di loro mi sono trovato in difficoltà e mi sono ritrovato a leggere cose assurde che mi confondevano solo le idee!

[clockover]

Quote:

Originariamente inviato da clockover

A dimenticavo.... più in basso di ethernet cosa si fa??? Si stacca la spina...

Però quella di staccare la spina funziona e pure bene!!

[Alfonso78]

l'avete impaurito ed è scappato...

[>|HaRRyFocKer|]

Quote:

Originariamente inviato da clockover

A dimenticavo.... più in basso di ethernet cosa si fa??? Si stacca la spina...

Ma sei sempre così simpatico o ieri eri particolarmente ispirato?

Io continuo a spingere per l'acl. Nei router SOHO che le permettono sono quasi praticamente infallibili. E cmq in ogni caso, io la farei al contrario:

ALLOW gli indirizzi che devono andare su internet
DENY ANY.

così se anche fai spoofing devi prenderti uno degli indirizzi permessi; ma a questo punto se le macchine sono accese non potrai comunque prenderli.