LIMITARE I SITI INTERNET

[max.ielo]

SALVE A TUTTI VORREI CHIEDERE UN AIUTO:
HO ADSL TELECOM BUSINESS IN UFFICIO ED HO N 4 PC COLLEGATI IN RETE COL MODEM TRAMITE UNO SWITCH. VORREI BLOCCARE L'ACCESSO A TUTTI I SITI NON INERENTI AL LAVORO SU TRE PC USATI DAI COLLABORATORI. COME POSSO FARE??? GRAZIE ATTENDO VS NOTIZIE.....

[Alfonso78]

Se desideri una soluzione semplice puoi utilizzare dei software installati sulle macchine.

Uno dei tanti, tra l'altro free, è K8 Web Protection.

Se invece vuoi implementare qualcosa di più professionale puoi appoggiarti a soluzioni hardware.

[max.ielo]

ho provato ma con k8 non riesco. la mia configurazione è la seguente:

MODEM ADSL TELECOM COLLEGATO AD UNO SWITCH E LO SWITCH A SUA VOLTA E' COLLEGATO AI TRE PC IL TUTTO TRAMITE CAVO LAN. COME POSSO MODIFICARE LE IMPOSTAZIONI DEL MODEM PER LIMITARNE L'UTILIZZO? IO CON L'INDIRIZZO 192.168.1.1 DETTO DA TELECOM NON RIESCO AD ENTRARE NEI PARAMETRI DEL MODEM. C'E' UN ALTRO SISTEMA???

[Alfonso78]

Sul tuo router non vi sono features avanzate di quel tipo.

[eahm]

OpenDNS

[nuovoUtente86]

Soluzione poco affidabile, perchè va impedito ai client di modificare i dns utilizzati, ed in ogni caso non protegge accedendo direttamente da indirizzo numerico.

[eahm]

Quote:

Originariamente inviato da nuovoUtente86

Soluzione poco affidabile, perchè va impedito ai client di modificare i dns utilizzati, ed in ogni caso non protegge accedendo direttamente da indirizzo numerico.

Sai che c'e' il modo di dire al router di applicare i DNS impostati anche se i clienti cambiano si?
E sai che c'e' anche modo di dire, sempre al router, di impostare DNS salvati o regole diverse ad ogni MAC assegnato si?

[nuovoUtente86]

Quote:

Originariamente inviato da eahm

Sai che c'e' il modo di dire al router di applicare i DNS impostati anche se i clienti cambiano si?
E sai che c'e' anche modo di dire, sempre al router, di impostare DNS salvati o regole diverse ad ogni MAC assegnato si?

e sai che tutto questo funziona se il client lavora in dhcp, se utilizza ip settati staticamente non funziona.

[eahm]

Quote:

Originariamente inviato da nuovoUtente86

e sai che tutto questo funziona se il client lavora in dhcp, se utilizza ip settati staticamente non funziona.

Aggiungo, da ingegnere di reti ti dico che funziona anche con IP statici.

Domanda per farti pensare, il router e' sopra tutto, come fa secondo te un PC a saltare le regole del router? Pensaci un secondo e rispondi.

Ovviamente lui dovrebbe comprare un router, o uno switch gestito per configurare tutte le regole necessarie.

[nuovoUtente86]

Da ingegnere di dico una cosetta che dovresti già sapere: i dispositivi di rete devono e sono trasparenti al livello applicazione, di cui il dns fa parte. Ma entriamo ancora nel dettaglio: stai affermando che, un client farebbe una richiesta udp, sulla porta 53, ad un determinato server DHCP, ma a questo punto il router anziche tracciare i datagrammi (in caso di nat) dropperebbe il pacchetto originario per inviare una risposta fittizia proveniente da un server certificato, con indirizzo spoofato. Naaaa non funzionano cosi le cose.Quando si vogliono limitare gli indirizzo visitabili, si lavora con i proxy applicativi, non a livello DNS.

[eahm]

Quote:

Originariamente inviato da nuovoUtente86

Da ingegnere di dico una cosetta che dovresti già sapere: i dispositivi di rete devono e sono trasparenti al livello applicazione, di cui il dns fa parte. Ma entriamo ancora nel dettaglio: stai affermando che, un client farebbe una richiesta udp, sulla porta 53, ad un determinato server DHCP, ma a questo punto il router anziche tracciare i datagrammi (in caso di nat) dropperebbe il pacchetto originario per inviare una risposta fittizia proveniente da un server certificato, con indirizzo spoofato. Naaaa non funzionano cosi le cose.Quando si vogliono limitare gli indirizzo visitabili, si lavora con i proxy applicativi, non a livello DNS.

Ingegnere di cosa? Informatico? Perche' non vieni in USA cosi' lavoriamo insieme, ho bisogno di persone che contrastano sempre e cercano di trovare nuove idee e soluzioni migliori.

Questa funzione blocca ed intercetta tutto quello di cui abbiamo parlato fino ad ora:

[nuovoUtente86]

Certo ingegnere informatico e per fortuna la ricerca la faccio qui in Italia. Quella funzione intercetterà anche le richieste dns (e in ogni caso esiste un modo semplice semplice per bypassare la limitazione), ma con quali scopo e risultati è tutto da discutere. Piuttosto non risolve in ogni caso l' acceso diretto da ip.

[eahm]

Quote:

Originariamente inviato da nuovoUtente86

Certo ingegnere informatico e per fortuna la ricerca la faccio qui in Italia. Quella funzione intercetterà anche le richieste dns (e in ogni caso esiste un modo semplice semplice per bypassare la limitazione), ma con quali scopo e risultati è tutto da discutere. Piuttosto non risolve in ogni caso l' acceso diretto da ip.

Che brutto paese gli USA eh? Comunque non sto a continuare dicendo che non hai ragione semplicemente perche' non hai provato. Uso questa funzione con tanti clienti privati ed aziende e non ci sono problemi. Mai. Ne tantomeno bypass se configurate anche regole per il gateway.

Chiuso qua, se c'e' qualcosa manda un PM.

max.ielo, mio consiglio: prendi un router da poco compatibile con Tomato firmware (Cisco Linksys WRT54GL funziona bene ma anche un vecchio modello ASUS), installalo tra modem e switch e configura due regole di routing con OpenDNS e sei ok.

[nuovoUtente86]

[quote]Chiuso qua, se c'e' qualcosa manda un PM[quote]no no continuo in pubblico, visto che sorvoli allegramente sulle obiezione poste, allora le risollevo: il tuo sistema funziona utilizzando l' ip (il che vuol dire anche protocolli diversi dall' http) invece che il nome mnemonico?

[nightfly]

Uhm, ma è troppo difficile fare il redirect di tutto il traffico HTTP, HTTPS su un proxy interno (Squid+Squidguard)?
Si potrebbe fare un trasparent proxy mediante semplice regola IPTABLES oppure droppare tutto il traffico Web diretto e consentire solo quello proveniente dal proxy. Fine dei giochi.
Queste cose è sempre meglio gestirle su un unico punto che su + punti (ovvero le workstation).

[nightfly]

[quote=nuovoUtente86;35882825][quote]Chiuso qua, se c'e' qualcosa manda un PM

Quote:

no no continuo in pubblico, visto che sorvoli allegramente sulle obiezione poste, allora le risollevo: il tuo sistema funziona utilizzando l' ip (il che vuol dire anche protocolli diversi dall' http) invece che il nome mnemonico?

Ovviamente se anzichè la URL contenente il dominio utilizzi una URL con l'indirizzo IP pubblico della risorsa WEB che vuoi contattare, il filtro DNS non funziona perchè non viene contattato nessun DNS. Però, anche se setti un indirizzo IP statico sulla workstation (con relativi DNS primario e secondario), il blocco funziona in quanto quell'aggeggio intercetta le query DNS ed anzichè inoltrarle al DNS specificato dall'utente le invia al proprio DNS (Use internal DNS).
PS: essere ingegneri non vuol dire necessariamente avere ragione su qualsiasi argomento scientifico. Conosco tantissimi ingegneri (colleghi e non) che non distinguono un datagramma da un pacchetto e che se si parla di trame pensano ad un libro oppure ad un film.