Wieder einmal das alte Problem: Internet sperren

Hallo,

kann mir bitte jemand helfen, ich kann die Nuss nicht knacken (bitte bis zum Schluss lesen, weil dann wirds erst richtig interessant). Ich bin auf jeden Fall schon mal dankbar für jeden guten Tipp:

Ziel:

a) Internet soll gezielt gesperrt werden können (für bestimmte User/Gruppen) auf WinXP Clients
b) Einsatz von Zusatzsoftware nicht möglich, weder auf Clients noch auf Server

Umgebung:

a) Clients gehen über einen Proxy ins Internet (kein ISA o.ä., nur Content Filterung jedoch ohne Möglichkeit, Internet gezielt -User/Gruppen-bezogen - zu blocken)
b) Clients stehen in einer Win2k3-Domäne mit ADS usw.
c) den Usern werden selbstverständlich alle IE - Konfig. Möglichkeiten genommen und ein fester Proxy eingetragen
d) alle User sind nur Dom.-Benutzer, also „eigentlich“ keine Chance, Policies zu ändern
e) ich habe eine Möglichkeit, diese Einstellungen User-spezifisch in Echtzeit zu ändern. Um Internet zu sperren mache ich also folgendes: Proxy vom IE wird schlichtweg umgebogen auf localhost, da der IE seine Settings erst beim Start lädt, greift dies zur Laufzeit, ich kann also beim angemeldeten Benutzer Internet sperren und auf Wunsch wieder freigeben

Bis hier passt eigentlich alles. Jetzt aber das Problem:

Problem:

a) User sind sehr aktiv (Schüler in der Oberstufe)
b) Durch einfachen Start von Firefox (Standalone - Variante) ists dahin mit dem Trick
c) Einige Programme auf den Rechnern haben eine eigene Browser-Funktionalität, die zunächst einmal versucht, ohne Proxy was aufzurufen, wenns klappt, hat man vollen Zugriff aufs Netz
d) und wenn alles nicht hilft, wird ein VB-Script gestartet, welches den Proxy wieder ändert; dies geht, weil ja die Policy nur das Ausführen von Registry-Tools verhindert, welche von MS stammen
Die Scriptausfürung muss aber aktiv sein, sonst gibts ja ganz andere Probleme
e) und wenn Firefox geblockt wird, dann werden andere Geschichten gefunden
f) ich kann nicht einfach TCP/IP Filter setzen (die alles blocken ausser 137-139 o.ä.), da verschiedenste Programme eingesetzt werden, die auf ner Vielzahl von Ports arbeiten (und erhlich gesagt ist mir auch nicht ganz klar, welche Ports ich alle brauche, um den Netzbetrieb weiter zu gewährleisten (DNS, Domäne, Netzlaufwerke, TimeService, was weiß ich, WINS, Kerberos und alles, was sich halt so tümmelt…) und eben Zusatzprogramme, die mal eben nen Port 60050 nutzen usw. Hier ne Liste zu erstellen, halt ich für sehr schwierig, vor allem müsste ich ja ständig wieder anpassen, wenn was neues dazu kommt.

Lösungen?

Ich dachte eigentlich, dass die Möglichkeit besteht, irgendwie bspw. den Port 80 „einfach“ auszuschalten, einfach weg damit, alle Anfragen auf Port 80 oder was auch immer genutzt werden soll beim Browser soll ins Nirvana geschickt werden. Dieer Ansatz kam mir sinnvoller vor, als eben alles zu blocken und hunderte einzelner Ports wieder zu öffnen. Aber hier stoß ich auf meine Grenzen, da ich bisher keinen Weg gefunden habe, dies „sauber“ zu steuern. Was ich suche ist der richtige Ansatz, wie man das dann per Script oder sonst was hinbekommt, sollte ich dann wieder hinbekommen.

Sorry für den laaaaaangen Beitrag, aber ich brauch echt Hilfe. Es muss doch, sorry, verdammt nochmal bei Windows mit Firewall und „hunderten“ von Netzwerkdiensten die Möglichkeit geben, einfach ein paar Ports zu sperren? Da ich aber keine Netzprotokoll-Experte bin, habe ich das bisher nicht lösen können.

Oder wäre ein Ansatz, zur Laufzeit ein Tool laufen zu lassen, welches einfach die entsprechenden Ports belauscht und quasi schluckt (geht das?!?)? Ich weiß es nicht…

Vielen Dank für die Hilfe.

Grüße,

Dominik

Hallo,

Ziel:

a) Internet soll gezielt gesperrt werden können (für bestimmte
User/Gruppen) auf WinXP Clients

ganz einfach:

Das ist eine klassische Aufgabe für die Kombination „Firewall+Proxyserver“.

Eigentlich würde eine Firewall ausreichen, wenn, ja wenn Du nicht nach User unterscheiden wollen würdest.

Du sorgst also im ersten Schritt für eine Firewall, die alles verbietet.
Dann schaltest Du nach und nach die Dienste ins Internet frei, die alle benutzen dürfen sollen.
Wichtig: Alles, was http und https ist, schaltest Du NUR für den Proxyserver frei.

Auf diesem Zwangsproxy nun richtest Du eine Benutzerauthentifizierung ein, und schon ist der Drops gelutscht.

Fuckelig können da höchstens einzelne Anwendungen werden, die Zugriff ins Internet verlangen und diesen per http realisieren, die muß man sich dann im einzelnen anschauen.

Das Ganze auf Clientebene realisieren zu wollen, ist unsicher, superstressig und letztlich teurer, als einmal einen kleinen Unixserver vor den Router zu stellen, der o.g. realisiert.

Gruß,

Malte

Hi,

ne kleine Ergänzung: mir reicht auch völlig aus, wenn ich dem Rechner selbst den Zugang verwehre, also wirklich Internet auf diesem Rechner iss nich! Es geht letztednlich darum, dass man sagen kann, in diesem Raum mit 20 Rechnern kein Internet, der Raum daneben soll aber weiter funktionieren.

Grüße,

Dominik

Hi,

ne kleine Ergänzung: mir reicht auch völlig aus, wenn ich dem
Rechner selbst den Zugang verwehre, also wirklich Internet auf
diesem Rechner iss nich! Es geht letztednlich darum, dass man
sagen kann, in diesem Raum mit 20 Rechnern kein Internet, der
Raum daneben soll aber weiter funktionieren.

dann nur Firewall, ohne Proxy. Ist dann noch einfacher. Wo ist das Problem?

Auch hier jedoch: Sollte es Anwendungen geben, die zwingend auf das Internet zugreifen müssen, muß man sich das genauer anschauen.

Gruß,

Malte

Hallo Malte

das ist genau der Knackpunkt. Ich habe nicht die Möglichkeit, zusätzliche Dienste oder Server reinzuhängen. Sonst wärs kein Problem, zack hier mal komplett sperren oder auch nur User oder Gruppen, klar, kann ich mit ner Linux Lösung oder auch mit MS machen. Doch beides steht nicht zur Verfügung (Verwaltungstechnisch

Was ich suche ist ne Möglichkeit zu sagen, ein Raum mit zwanzig Rechnern zu blocken, egal wer sich anmeldet, nebendran im Raum soll aber alles weiterlaufen. Das Ganze aber ohne irgendwas zusätzliches. Daher die Frage, wie bekomme ich denn auf jedem einzelnen Client eine Lösung hin? Wie gesagt, ich kann auf jedem Client mit Admin-Rechten jeden beliebigen Befehl ausführen, egal ob auf Maschinen - Ebene oder auf User - Ebene, alles ist drin. Aber ich muss es halt irgendwie auf Client-Ebene lösen, nicht auf Netzwerk oder Server-Ebene. Ich muss sagen können, du Rechner kannst jetzt kein Internet machen.

Ne Idee?

Hallo,

das ist genau der Knackpunkt. Ich habe nicht die Möglichkeit,
zusätzliche Dienste oder Server reinzuhängen.

warum nicht? Mir fällt da kein plausibler Grund ein. Ich würde eher Energie darin stecken, diese blödsinnige Vorgabe auszuschalten, als eine Frickellösung auf den einzelnen Rechnern zu entwickeln und zu warten.

Daher die Frage, wie bekomme ich denn
auf jedem einzelnen Client eine Lösung hin?

Wenn Du da ein flaches Netzwerk vorliegen hast (heißt „keine Router bis auf den zum Internet, intern nur Hubs/Switche“), kannst Du den betr. Rechnern einfach das Default Gateway wegnehmen (in der Netzwerkverbindung löschen). Damit wären alle internen Hosts noch erreichbar, das Internet jedoch nicht. Geht jedoch auch nur dann, wenn intern KEIN PROXY eingesetzt wird.

So supersicher ist das aber auch nicht - Notebooks oder Knoppix-CDs umgehen diese „Sperre“ leicht, und es ist halt keine besonders konfigurierbare Sperre.

Gruß,

Malte

Hi,

da ihr ja sowieso eine Firewall haben solltet, müßte das Problem damit zu lösen sein.
Wenn ihr natürlich keine Firewall habt, dann wird es Zeit eine aufzubauen. Für deine Belange würde ich dir einen IPCOP empfehlen. Da kannste auch gleich einen Proxy drauf aktivieren und dort ein kleines Contentfiltering einrichten mit dem du schöne Black- und Whitelists erzeugen kannst, ohne direkt in die Firwall-Policies eingreifen zu müssen. Dafür reicht ein alter ausrangierter PC, z.b. Pentium 166/200 locker aus.

Gruss
A.J.

Hallo Dominik,

wenn ich das richtig verstanden habe, geht es hier um die Abschaltung des Internetzuganges für einen kompletten Raum. Es ist doch kein Problem einen Rechner in diesem Raum als Server fürs www laufen zu lassen. Alle anderen Rechner können nur über diesen aufs www zugreifen. Wenn es sich hier um eine Schule handelt (wovon ich ausgehe) könnte dies einfach der Lehrerrechner sein. Der stellt dann den www - Server ab und gut is.

Wo siehst Du bei diesem Ansatz das Problem?

Gruß

Tobi

Hi, ja klar ginge das, wobei die Siuation anders aussieht. Alle Anfragen müssen über den zentralen Server gehen, da dort ein Content Filtering läuft. Auch wenn ich jetzt was bastle, dass alle Rechner zunächst auf einen Raum-Spezifischen Rechner gehen, der wiederum weiterroutet zum Server solange, bis man das abschaltet. Aber dann ist doch nicht das Problem gelöst, dass auch an dieser Einstellung vorbei ins Netz gegangen wird, also bspw. mit Firefox o.ä. Die würden ja immer noch direkt über den Proxy bzw. übers Gateway gehen. Oder wie würde man steuern, dass nur über einen speziellen Rechner ins Netz gegangen wird? Wären doch wieder die Proxy-Settings, oder?

Problematisch ist insgesamt, dass an der Struktur nix geändert werden kann, sagen wir mal aus verwaltungspolisichen Gründen. Also Zusatz Maschinen oder Tools geht nicht.

Gibts denn keine Lösung, mit der ich alle Internet - Anfragen auf einem Rechner direkt blocken kann? Egal wie aufwendig, egal mit welchen Mitteln. Einfach auf einem beliebiegn Rechner Internet sperren.

Grüße,

Dominik

Hi,

sagen wir mal, aus verwaltungspolisichen Gründen kann hier nix geändert werden…

Die Struktur sieht so aus, dass die Clients nicht über den Router ins Netz gehen, sonern über nen Proxy Server; ich habe zwar schon die Möglichkeit geschlossen, direkt über den Router ins Netz zu gehen, aber dass man den Proxy einfach nicht mehr unkontrolliert nutzen kann, konnte ich noch nicht lösen.

Kann man denn irgendeinen Routing-Eintrag setzten, welches alle Anfragen an eine bestimmte Adresse auf dem Port 80, 8080 oder sonst was ins Nirvana schickt? Denn der Server als solches muss natürlich weiterhin genutzt werden können, eben halt ohne dass er die Anfrage auf Internet erhält.

Sicherlich gibt es bessere Lösungen, aber die Tür steht dafür nicht offen.

Da ich auf den Clients selbst ohne großen Aufwand auf Wunsch alles mögliche setzen kann, ist der Wartungsaufwand kein Hinderungsgrund für die lokale Lösung.

Also nochmal, ich suche nur nach ner lokalen Clientlösung, keine zusätzliche Firewall, kein weiterer Server, keine weitere Software.

Grüße,

Dominik

Hallo!

Du sagtest es kommen keine zusätzlichen Geräte in Frage und an der Struktur darf auch nichts geändert werden.
Tja, also ich spinne jetzt mal kurz eine Situation zusammen und Du mußt dann beurteilen, ob hier die Struktur verändert wurde. Und Deine Probl. evtl so gelöst werden kann.
Zunächst müsstest Du alle Lehrerrechner in ein spezielles Segment organisieren (also ein eigenes Subnetz für alle Lehrerrechner)
Dieses Subnetz erhält dann die Berechtigung ins Internet zu gehen. Die anderen Rechner müssen in anderen Subnetzen liegen. Da nur das Subnetz der Lehrerrechner ins Internet kann, müssen die anderen Rechner über den jeweils zugeteilten Lehrerrechner gehen. Wenn der aber keine Internetfunktion mehr anbietet, dann geht nix.
Ich geh mal davon aus, dass die Schüler keine Berechtigung haben, um die IP Adresse zu ändern.

Hab ich jetzt die Struktur verändert. Meinst Du mit Struktur die Hardware- oder auch die Logische - Struktur?

mfg Tobi

Hi,

Kann man denn irgendeinen Routing-Eintrag setzten, welches
alle Anfragen an eine bestimmte Adresse auf dem Port 80, 8080
oder sonst was ins Nirvana schickt? Denn der Server als
solches muss natürlich weiterhin genutzt werden können, eben
halt ohne dass er die Anfrage auf Internet erhält.

bedeutet das, daß der Proxy-Server nicht nur als Proxy-Server genutzt wird, sondern für alle auch zu anderen Zwecken nutzbar sein muß?

Gruß,

Malte

Servus,

also man hat dir doch schon jede Menge Ansatzpunkte gegeben. Ausserdem hast Du uns bisher immer noch nicht verraten, wie euer Gateway, sprich die Firewall aussieht. Darüber kann man im Prinzip doch alles regeln.

Eine andere Lösung ist noch die, daß man das Gateway komplett aus der Netzwerkeinstellung rausnimmt und über die Proxy-Einstellung alles regelt. Ist das Gateway raus, kann man nicht ohne den Proxy ins Internet. Denn solange man keine Admin-Rechte hat, kann man weder ein Gateway eintragen noch eine Route definieren.
Im Proxy könntest Du dann entsprechend filtern, wer denn ins Internet darf und wer nicht.

Es gibt halt tausend Möglichkeiten, aber wenn Du uns nicht etwas mehr über die Infrastruktur verrätst…

Gruss
A.J.

Hallo Malte,

super dass du dir weiterhin Gedanken machst.

Also, der Server übernimmt alle Dienste:

Proxy (aber nur Content Filterung), Netzdienste (DHCP,DNS), Printserver, Domain-Controller, FileServer,…fehlt was? Es gibt keinen anderen Server in der Umgebung;

Daneben steht ein Cisco-Router mit Firewall, die ziemlich dicht ist und das Gateway darstellt. Alle Clients laufen über DHCP. Admins sind natrürlich strikt getrennt von Usern.

Ins Internet raus kommst du nur über den Server, also nur über den Proxy-Server-Dienst, nur er darf über den Router ins Netz raus.

Da ich diesen Proxy-Dienst aber nicht flexibel steuern kann (also Benutzerauthentifizierung, etc.) bin ich eben auf der Suche, wie ich Clients verbiete, auf den Proxy zuzugreifen, denn der steht intern für alle Anfragen wohlwollend bereit… Daher sehe ich die Lösung nur an den Clients selbst, wenn eben nix an der Struktur geändert werden kann.

Und nochmal: es ist vollkommen egal, was man am Client alles umbiegen muss, ich bin mir sicher, dass ich das in irgendeiner Weise gescriptet kriege, so dass alles per Knopfdruck umgestellt werden kann, mir fehlt halt einfach das HowTo.

Grüße,

Dominik

Hi,

auch dir vielen Dank fürs grübeln…

Ich habe bei Malte unten alles nochmal hingeschrieben bzgl. Gateway, etc. Ich hoffe, dass die Struktur nun verständlicher ist.

Gruß,

Dominik

Nabend,

also spontan fällt mir im Moment (zu dieser späten Stunde) halt nur ein, dass du die Proxy-Einträge über ne GPO steuerst. Du musst halt verhindern, dass jemand was anderes installiert bzw. einen anderen Browser nutzt, der nicht von der GPO erfasst wird. evtl. kann man auch beim Firefox über irgendwelche Admintools oder auch Reg-Einträge die Proxyeinstellungen administrieren. Beim IE ist das easy.
Ansonsten muss halt ein gescheiter Proxy her, der solche Steuerungen ermöglicht.
Man kann halt mit begrenzten Mitteln nur begrenztes erreichen. Wenn es hier um sicherheitsrelevante Dinge geht, muss man halt auch politische Ansichten den Erfordernissen der Praxis anpassen.

cu
A.J.

Hi,

ganz ehrlich: Das Netzwerk ist von der Struktur her totaler Murks. Da steckt kein Konzept dahinter, zumindest keines, das den Punkt „Sicherheit“ nennenswert berücksichtigt.

Ich an Deiner Stelle würde alle Kraft in die Möglichkeit zur Umstrukturierung setzen. Das bedeutet nicht „alles niederreißen und neu aufbauen“, aber ohne die Möglichkeit, vereinzelte Änderungen an der Topologie vorzunehmen, wird es immer Murks bleiben.

Eine - von Dir ja nachhaltig gewünschte und bei den miesen Bedingungen wohl unumgehbare - Lösung auf Client-Seite kann nur Gefrickel sein, welches auf Dauer mehr Last als Nutzen ist.

Eine Lösung kann ich Dir unter den gegebenen Umständen nicht bieten, evtl. probierst Du’s im Brett „Windows XP“ nochmal - denn mit Netzwerkerei hat das letztlich nur noch bedingt zu tun. Falls hier doch noch was kommen sollte - um so besser, stören tut das Thema hier nicht.

Ich bin jedenfalls raus - sorry.

Gruß,

Malte

Hi,

Du musst halt verhindern, dass jemand was anderes installiert
bzw. einen anderen Browser nutzt, der nicht von der GPO
erfasst wird. evtl. kann man auch beim Firefox über
irgendwelche Admintools oder auch Reg-Einträge die
Proxyeinstellungen administrieren.

Das ist schon drin, aber wenn die mit nem Standalone Browser kommen (Firefox auf USB ohne Inst.), und den Proxy angeben, kommen sie wieder direkt ins Internet. Aber ich schau mir die Firefox - Geschichte auch noch mal genauer an…Ich würde ja allzu gerne einfach die ganzen Dinger sperren (also Firefox, etc), aber auch die sollen ja gewollt eingesetzt werden können ;-(

Wenn es hier um sicherheitsrelevante Dinge geht, muss man halt
auch politische Ansichten den Erfordernissen der Praxis
anpassen.

Ja, da stimme ich dir zu ) Aber wo passt denn schon Politik mit Praxis zusammen?

Grüße,

Dominik

Hi,

kein Thema, trotzdem danke für die Hilfe. Ich versuchs mal bei den anderen, wenn ich auch glaube, dass da nix geht, weils doch zu sehr Netzwerk und Protokoll-Geschichte ist glaube ich. Ich hatte halt gehofft, dass man einfach nen Port verbiegt und gut ist…

(Langsam isses mir auch) Egal

Danke und Gruß,

Dominik

TARRAAAAHHHH!.

Hab ne Lösung gefunden, bzw. ein Kollege hats gefunden.

Super flexibel, super schnell. Auf den PCs wird ne lokale IP-Sicherheitsrichtlinie definiert, die tatsächlich den Port 80, und alles, was ich nmöchte (also Proxy-Port) zumacht. Internet sperren heißt dann einfach, die Richtlinie aktivieren, frei machen einfach Richtlinie aussschalten. Klappt super, greift sofort und funktioniert, und kann nur mir Admin gemacht werden. Du brauchst nur ein Tools von den Win Support-Tools, ipseccmd.exe.

UND: die Struktur wird zusätzlich auch noch etwas verbessert )

Voll cool, danke für eure Tipps und eure Mühe. Wenn wieder mal jemand fragt, dann Mail an mich (wenns nicht ein Schüler iss )

Grüße&Danke,

Dominik