Ivm dns proxy server

[fripke]

Hallo,

Ik heb een vraag ivm het beveiligen van de dns van een proxy server.

We draaien een endian proxy server die ingesteld staat als gateway.

De proxy server is ook onze dhcp server, op de router is dit uitgeschakeld.

Het probleem is dat het de gebruikers op het netwerk mensen zijn die hun eigen laptop meebrengen en waarover we dus weinig controle hebben.

Met de proxy server doen we aan content filtering en aan time based filtering.

Hoe kunnen we ervoor zorgen dat enkel de dns van de proxy bruikbaar is voor gebruikers op ons netwerk?

Want het is nog mogelijk om de dns handmatig te veranderen in die van de router of in die van de provider en zo wordt de proxy server genegeerd.

Iemand een idee?

Alvast bedankt

[stegisoft]

Het beste is om enkel de mac adres van uw computer te aanvaarden.

Ik weet niet of bij u kan maar in de router zou dat moeten kunnen.

Komt er een vreemde mac adres dan wordt het niet toegelaten.

[fripke]

Maar dan kunnen de gebruikers van de computers die aanvaard worden op mac adres hun dns handmatig gaan veranderen om de proxy te omzeilen.

Ipv het ip adres van de proxy kunnen ze dan het ip adres van de router ingeven of een dns van de provider.

Dan heeft de filtering van de proxy geen invloed op die pc's.

[stegisoft]

De poxy behoud je zoals je nu doet.

In de router kan je bij wireless en bij sommige ook bij firewall de mac adres toevoegen.

Gevolg: de router controleer wie binnen mag.

De server controleer de poxy.

Dus dubbel controle.

Ik heb dat ook zo gedaan en niemand kan bij ons binnen tenzij ik toelating geeft.

[fripke]

Je bedoelt toch alle mac adressen toevoegen van de computers die toegang mogen hebben tot het internet?

Hier hebben we geen server voor staan, hiermee bieden we internet aan voor wie wil.

Maar we willen toch een vorm van controle hebben op het surfgedrag.

De proxy is geïnstalleerd op een aparte pc die voor niets anders dient.

Maar ik ben niet helemaal mee denk ik.

Nadat je iemand toegang geeft op mac adres via de router, krijgt de gebruiker een ip adres toegekend. In het toegekende ip adres staat alles correct en afgestemd op de proxy.

De gebruikers werken op laptops van hun eigen, dus we hebben daar geen controle over via een domein. Ze kunnen dan toch gewoon hun gateway en dns veranderen om zo de proxy server te omzeilen? Of ben ik hier verkeerd?

Alvast bedankt!

[stegisoft]

Ik zou dit eens lezen als je dat ook gebruikt.

Kijk ook eens op bladzijde 35

De router wordt er inderdaad een IP adres gegeven maar ieder IP adres is heel gemakkelijk te omzeilen.

Je hebt geen server.

Hoe zet je dan proxy op?

19 juni 2010 aangepast door stegisoft

[fripke]

De endian firewall wordt op een aparte pc geïnstalleerd en staat gewoon in het netwerk.

De firewall/proxy doet ook dienst als gateway en geeft dhcp de ip adressen uit.

Het ip adres van de firewall/proxy wordt meegegeven als gateway en als dns.

Waar mijn vraag op het moment nog op neer komt is het volgende:

Is er een mogelijkheid om te zorgen dat het ip adres van de endian firewall het enige is dat gebruikt kan worden als dns op op de client pc's?

Dus als ze manueel hun dns zouden aanpassen naar bv. het ip van de router of de dns

van de provider dat deze niet werken of dat deze automatisch verwijzen naar de die van de firewall/proxy zodat het verkeer toch nog gecontroleerd wordt.

Hopelijk is de vraag een beetje duidelijk...

[stegisoft]

Dan zou het zo moeten opgesteld worden:

Modem -->Firewall server--->draadloos switch--->computers / Laptop.

Zo zou het ongeveer moeten zijn.

In dat geval kan je dan bepalen.

[fripke]

We hebben nu inderdaad de router er tussenuit gelaten en een 2de netwerkkaart in de pc voor de proxy gestoken. Zodat al het verkeer nu door de proxy moet lopen.