/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvordan begrænser jeg én bruger til kun at~
Fra : Heinz Vollmann


Dato : 09-12-05 13:59

jeg skal have begrænset én bruger til kun at bruge internettet, og ikke
andet. Brugeren må ikke kunne browse netværket overhovedet.

brugeren behøves ikke være en domain user.
han skal igennem en isa2000 server.

ip tildeles via dhcp, med gateway og dns.

kan jeg komme på internettet, uden brug af isa client?

/heinz



 
 
Asbjorn Hojmark (09-12-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 09-12-05 14:30

On Fri, 9 Dec 2005 13:59:25 +0100, "Heinz Vollmann"
<heinz_Vollmann@hotmail.com> wrote:

> jeg skal have begrænset én bruger til kun at bruge internettet, og
> ikke andet. Brugeren må ikke kunne browse netværket overhovedet.

Sæt den pc i et separat VLAN og lav filtre, så han ikke kan nå det
interne net.

> kan jeg komme på internettet, uden brug af isa client?

Du mener kun http, men stadig gennem ISA-serveren? Ja, det kan man.

-A

Kasper Dupont (09-12-2005)
Kommentar
Fra : Kasper Dupont


Dato : 09-12-05 14:44

Heinz Vollmann wrote:
>
> jeg skal have begrænset én bruger til kun at bruge internettet, og ikke
> andet. Brugeren må ikke kunne browse netværket overhovedet.

Det afhænger af OS på den maskine brugeren er logget på.
Hvis du f.eks. bruger Linux vil en iptables regel kunne
gøre det:
-I OUTPUT -d 10.0.0.0/8 -m owner --uid-owner luser -j REJECT
(hvor 10.0.0.0/8 og luser selvfølgelig bare er eksempler,
du selv skal udskifte med det rigtige). Det virker
selvfølgelig kun så længe OS kan begrænse brugerens
rettigheder. Har brugeren total kontrol over maskinen
skal den på et seperat LAN/VLAN for at begrænse adgangen.
(Alternativet er at sikre, at alle andre maskiner på
lokalnettet er tilpas sikkert konfigureret).

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

Alex Holst (09-12-2005)
Kommentar
Fra : Alex Holst


Dato : 09-12-05 19:49

Heinz Vollmann wrote:
> jeg skal have begrænset én bruger til kun at bruge internettet, og ikke
> andet. Brugeren må ikke kunne browse netværket overhovedet.

Design dit netværk efter behov. Alternativt kan Microsofts Shared
Computer Toolkit hjælpe dig med OS opsætning.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Povl H. Pedersen (09-12-2005)
Kommentar
Fra : Povl H. Pedersen


Dato : 09-12-05 22:04

In article <43997faf$0$149$edfadb0f@dread11.news.tele.dk>, Heinz Vollmann wrote:
> jeg skal have begrænset én bruger til kun at bruge internettet, og ikke
> andet. Brugeren må ikke kunne browse netværket overhovedet.
>
> brugeren behøves ikke være en domain user.
> han skal igennem en isa2000 server.
>
> ip tildeles via dhcp, med gateway og dns.
>
> kan jeg komme på internettet, uden brug af isa client?

du skal, som sagt, lave et VLAN med portfiltrering, så maskinen kun
kan nå ISA serveren.

Man kan surfe gennem ISA serveren ved at bruge dens Web Proxy. Det kræver
ikke FW client (eller hvad den nu hedder i dag). FW klienten er alene til
brug for applikationer der ikke forstår proxy'er.

Hvis det er brugeren og ikke en maskine du skal låse, så skal du have fat
i 802.1x på dine switche, samt en RADIUS server. Så kan du på basis af
credentials melde maskinen ind i VLAN rent dynamisk.

Det hele er standardteknologi i dag.

Asbjorn Hojmark (10-12-2005)
Kommentar
Fra : Asbjorn Hojmark


Dato : 10-12-05 11:14

On 09 Dec 2005 21:03:56 GMT, "Povl H. Pedersen"
<povlhp@acomputer.home.terminal.dk> wrote:

> Hvis det er brugeren og ikke en maskine du skal låse, så skal du have
> fat i 802.1x på dine switche, samt en RADIUS server. Så kan du på basis
> af credentials melde maskinen ind i VLAN rent dynamisk.

Man skal ikke 'oversælge' 802.1x med brugertildelte VLAN. Der er endnu
temmelig mange problemer i det, fx at det ikke fungerer (uden en masse
begrænsninger) med Windows.

> Det hele er standardteknologi i dag.

Ja, det siger leverandørerne jo i hvert fald. Jeg tror ikke, der er
ret mange af dem, der har prøvet at lave det i praksis.

-A

Jan Damkjær Dahl (03-03-2006)
Kommentar
Fra : Jan Damkjær Dahl


Dato : 03-03-06 19:56

> brugeren behøves ikke være en domain user.
> han skal igennem en isa2000 server.
>
> ip tildeles via dhcp, med gateway og dns.
>
> kan jeg komme på internettet, uden brug af isa client?
>

har du et DA kan du lave meget med en policy der kun rammer den ene PC



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste