---

jeg skal have begrænset én bruger til kun at bruge internettet, og ikke
andet. Brugeren må ikke kunne browse netværket overhovedet.

brugeren behøves ikke være en domain user.
han skal igennem en isa2000 server.

ip tildeles via dhcp, med gateway og dns.

kan jeg komme på internettet, uden brug af isa client?

/heinz

---

On Fri, 9 Dec 2005 13:59:25 +0100, "Heinz Vollmann"
<heinz_Vollmann@hotmail.com> wrote:

> jeg skal have begrænset én bruger til kun at bruge internettet, og
> ikke andet. Brugeren må ikke kunne browse netværket overhovedet.

Sæt den pc i et separat VLAN og lav filtre, så han ikke kan nå det
interne net.

> kan jeg komme på internettet, uden brug af isa client?

Du mener kun http, men stadig gennem ISA-serveren? Ja, det kan man.

-A

---

Heinz Vollmann wrote:
>
> jeg skal have begrænset én bruger til kun at bruge internettet, og ikke
> andet. Brugeren må ikke kunne browse netværket overhovedet.

Det afhænger af OS på den maskine brugeren er logget på.
Hvis du f.eks. bruger Linux vil en iptables regel kunne
gøre det:
-I OUTPUT -d 10.0.0.0/8 -m owner --uid-owner luser -j REJECT
(hvor 10.0.0.0/8 og luser selvfølgelig bare er eksempler,
du selv skal udskifte med det rigtige). Det virker
selvfølgelig kun så længe OS kan begrænse brugerens
rettigheder. Har brugeren total kontrol over maskinen
skal den på et seperat LAN/VLAN for at begrænse adgangen.
(Alternativet er at sikre, at alle andre maskiner på
lokalnettet er tilpas sikkert konfigureret).

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Heinz Vollmann wrote:
> jeg skal have begrænset én bruger til kun at bruge internettet, og ikke
> andet. Brugeren må ikke kunne browse netværket overhovedet.

Design dit netværk efter behov. Alternativt kan Microsofts Shared
Computer Toolkit hjælpe dig med OS opsætning.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

In article <43997faf$0$149$edfadb0f@dread11.news.tele.dk>, Heinz Vollmann wrote:
> jeg skal have begrænset én bruger til kun at bruge internettet, og ikke
> andet. Brugeren må ikke kunne browse netværket overhovedet.
>
> brugeren behøves ikke være en domain user.
> han skal igennem en isa2000 server.
>
> ip tildeles via dhcp, med gateway og dns.
>
> kan jeg komme på internettet, uden brug af isa client?

du skal, som sagt, lave et VLAN med portfiltrering, så maskinen kun
kan nå ISA serveren.

Man kan surfe gennem ISA serveren ved at bruge dens Web Proxy. Det kræver
ikke FW client (eller hvad den nu hedder i dag). FW klienten er alene til
brug for applikationer der ikke forstår proxy'er.

Hvis det er brugeren og ikke en maskine du skal låse, så skal du have fat
i 802.1x på dine switche, samt en RADIUS server. Så kan du på basis af
credentials melde maskinen ind i VLAN rent dynamisk.

Det hele er standardteknologi i dag.

---

On 09 Dec 2005 21:03:56 GMT, "Povl H. Pedersen"
<povlhp@acomputer.home.terminal.dk> wrote:

> Hvis det er brugeren og ikke en maskine du skal låse, så skal du have
> fat i 802.1x på dine switche, samt en RADIUS server. Så kan du på basis
> af credentials melde maskinen ind i VLAN rent dynamisk.

Man skal ikke 'oversælge' 802.1x med brugertildelte VLAN. Der er endnu
temmelig mange problemer i det, fx at det ikke fungerer (uden en masse
begrænsninger) med Windows.

> Det hele er standardteknologi i dag.

Ja, det siger leverandørerne jo i hvert fald. Jeg tror ikke, der er
ret mange af dem, der har prøvet at lave det i praksis.

-A

---

> brugeren behøves ikke være en domain user.
> han skal igennem en isa2000 server.
>
> ip tildeles via dhcp, med gateway og dns.
>
> kan jeg komme på internettet, uden brug af isa client?
>

har du et DA kan du lave meget med en policy der kun rammer den ene PC