Routage - Comment interdire le net au PC non connecté au domaine

Routage - Comment interdire le net au PC non connecté au domaine - Windows & Software

Marsh Posté le 16-08-2002 à 22:40:00    

Bon voila :
 
Un server 2000 fais office de passerelle vers le net pour les postes clients grace au routage et accés distant.
 
Je me suis rendu compte que même si les machines ne sont pas connecté au domaine et ben ELLES ONT LE NET  
Et ca c' est une situation insupportable pour la sécurité de mon domaine :D :D :D  
 
Comment faire pour que les postes non connecté au domaine n' est absolument aucun accés au net possible ou au moins qu' on leurs demande de s' authentifier sur la passerelle ??????????

Reply

Marsh Posté le 16-08-2002 à 22:40:00   

Reply

Marsh Posté le 16-08-2002 à 23:09:08    

Bon ben la y' a pas foule

Reply

Marsh Posté le 16-08-2002 à 23:23:04    

symantec a écrit a écrit :

Bon voila :
 
Un server 2000 fais office de passerelle vers le net pour les postes clients grace au routage et accés distant.
 
Je me suis rendu compte que même si les machines ne sont pas connecté au domaine et ben ELLES ONT LE NET  
Et ca c' est une situation insupportable pour la sécurité de mon domaine :D :D :D  
 
Comment faire pour que les postes non connecté au domaine n' est absolument aucun accés au net possible ou au moins qu' on leurs demande de s' authentifier sur la passerelle ??????????




Faire ca simplement ca va être difficile ... à mon avis

Reply

Marsh Posté le 16-08-2002 à 23:27:05    

Y' a pas une stratégie qui empéche l' utilisation du net .....
 
Comme dans les boîtes : un groupe de user qui a accés au net et qui demande un pass et un nom de user dés qu' il veut aller sur le net  
 
C' est pas possible que MS est pas prévus ca

Reply

Marsh Posté le 16-08-2002 à 23:36:03    

Je ne connais pas du tout 2k ser, AD, les GPO, etc.. mais j'ai approché les resrictions appliquées via GPEDTI.MSC sur un XP Pro.
 
Il y a moyen de forcer les paramètre d'IE (Proxy, etc..).
 
Ne serait-il pas possible de jouer avec ce paramètre ? Utiliser un proxy pour tous les Users logués (appliqué par AD si j'ai bien compris (du peu que j'en ai entendu)).
 
Enfin un truc dans le genre.


---------------
Vidéo Concorde Air France | www.kiva.org
Reply

Marsh Posté le 16-08-2002 à 23:36:22    

symantec a écrit a écrit :

Y' a pas une stratégie qui empéche l' utilisation du net .....
 
Comme dans les boîtes : un groupe de user qui a accés au net et qui demande un pass et un nom de user dés qu' il veut aller sur le net  
 
C' est pas possible que MS est pas prévus ca




Ils font ca par un système de Proxy  .. et qd c'est celui de Microsoft, c'est plus simple encore pour les clients Windows, car il sait gérer l'authencation sur un domaine NT (il sait interroger un controleur de domaine en gros)
Mais pour le routage, en lui même et tout seul, c'est impossible de faire la même chose à cause de la nature même des infos contenues dans les paquets IP : il n'y a que les IP sources et destinaires d'intéressantes en gros ... on peut donc pas matcher un login/mdp sur un domaine, car ca serait une cata en terme de perfs je pense ...


Message édité par Zzozo le 16-08-2002 à 23:46:18
Reply

Marsh Posté le 16-08-2002 à 23:38:39    

symantec a écrit a écrit :

Y' a pas une stratégie qui empéche l' utilisation du net .....
 
Comme dans les boîtes : un groupe de user qui a accés au net et qui demande un pass et un nom de user dés qu' il veut aller sur le net  
 
C' est pas possible que MS est pas prévus ca




Par contre au niveau de la startégie je sais pas ... faut creuser mais ce sera pas une solution simple à mon avis ... faut voir si on peut restreindre un client à certaines adresses IP par le biais d'une stratégie ... mais là je sais pas

Reply

Marsh Posté le 16-08-2002 à 23:42:19    

Bon ben mon problêmes actuel c' est que je peux plus accéder aux propriétés de la MMC.
J' ai un accés refusé a chaque tentative  
Même avec tout les run as que je veux ca passe pas  
 
Je remarque un truc bizarre sur mon serveur c' est que le proccesus LSASS.EXE me prends 30 mégas (c' est cdelui qui prends le plus)
 
Je trouve ca bizarre  
 
Pour rappel LSASS.EXE s' occupe de toutes les authentifications et des autorisations  
 
Putain mon serveur part en couille
Ca craint  
 

Reply

Marsh Posté le 16-08-2002 à 23:44:50    

la proposition du proxy est surement la reponse a ta question car je vois aps comment autrement ;)


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 16-08-2002 à 23:45:21    

Groody a écrit a écrit :

Je ne connais pas du tout 2k ser, AD, les GPO, etc.. mais j'ai approché les resrictions appliquées via GPEDTI.MSC sur un XP Pro.
 
Il y a moyen de forcer les paramètre d'IE (Proxy, etc..).
 
Ne serait-il pas possible de jouer avec ce paramètre ? Utiliser un proxy pour tous les Users logués (appliqué par AD si j'ai bien compris (du peu que j'en ai entendu)).
 
Enfin un truc dans le genre.




 
Moi j' ai pas trop envie pour l' instant d' installer un proxy (c' est pour biêntôt avec ISA Serveur)
Le routage et accés distant fonctionne trop bien mais bon au niveau sécurité j' ai des doutes  
 
Je suis peut être parano mais vue que c' est facile de se connecter au net de l' intérieur, je vois pas pourquoi de l' extérieure ca ne serais pas pareil..........

Reply

Marsh Posté le 16-08-2002 à 23:45:21   

Reply

Marsh Posté le 16-08-2002 à 23:47:13    

symantec a écrit a écrit :

 
 
Moi j' ai pas trop envie pour l' instant d' installer un proxy (c' est pour biêntôt avec ISA Serveur)
Le routage et accés distant fonctionne trop bien mais bon au niveau sécurité j' ai des doutes  
 
Je suis peut être parano mais vue que c' est facile de se connecter au net de l' intérieur, je vois pas pourquoi de l' extérieure ca ne serais pas pareil..........  




Dans ce cas, fw ...

Reply

Marsh Posté le 16-08-2002 à 23:47:14    

suis vraiment trop con moi ce soir
 
et dans rras t'as essayer de jouer avec stategie d'acces distant?


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 16-08-2002 à 23:49:03    

Bon si vraiment y' a pas de solutions, je mettrais en place Isa Server
Mais bon malgré les tutoriels c' est quand même balaiez comme machin  
 
Mon edonkey y vas passer ?????  :cry:  :cry:

Reply

Marsh Posté le 16-08-2002 à 23:50:01    

regarde ca avant
dans la mmc de rras : stategie d'acces distant


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 16-08-2002 à 23:52:01    

boisorbe a écrit a écrit :

suis vraiment trop con moi ce soir
 
et dans rras t'as essayer de jouer avec stategie d'acces distant?




 
Ben moi aussi je suis un peu con parce que c' est en voulant faire un tour la dedans que je me suis rendu compte que j' avais que des accés refusés !!!!!!!
 
Faudrais que je reboote mais ca m' embéte un peu a l' heure actuelle
Je suis en plein gros download  
 
 
Mais je pense qu' il y' a moyen de faire quelques chose la dedans  
 
Parce que si y' a tout le monde, je le vire et je mets "utilisateurs du domaine"  
 
 
Je fais un up dés que j' ai retrouvé la main sur mes autorisations........

Reply

Marsh Posté le 16-08-2002 à 23:59:41    

quand tu fais une nouvelle strategie tu peux choisir appartenance a un groupe windows ;)
 
par contre pas encore tester donc tiens nous au courant du reglage qui va bien si ca marche ;)


Message édité par boisorbe le 17-08-2002 à 00:01:25

---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 17-08-2002 à 00:07:18    

quand tu retourneras dans la mmc de rras clique sur l'aide y a tout plein sur ca ;)


---------------
"Tout ce que je sais c'est que je ne sais rien" Socrate
Reply

Marsh Posté le 18-08-2002 à 13:53:57    

ben alors tu en es de ce pb?
 
tiens nous au courant ;)
 
suis con remarque je pourrais tester de mon cote :D

Reply

Marsh Posté le 18-08-2002 à 14:16:19    

J'ai une idée, mais ca demande pas mal de boulot, c'est vraiment si t'a rien d'autre !!!
 
Dans les paramètres DHCP tu enlèves les infos de passerelles internet -> Plus de net.
 
Tu actives les connections VPN sur ton server et dans les infos VPN la passerelles est automatiquement envoyée.
 
Tes users VPN sont autentifié par AD et donc, seuls les users du domaine auront le net. (il faut leur crée la connection VPN...)
 
C'est une solution de taré, mais ca peut marcher...
 
Bon vive ISA Server  :D

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed