Impedire l'accesso alla rete

[knori]

Come faccio ad impedire a dei PC, connessi via wifi o via ethernet, l'accesso alla rete?
è possibile farlo tramite un filtro sui mac address.
Mi spiego, se so che la rete è del tipo 192.168.0.0, basta che dò alla mia scheda un indirizzo della rete e che trovo una presa libera.
Vorrei evitare che questo fosse possibile.
Si può?

Grazie a tutti

[tutmosi3]

Certo che è possibile, basta che configuri il firewall in modo da non consentire traffico internet ad un determinto IP.
Questo implica la presenza di IP fissi e pregiudica Windows Update.
Altrimenti puoi rimuovere i DNS da quel PC.
Ciao

[knori]

Su questo punto OK, infatti lo faccio già con il firewall.
Mi chiedevo se c'è qualche metodo (magari usando i mac address), per cui impedisco a un PC, fisso o portatile, di accedere del tutto alla rete (impedendogli, così ad esempio di diffondere virus, come è successo).

Ci sono client a cui non ho accesso (portatili) e quindi non posso essere io a configurare.
Io posso dare delle regole e ho preparato il DHCP, ma se l'utente si configura sul portatile un indirizzo valido di rete sul suo portatile non ho modo di stopparne proprio l'accesso, a meno di limitare l'accesso alle risorse solo a utenti e PC autorizzati?
Come posso fare: se lui non rispetta le regole cosa posso limitargli?

Cmq grazie, starò più attento con le regole del firewall.

[tutmosi3]

Quote:

Originariamente inviato da knori

Su questo punto OK, infatti lo faccio già con il firewall.
Mi chiedevo se c'è qualche metodo (magari usando i mac address), per cui impedisco a un PC, fisso o portatile, di accedere del tutto alla rete (impedendogli, così ad esempio di diffondere virus, come è successo).

Ci sono client a cui non ho accesso (portatili) e quindi non posso essere io a configurare.
Io posso dare delle regole e ho preparato il DHCP, ma se l'utente si configura sul portatile un indirizzo valido di rete sul suo portatile non ho modo di stopparne proprio l'accesso, a meno di limitare l'accesso alle risorse solo a utenti e PC autorizzati?
Come posso fare: se lui non rispetta le regole cosa posso limitargli?

Cmq grazie, starò più attento con le regole del firewall.

Con queste condizioni vai un po' male.
Devi solo dirgli di non smanettare oppure gli metti un utente non amministratore.
Ciao

[as10640]

Quote:

Originariamente inviato da knori

Su questo punto OK, infatti lo faccio già con il firewall.
Mi chiedevo se c'è qualche metodo (magari usando i mac address), per cui impedisco a un PC, fisso o portatile, di accedere del tutto alla rete (impedendogli, così ad esempio di diffondere virus, come è successo).

Ci sono client a cui non ho accesso (portatili) e quindi non posso essere io a configurare.
Io posso dare delle regole e ho preparato il DHCP, ma se l'utente si configura sul portatile un indirizzo valido di rete sul suo portatile non ho modo di stopparne proprio l'accesso, a meno di limitare l'accesso alle risorse solo a utenti e PC autorizzati?
Come posso fare: se lui non rispetta le regole cosa posso limitargli?

Cmq grazie, starò più attento con le regole del firewall.

Ciao... Abbiamo lo stesso problema nella nostra azienda... l'unica soluzione che abbiamo trovato è quella di impedire il traffico verso determinati MAC address a livello di switch....

[V4N3X]

Quote:

Originariamente inviato da knori

, ma se l'utente si configura sul portatile un indirizzo valido di rete sul suo portatile non ho modo di stopparne proprio l'accesso, a meno di limitare l'accesso alle risorse solo a utenti e PC autorizzati?

Ciao. Limitare l'accesso di ulteriori macchine che vengono collegate alla rete tramite prese libere, è possibile imponendo al router un pool ristretto di indirizzi da nattare.
A seconda del tipo di dispositivo in tuo possesso (più o meno efficace/efficiente), puoi impostare ad esempio un pool di indirizzi che va da 10.0.0.1
a 10.0.0.10 (9 macchine più router), impedendo così l'utilizzo di qualunque indirizzo al di sopra del 10 (una decima macchina).
Rimane il problema della clonazione delle impostazioni di rete di una delle macchine, sul portatile incriminato. Unica soluzione al problema, è quella di affidare la configurazione di rete ad un Admin preposto di fiducia, e rendere successivamente tale configurazione, per quanto possibile, inaccessibile e invisibile all'utente, disabilitando i pannelli di controllo delle impostazioni di rete, delle connessioni di rete, il prompt dei comandi, e tutto ciò che possa rivelare l'attuale configurazione dei pc.
Tali pannelli possono essere disabilitati modificando il registro di Windows: inutile dire che l'operazione è rischiosa quanto delicata, e che va effettuata da personale pratico e competente.

[as10640]

Quote:

Originariamente inviato da V4N3X

Ciao. Limitare l'accesso di ulteriori macchine che vengono collegate alla rete tramite prese libere, è possibile imponendo al router un pool ristretto di indirizzi da nattare.
A seconda del tipo di dispositivo in tuo possesso (più o meno efficace/efficiente), puoi impostare ad esempio un pool di indirizzi che va da 10.0.0.1
a 10.0.0.10 (9 macchine più router), impedendo così l'utilizzo di qualunque indirizzo al di sopra del 10 (una decima macchina).
Rimane il problema della clonazione delle impostazioni di rete di una delle macchine, sul portatile incriminato. Unica soluzione al problema, è quella di affidare la configurazione di rete ad un Admin preposto di fiducia, e rendere successivamente tale configurazione, per quanto possibile, inaccessibile e invisibile all'utente, disabilitando i pannelli di controllo delle impostazioni di rete, delle connessioni di rete, il prompt dei comandi, e tutto ciò che possa rivelare l'attuale configurazione dei pc.
Tali pannelli possono essere disabilitati modificando il registro di Windows: inutile dire che l'operazione è rischiosa quanto delicata, e che va effettuata da personale pratico e competente.

Così però non risolvi il problema di un portatile fuori dal controllo dell'azienda....

[V4N3X]

Come no?? Forse non ho capito bene il problema: io dicevo di indicare un pool ristretto di indirizzi da nattare, in modo da non poterne aggiungere altri a caso. Potresti solo impostare il portatile come uno dei pc già presenti in rete, in modo da sostituirlo e collegarlo con successo, ma se non puoi vedere com'è impostata la rete (disabilitando tutti i monitor di configurazione, disabilitando il prompt e impedendo l'installazione di programmi come monitor di rete o sniffer), in teoria, dovrebbe essere molto difficile impostare una macchina estranea in maniera da poterla connettere (sopratutto al gruppo di lavoro:è molto difficile che un virus si propaghi dall'esterno). L'introduzione di un server di rete che autentica fisicamente le macchine non so quanto possa essere utile, fin quando le impostazioni delle macchine autenticate sono visibili e riproducibili. Non so se esiste un modo di autenticare "fisicamente" le macchine, nel senso di "hardware" vero e proprio. Dovrei documentarmi.

[as10640]

Quote:

Originariamente inviato da V4N3X

Come no?? Forse non ho capito bene il problema: io dicevo di indicare un pool ristretto di indirizzi da nattare, in modo da non poterne aggiungere altri a caso. Potresti solo impostare il portatile come uno dei pc già presenti in rete, in modo da sostituirlo e collegarlo con successo, ma se non puoi vedere com'è impostata la rete (disabilitando tutti i monitor di configurazione, disabilitando il prompt e impedendo l'installazione di programmi come monitor di rete o sniffer), in teoria, dovrebbe essere molto difficile impostare una macchina estranea in maniera da poterla connettere (sopratutto al gruppo di lavoro:è molto difficile che un virus si propaghi dall'esterno). L'introduzione di un server di rete che autentica fisicamente le macchine non so quanto possa essere utile, fin quando le impostazioni delle macchine autenticate sono visibili e riproducibili. Non so se esiste un modo di autenticare "fisicamente" le macchine, nel senso di "hardware" vero e proprio. Dovrei documentarmi.

Ti spiego meglio: se io arrivo da casa mia con il mio portatile... vuoi vedere che mi connetto?

[V4N3X]

Quote:

Originariamente inviato da as10640

Ti spiego meglio: se io arrivo da casa mia con il mio portatile... vuoi vedere che mi connetto?

Spiega spiega ....questa cosa mi interessa...sai qualcosa che io non so.....evidentemente...

[knori]

IL problema è proprio quello.
Se arriva uno con il suo portatile, posso limitarne l'accesso a internet, ma se si prende un indirizzo valido di rete (magari se ho solo 9 PC e uno è spento, la limitazione degli IP nattati dal router è un palliativo ma non risolve il problema, perché l'utente s....zo con il portatile può prendere proprio quello, come mi è già successo) non posso fare nulla.
O si?
Ecco, questo è il mio dubbio iniziale.

[BTS]

ma allora anzi che bloccare certi mac.... bloccateli tutti e solo alcuni (quelli autorizzati) liberi di accedere.

[V4N3X]

Quote:

Originariamente inviato da knori

Se arriva uno con il suo portatile, posso limitarne l'accesso a internet, ma se si prende un indirizzo valido di rete (magari se ho solo 9 PC e uno è spento, la limitazione degli IP nattati dal router è un palliativo ma non risolve il problema, perché l'utente s....zo con il portatile può prendere proprio quello, come mi è già successo)

Ciao. Comincio a credere che non abbiate letto il mio post fino alla fine.
Se arriva un portatile da fuori, per collegarsi ad una rete protetta avrà bisogno di un minimo di configurazione, almeno per rientrare nel gruppo di indirizzi validi, ma se sulle macchine di rete è disabilitata
ogni interfaccia di configurazione di rete, come anche l'icona "risorse del computer" e il prompt dei comandi e le impostazioni di rete sono del tutto sconosciute ai dipendenti, il cui profilo utente prevede appunto tutte le interfacce e i monitor di sistema disabilitati (compreso il prompt dei comandi)
e l'impossibilità di installare nuovo software, in quale altro modo è possibile clonare le impostazioni, se queste risultano totalmente invisibili??
Ricordo che disabilitare tali interfacce da registro, non significa che le interfacce non funzionano, ma che sono del tutto assenti, ovvero inesistenti nel profilo utente, ma solo in quello Administrator.
A meno che gli user della rete non siano tutti Admin o Power User, continuo a credere che fare ciò debba risultare molto più difficile, in questo scenario.
Tuttavia continuo a dare il beneficio del dubbio ad as10640.
Per esperienza so che "fatta la legge.....", e in questi casi la presunzione non giova a molto. Ripeto, forse lui sa qualcosa che a me al momento sfugge, ma continuo a pensare che, se non hai una palla di cristallo con cui vedere delle impostazioni "invisibili", e se tali impostazioni sono confuse in maniera da disorientare eventuali tentativi random su classi di indirizzi convenzionali, debba essere molto difficile accedere alla rete.
Spero che as10640 mi spieghi dove sta l'errore

[as10640]

Ci sono dei software appositi che fanno scansioni di rete... per questo dico che un portatile TOTALMENTE estraneo alla rete aziendale riesce comunque ad ottenere un IP... Basti pensare a tutti i software di sniffaggio wireless....

[BTS]

Quote:

Originariamente inviato da BTS

ma allora anzi che bloccare certi mac.... bloccateli tutti e solo alcuni (quelli autorizzati) liberi di accedere.

questa ipotesi non ha interessato nessuno?

[V4N3X]

Quote:

Originariamente inviato da BTS

questa ipotesi non ha interessato nessuno?

A me si, ma anche questa ipotesi presuppone che i mac autorizzati siano invisibili agli utenti, in modo da non poterli riprodurre, o mi sbaglio??
Quantomeno bisognerebbe disabilitare il comando cmd.exe, in maniera da non poter dare "ipconfig /all".
D'altra parte anche le richieste ARP possono essere spoofate...."fatta la legge......"

[as10640]

Quote:

Originariamente inviato da BTS

questa ipotesi non ha interessato nessuno?

Certo, amico BTS... ma per essere bloccati a livello di MAC, devi avere degli switch appositi.... e soprattutto li devi avere in tutta la rete...

[BTS]

certo che dipende dalla topologia... però ad esempio se gli ap sono connessi ad un router direttamente (o più router) che poi vanno a finire nel gateway... blocchi tutto... no?