Έλεγχος πρόσβασης στο Διαδίκτυο ανά Εργαστήριο

Ξεκίνησε από galatisp, 14 Νοε 2014, 08:09:49 ΜΜ

« προηγούμενο - επόμενο »
Εκτύπωση
Κάτω Σελίδες1
User actions

galatisp

14 Νοε 2014, 08:09:49 ΜΜ
Το Εργαστηριακό Κέντρο (πρώην Σ.Ε.Κ.), που υπηρετώ, έχει 6 Εργαστήρια Η/Υ που μοιράζονται μια σύνδεση DSL.

Θέλουμε  να παρέχουμε δυνατότητα στους καθηγητές να ελέγχουν την πρόσβαση στο Διαδίκτυο μόνο για το Εργαστήριο που χρησιμοποιούν, χωρίς
να επιρρεάζονται οι υπόλοιποι Η/Υ των άλλων Εργαστηρίων.

Όλοι οι Η/Υ στα Εργαστήρια έχουν στατικές IP addresses στην ίδια C class και είναι δηλωμένοι στο ίδιο Domain (Active Directory).

Μια σκέψη που κάναμε ήταν να στήσουμε ένα μηχάνημα linux ως Gateway/firewall/proxy. Στο ίδιο μηχάνημα τρέχει επίσης και apache.

Ορίσαμε default κανόνες πρόσβασης (squid access rules) ανά ομάδα Η/Υ (Εργαστήριο) και φτιάξαμε php scripts που αλλάζουν αυτούς τους κανόνες.

Οπότε οι καθηγητές επισκέπτονται σελίδες που φιλοξενούνται στο firewall που με τη σειρά τρέχουν τα παραπάνω  scripts και αλλάζουν την πρόσβαση στο Διαδίκτυο για το Εργαστήριο που χρησιμοποιούν.

Παράλληλα με κανόνες πολιτικής στο Domain ορίζουμε ως proxy server το squid στο firewall και δεν επιτρέπουμε την αλλαγή του.

Υπάρχει μήπως καμμιά άλλη ιδέα για το πώς θα μπορούσε να γίνει αυτό που ζητάμε;



Ι.Αναστόπουλος

#1
03 Δεκ 2014, 12:06:32 ΠΜ
https://www.untangle.com/

Είναι free. Το εγκαθιστάς σε Η/Υ με 2 κάρτες δικτύου και το ορίζεις σε TRANSPARENT MODE. 1 H/Y ανά εργαστήριο και ελέγχεις τα πάντα.



stergiosa

#2
29 Ιαν 2015, 06:33:04 ΜΜ
Παράθεση από: Ι.Αναστόπουλος στις 03 Δεκ 2014, 12:06:32 ΠΜ
https://www.untangle.com/

Είναι free. Το εγκαθιστάς σε Η/Υ με 2 κάρτες δικτύου και το ορίζεις σε TRANSPARENT MODE. 1 H/Y ανά εργαστήριο και ελέγχεις τα πάντα.

Σε εγκατάσταση που έκανα σε ένα εργαστήριο οι περισσότερες υπηρεσίες είναι Free trial. 14 days remain.

Ι.Αναστόπουλος

#3
31 Ιαν 2015, 09:25:21 ΜΜ
Μπορείς να χρησιμοποιήσεις τις Lite εκδόσεις των εφαρμογών που είναι FREE

galatisp

#4
11 Μαρ 2015, 09:46:47 ΜΜ
Αν κατάλαβα καλά η εγκατάσταση του untangle χρειάζεται dedicated PC.
Επίσης τα PCs του Εργαστηρίου πρέπει να έχουν gw τον Η/Υ του untangle.

Το έχει δοκιμάσει κανείς σε παραπάνω από ένα εργαστήρια;


Ι.Αναστόπουλος

#5
11 Μαρ 2015, 09:58:36 ΜΜ Τελευταία τροποποίηση: 11 Μαρ 2015, 10:24:39 ΜΜ από Ι.Αναστόπουλος
Σε transparent mode οι σταθμοί των χρηστών παραμένουν να έχουν gateway τον router αλλά η ροή της επικοινωνίας γίνεται φυσικά από το dedicated pc. Αν το dedicated pc χαλάσει απλά το αποσυνδέεις και το δίκτυο συνεχίζει να δουλεύει καννικά.

Αναλυτική περιγραφή του Transparent mode

http://wiki.untangle.com/index.php/Installation#Transparent_Bridge


Στο συνημμένο έχω βάλει ενδιεκτικό πλάνο εφαρμογής στο Σχολικό εργαστήριο

stergiosa

#6
11 Μαρ 2015, 11:01:45 ΜΜ
H εγκατάσταση  απαιτεί dedicated PC.
Για περισσότερα εργαστήρια μπορεί ο server (dedicated PC ) να έχει περισσότερες κάρτες δικτύου, μία για κάθε εργαστήριο.
   
Το "πρόβλημα" με τη free έκδοση είναι ότι τα φίλτρα δεν λειτουργούν στο https, καθιστώντας  το σχεδόν άχρηστο αφού τα περισσότερα site χρησιμοποιούν  https.

     

apapakL

#7
12 Μαρ 2015, 01:54:02 ΠΜ Τελευταία τροποποίηση: 14 Μαρ 2015, 02:23:31 ΜΜ από apapakL
Ναι σίγουρα χρειάζεσαι πολλαπλές κάρτες δικτύου σε dedicated μηχάνημα.

Το πρόβλημα με το φιλτράρισμα https σε transparent mode είναι ότι γίνεται παρεμβολή ενός τρίτου χωρίς να το γνωρίζει ο χρήστης που αιτείται την secure πληροφορία (man in the middle) ... Και αυτό είναι "ανήθικο"...

Για να το πετύχεις πχ με χρήση squid χρειάζεται να κάνεις κάποιες χειροκίνητες ρυθμίσεις και κατά βάση recomplile του squid, χρήση iptables και δημιουργία ssl certificates... Να ένα σχετικό άρθρο που έχει πληροφορίες για το θέμα αλλά και κάποιες οδηγίες επίλυσής του με βάση την διανομή Linux Zentyal --> http://labs.zentyal.org/https-transparent-proxy-in-zentyal/

Κυκλοφορούνε διάφορα how to βασισμένα και σε άλλες διανομές όπως centos --> http://roberts.bplaced.net/index.php/linux-guides/centos-6-guides/proxy-server/squid-transparent-proxy-http-https και http://xmodulo.com/transparent-https-filtering-proxy-centos.html

και

debian -->  http://codepoets.co.uk/2014/squid-3-4-x-with-ssl-for-debian-wheezy/

Άλλα εργαλεία προσανατολισμένα σε proxying (που έχουμε δοκιμάσει και χρησιμοποιήσει σε μονάδες και υπηρεσίες στην αρμοδιότητα του ΚΕΠΛΗΝΕΤ Γ Αθήνας) είναι το untangle που αναφέρεται παραπάνω, καθώς και τα pfsence , smoothwall .

Προσωπικά μου αρέσει το Zentyal γιατί δίνει πολλές επιλογές infrastructure με τη χρήση ενός ενιαίου web interface --> Το community edition διατίθεται ελεύθερα --> http://www.zentyal.org/ ...

Πολλά tutorials και οδηγοί εδώ (για διάφορους τρόπους χρήσης του zentyal με πολύ χρήσιμη αυτή του active directory dropin replacement με samba4) --> http://www.zentyal.org/2014/04/how-to-zentyal-tutorials-at-tecmint-com/



θα βρεις και άλλα αν googlάρεις "squid transparent https"....

alkisg

#8
12 Μαρ 2015, 08:37:24 ΠΜ
Παιδιά δεν το έχω ψάξει πολύ περί proxies, αλλά να καταθέσω μόνο ότι το Linux υποστηρίζει πολύ εύκολα το να έχει κανείς πολλαπλές IP στην ίδια κάρτα δικτύου. Έτσι είναι δυνατόν να έχουμε π.χ. 5 εργαστήρια, και ο server να έχει μία κάρτα δικτύου με πολλές IP=192.168.1.10, 192.168.2.10, ..., 192.168.5.10. Μπορεί να δίνει DHCP σε όλα τα εργαστήρια κι ας έχουν αυτά διαφορετικά subnets IDs (192.168.x) μεταξύ τους, αρκεί φυσικά η καλωδίωση να είναι όλη στο ίδιο υποδίκτυο. Σαν gateway τα μηχανήματα θα έχουν το 192.168.x.10, και ο server θα επικοινωνεί με τον router μέσω μιας ακόμα IP ας πούμε 192.168.0.10 (server) => 192.168.0.1 (router).

Σε δοκιμή που είχα κάνει, είχα καταφέρει transparent squid με μία κάρτα δικτύου και διπλή IP στον server.

fupat2

#9
12 Μαρ 2015, 12:07:02 ΜΜ Τελευταία τροποποίηση: 12 Μαρ 2015, 12:17:57 ΜΜ από fupat2
Παράθεση από: galatisp στις 14 Νοε 2014, 08:09:49 ΜΜ
Το Εργαστηριακό Κέντρο (πρώην Σ.Ε.Κ.), που υπηρετώ, έχει 6 Εργαστήρια Η/Υ που μοιράζονται μια σύνδεση DSL.

Θέλουμε  να παρέχουμε δυνατότητα στους καθηγητές να ελέγχουν την πρόσβαση στο Διαδίκτυο μόνο για το Εργαστήριο που χρησιμοποιούν, χωρίς
να επιρρεάζονται οι υπόλοιποι Η/Υ των άλλων Εργαστηρίων.

Όλοι οι Η/Υ στα Εργαστήρια έχουν στατικές IP addresses στην ίδια C class και είναι δηλωμένοι στο ίδιο Domain (Active Directory).

Μια σκέψη που κάναμε ήταν να στήσουμε ένα μηχάνημα linux ως Gateway/firewall/proxy. Στο ίδιο μηχάνημα τρέχει επίσης και apache.

Ορίσαμε default κανόνες πρόσβασης (squid access rules) ανά ομάδα Η/Υ (Εργαστήριο) και φτιάξαμε php scripts που αλλάζουν αυτούς τους κανόνες.

Οπότε οι καθηγητές επισκέπτονται σελίδες που φιλοξενούνται στο firewall που με τη σειρά τρέχουν τα παραπάνω  scripts και αλλάζουν την πρόσβαση στο Διαδίκτυο για το Εργαστήριο που χρησιμοποιούν.

Παράλληλα με κανόνες πολιτικής στο Domain ορίζουμε ως proxy server το squid στο firewall και δεν επιτρέπουμε την αλλαγή του.

Υπάρχει μήπως καμμιά άλλη ιδέα για το πώς θα μπορούσε να γίνει αυτό που ζητάμε;

Μπορείς να πας στο ρουτεράκι που σε βγάζει έξω στο internet, και να το ρυθμίσεις να έχει virtual networks (λέγεται και Virtual LAN ή απλά vlan)
Τα περισσότερα dslmodem υποστηρίζουν κάτι τέτοιο.

Το ένα εργαστήριο θα έχει π.χ. από 192.168.15.1 ως 255 , το άλλο π.χ. από 192.168.34.1 ως 255 κλπ
Και φυσικά θα ορίσεις και το dhcp ανάλογα.

Έτσι το κάθε εργαστήριο θα είναι απομονωμένο από το άλλο και θα μπορείς να ορίσεις ευκολότερα τις πολιτικές πρόσβασης στο ιντερνετ.



Η παιδεία είναι άσκηση ελευθερίας, που λυτρώνει τόσο τον μαθητή όσο και τον παιδαγωγό από μια δίδυμη υποδούλωση. Την υποδούλωση της σιωπής (που αφορά κυρίως τον μαθητή) και την υποδούλωση του μονολόγου (που αφορά κυρίως τον παιδαγωγό).
Εκτύπωση
Πάνω Σελίδες1
User actions