none
bloquear acesso a internet de visitante RRS feed

  • Pergunta

  • Tenho que dar acesso a internet a um computador visitante (nao faz parte de minha rede), porem para previnir que este computador acesse a internet colocando um ip fixo de outra estaçao por exemplo, ou de outra forma qualquer, queria criar uma regra no ISA que a internet para esse visitante so fosse liberada apos cadastro do endereço MAC deste computador no isa server, com agendamento de horario que ja sei que o isa faz.

    existe a possibilidade de fazer essa regra, ou existe um addin para o ISA de uma outra empresa que faça isso?

    terça-feira, 20 de maio de 2008 20:50

Todas as Respostas

  •  

    Voce pode optar em fazer Web Proxy Client Authentication. No Help de ISA você procura por Web Proxy clients, ISA Server que vai ter todos os detalhes de como fazer e o conceito!!!

     

    Mundo ideal é você poder isolar os visitantes da sua rede. Aqui na empresa temos um link separado só para clientes visitantes. Assim garantimos que nada entra na nossa rede que não seja as estações de trabalho/servidor.

     

     

    Falow
    terça-feira, 20 de maio de 2008 21:36
  • ainda sim o Web proxy que ja utilizei não vai atender, preciso mesmo de um controle em cima do MAC do computador.

     

    quarta-feira, 21 de maio de 2008 22:18
  • Olá Nilson,

     

    O ISA não tem controle via MAC, o que você poderia fazer seria:

    - Usar a sugestão do Diomedes, que já resolve e atende as melhores práticas, tendo em vista que visitante não deveria ter acesso a rede corporativa.

    - Usar 802.1x para fazer validação do cliente no nível de enlace, aí sim você  teria controle via MAC. Para isso precisaria de uma infra-estrutura de switch com suporte a 802.1x (referência: http://support.microsoft.com/kb/837911).

    - Criar uma regra que requer autenticação no no ISA, quando o visitante chegar e tentar acessar ele vai receber prompt de autenticação, e você então forneceria ao visitante uma conta temporária de domínio. Depois que o visitante saisse da empresa você desabilitaria a conta.

    - Isolar os visitante em uma VLAN, usar um range de IP fornecido pelo DHCP da empresa só para esta VLAN, criar uma regra no ISA restringindo o acesso a um address range, neste address range colocaria o range de IP usado pelos visitantes.

     

    Espero que ajude.

     

    Abraço,

     

    quinta-feira, 22 de maio de 2008 15:09
  • Oi Nilson. Boa tarde.

     

    Eu acrescentaria algo ao que Yuri e Diomedes já falaram: o uso do Firewall Client.

     

    Criando regras baseadas em grupos de usuários e liberando apenas para os grupos especificados forçará a necessidade de uso do Firewall Client.

     

    Porém, não implante o Firewall Client sem efetuar uma configuração prévia. Ele interferirá em praticamente todas as aplicações que utilizem o TCP/IP, pois modifica a camada Winsock. Colocá-lo sem um estudo prévio é um tiro no pé, porém o resultado final em termos de segurança é muito bom. Qualquer pessoa que tentar acessar a Internet ficará bloqueada caso não esteja autenticada.

     

    Espero ter ajudado!

     

    Um abraço!!!

    quinta-feira, 22 de maio de 2008 17:32
  • Olá Rogério,

     

    Não é preciso Firewall Client para usar regras baseadas em grupo. O Web Proxy client pode sim fazer autenticação de usuário, isso é padrão Proxy CERN para Web Client, não Microsoft. Aqui está a tabela comparativa dos clientes:

     

    The following table compares the ISA Server clients.

    Feature SecureNAT client Firewall client Web Proxy client

    Installation

    Yes, requires some network configuration changes

    Yes

    No, requires Web browser configuration

    Operating system support

    Any operating system that supports TCP/IP

    Only Windows platforms

    All platforms, but by way of a Web application

    Protocol support

    Application filters for multi-connection protocols

    All Winsock applications

    HTTP, Secure HTTP (HTTPS), and FTP

    User-level authentication support

    Yes, for VPN clients only

    Yes

    Yes

    http://www.microsoft.com/technet/isa/2004/help/CMT_AboutArch.mspx?mfr=true

     

    A necessidade de usar Firewall Client é apenas caso a aplicação externa seja uma aplicação que requer o uso de Winsock API. Aí sim, é necessário o uso de Firewall Client.

     

    Este artigo aqui foi totalmente baseado em regras com grupo de usuários e apenas usando Internet Explorer com Web Proxy Clent:

     

    Como você pode ver, o primeiro pacote que o cliente envia não tem as credencials, o ISA envia um 407 e em seguida o Internet Explorer (Web Proxy somente) envia as credenciais:

    http://technet.microsoft.com/en-us/library/bb984870.aspx

     

    Grande Abraço,

     

     

    quinta-feira, 22 de maio de 2008 17:52
  • Oi Yuri. Boa tarde.

     

    Você está certo. Contudo eu acho que não fui claro.

     

    Tenho ciência de que para aplicações webproxy o Firewall Client não é necessário.

     

    Eu apenas quis abranger toda e qualquer possibilidade de uso de aplicações, independente de serem clientes webproxy ou não.

     

    Um grande abraço!!!

    quinta-feira, 22 de maio de 2008 17:59
  • Beleza grande Rogério, sem problemas. Apenas para clarificar pois este é um "misunderstanding" comum sobre como os dois clientes funcionam.

     

    Grande Abraço pra ti e bom feriadão (pena que aqui não tem  ),

     

     

     

     

    quinta-feira, 22 de maio de 2008 18:02
  • Olá Nilson já conseguiu resolver seu problema?

     

    Me explique como é feito esse procedimento hoje, se é conectado por cabo ou por redes sem fios. Se for para redes sem fios acho que consigo te ajudar, inclusive amarrar o MAC, porém o MAC não será vinculado ao ISA e sim no AP.

     

    Se for cabeado, existe um determinado ambiente que os visitantes conectam seu equipamento ? ou simplesmente qualquer ponto já é ativo de rede? Ai depois vc ou a pessoa configura os procedimentos para obter acesso a internet.

     

    Possui cabeamento estruturado e switch pelo menos semi-gerenciaveis e que possua recursos de VLAN e MAC? O cabeamento não implica em nada no funcionamento, porém dependendo da sua estrutura ajuda muito.

     

    Eu tenho uma situação bem parecida com a sua, porém eu não tenho necessidade de amarrar o MAC e possuo tanto conexões para redes sem fios ou cabeadas e não tenho necessidade de me preocupar se o usuário quiser colocar um ip dentro do range da minha rede, pois ele não vai ter acesso.

     

    Inclusive como eu tenho uma estrutura de switch gerenciaveis eu consigo amarrar por VLAN e MAC, mas não vejo necessidade para o meu caso. Fiz alguns testes amarrando o MAC tanto para redes sem fios como para LAN e funcionou.

     

    Agora se vc me falar que qualquer ponto da sua rede é ativo, as coisas já ficam mais complicadas e aí é preciso adotar algumas regras de uso.

     

    Me retorne assim que possível e quem sabe consigo te ajudar.

     

    Abraços;

     

     

     

    sexta-feira, 6 de junho de 2008 01:27
  • sexta-feira, 6 de junho de 2008 12:25
    Moderador
  • Concordo com o link do Luiz Fernando, porém não é apenas seguir os conceitos que estão explicados que irá funcionar.

     

    Precisa configurar Roteamento, DHCP e definir algumas regras dependendo de como já estão configuradas. Segue mais um link para poder te ajudar.

     

    http://www.itcentral.com.br/default.asp?ACT=5&content=218&id=26&mnu=26

     

    Lembrando que dependendo da sua estrutura esse conceito pode não ser prático. No meu caso é super prático como eu já havia explicado.

     

    Abraços;

     

     

     

    sexta-feira, 6 de junho de 2008 14:05