Firewall ZyWALL 5

[Vecio]

diciamo che di "smanettoni" non ce ne sono anche se cambiare IP ci si mette davvero molto poco, il MAC dove lo trovo ?

Ciao Lele.
Anzitutto, non è possibile impostare una regola del firewall con il nome del computer.
Invece, è possibile, come già suggerito da MaxFontana, legare l'ip al Mac address.
Il Mac address è un codice di 6 byte che identifica, univocamente, una scheda di rete.
Se, su ogni pc, da una finestra con il "prompt dei comandi" esegui il comando "ipconfig /all" , tra le informazioni ricevute, ne troverai anche una che riguarda la scheda Ethernet ed è "l'indirizzo fisico" a cui corrisponderà un valore tipo "00-26-18-F1-92-A6".
Questo valore è il Mac Address.
Lo Ziwall ha la possibilità di impostare il DHCP statico (lo trovi nelle funzionalità Network/LAN Screens/LAN static DHCP).
Da qui puoi fissare l'ip ad ogni Mac Address per tutti i pc della lan.
Così facendo, se un utente modifica il proprio ip, il router non troverà corrispondenza con il Mac address e lo bloccherà.
Le regole che hai impostato, se non cambi l'ip, valgono lo stesso.

francesco

Prodotti bici scontati

 

[merlingate]

Ciao Lele.
Anzitutto, non è possibile impostare una regola del firewall con il nome del computer.
Invece, è possibile, come già suggerito da MaxFontana, legare l'ip al Mac address.
Il Mac address è un codice di 6 byte che identifica, univocamente, una scheda di rete.
Se, su ogni pc, da una finestra con il "prompt dei comandi" esegui il comando "ipconfig /all" , tra le informazioni ricevute, ne troverai anche una che riguarda la scheda Ethernet ed è "l'indirizzo fisico" a cui corrisponderà un valore tipo "00-26-18-F1-92-A6".
Questo valore è il Mac Address.
Lo Ziwall ha la possibilità di impostare il DHCP statico (lo trovi nelle funzionalità Network/LAN Screens/LAN static DHCP).
Da qui puoi fissare l'ip ad ogni Mac Address per tutti i pc della lan.
Così facendo, se un utente modifica il proprio ip, il router non troverà corrispondenza con il Mac address e lo bloccherà.
Le regole che hai impostato, se non cambi l'ip, valgono lo stesso.

francesco

la "faccenda" si complica.........Mac Address l'ho trovato, ora controllo le impostazioni sul firewall.

GRAZIE ANCORA !!!

 

[spike]

Ciao Lele.
Lo Ziwall ha la possibilità di impostare il DHCP statico (lo trovi nelle funzionalità Network/LAN Screens/LAN static DHCP).
Da qui puoi fissare l'ip ad ogni Mac Address per tutti i pc della lan.
Così facendo, se un utente modifica il proprio ip, il router non troverà corrispondenza con il Mac address e lo bloccherà.

Mi lascia un po' perplesso quanto affermi, perché non capisco cosa c'entri il DHCP con il filtraggio del traffico. Se un utente di quelli non autorizzati all'accesso ad Internet imposta sul suo pc un IP fisso che non sia tra quelli filtrati, avrà in ogni caso la possibilità di uscire, indipendentemente da come possa essere configurato il DHCP.

 

[spike]

la "faccenda" si complica.........Mac Address l'ho trovato, ora controllo le impostazioni sul firewall.

Dalle schermate che ho visto non mi pare si possa impostare un filtraggio per MAC Address, cosa che in effetti, per vari motivi, non mi risulta essere molto comune nei firewall.

Se temi che qualcuno possa fare il furbo cambiando l'IP del suo pc per annullare il filtraggio del traffico puoi "invertire" le regole del firewall, anche se, secondo me, non è normale che l'utente abbia i permessi per cambiare IP :).

Ora il firewall è impostato per consentire tutto il traffico e bloccare solo i 4 IP non autorizzati all'accesso ad Internet. Questa impostazione è la più semplice da effettuare, ma richiede che gli utenti da bloccare non abbiano la possibilita di cambiarsi gli IP.
Modificando le regole in modo da bloccare tutto il traffico e consentire l'accesso solo agli IP autorizzati renderebbe (a meno di certe condizioni) molto più complicato oltrepassare il firewall.

Ci sono anche altre modifiche alle configurazioni dei pc che potresti effettuare per impedirgli di uscire su Internet, ma la loro efficacia dipende dalle conoscenza che loro hanno.

 

[Vecio]

Mi lascia un po' perplesso quanto affermi, perché non capisco cosa c'entri il DHCP con il filtraggio del traffico. Se un utente di quelli non autorizzati all'accesso ad Internet imposta sul suo pc un IP fisso che non sia tra quelli filtrati, avrà in ogni caso la possibilità di uscire, indipendentemente da come possa essere configurato il DHCP.

Infatti, il DHCP non c'entra con il filtraggio del traffico che, invece, è fatto dal firewall.

Il DHCP statico serve per assegnare ad ogni pc, tramite il mac address, sempre lo stesso ip, al contrario di quanto fa il DHCP dinamico .
In questo modo, poichè l'ip di ogni client sarà gestito dal DHCP statico che assegnerà sempre il valore preimpostato dall'amministratore di rete, il firewall lo filtrerà se rientra in una regola.

Lo Zywall permette queste impostazioni, tramite le funzionalità che ho elencato nel post a merlingate, semplicemente compilando una tabella mac address --> ip.

 

[merlingate]

Infatti, il DHCP non c'entra con il filtraggio del traffico che, invece, è fatto dal firewall.

Il DHCP statico serve per assegnare ad ogni pc, tramite il mac address, sempre lo stesso ip, al contrario di quanto fa il DHCP dinamico .
In questo modo, poichè l'ip di ogni client sarà gestito dal DHCP statico che assegnerà sempre il valore preimpostato dall'amministratore di rete, il firewall lo filtrerà se rientra in una regola.

Lo Zywall permette queste impostazioni, tramite le funzionalità che ho elencato nel post a merlingate, semplicemente compilando una tabella mac address --> ip.

questa, giusto ??

 

[spike]

Infatti, il DHCP non c'entra con il filtraggio del traffico che, invece, è fatto dal firewall.

Avevo interpretato in modo errato quanto avevi scritto.

Il DHCP statico serve per assegnare ad ogni pc, tramite il mac address, sempre lo stesso ip, al contrario di quanto fa il DHCP dinamico .
In questo modo, poichè l'ip di ogni client sarà gestito dal DHCP statico che assegnerà sempre il valore preimpostato dall'amministratore di rete, il firewall lo filtrerà se rientra in una regola.

Ora i pc hanno un indirizzo fisso, non assegnato tramite DHCP, e quello che si vuole evitare è che l'utente possa cambiare l'IP del suo pc per scavalcare le regole del firewall.

 

[Vecio]

questa, giusto ??

Si, è proprio lei

Ora i pc hanno un indirizzo fisso, non assegnato tramite DHCP, e quello che si vuole evitare è che l'utente possa cambiare l'IP del suo pc per scavalcare le regole del firewall.

Infatti, se anzichè fissare gli ip su ogni client, lo si fa fare al DHCP, avendo certezza che sarà assegnato sempre lo stesso ip per ogni computer, il problema non si porrà.

Non conosco, in dettaglio, la configurazione della rete di merlingate, ma da come scrive, immagino che ha un certo numero di client con XP, su ognuno dei quali ha fissato un indirizzo ip tramite la proprietà del TCP/IP di ciascuno.
Immagino anche che, ciascun utente ha privilegi per potere modificarsi, autonomamente, le impostazioni di rete.

Questa configurazione, ovviamente, significa che sullo Zywall è stato disabilitato il server DHCP.

Ebbene, anche se non l'ho mai provato, ritengo che, se su ogni client, si imposta la proprietà del TCP/IP affinchè ottenga un indirizzo IP automaticamente dal router, e se si abilita il server DHCP sullo Zywall, avendo cura però di compilare la tabella del DHCP statico, anche se un utente si autoassegnerà un altro IP, non sarà in grado di connettersi.

Ciò premesso, consiglio a Lele di fare questa prova, quando saranno andati via tutti i suoi collaboratori:

- spegnere tutti i pc, tranne uno da utilizzare per il test.
- modificare le impostazioni del TCP/IP del pc in modo da richiedere l'assegnazione automatica dell'indirizzo IP.
- abilitare il server DHCP sullo Zywall (Network/LAN/DHCP setup/DHCP =Server).
- inserire in Static DHCP il Mac address e relativo IP del computer

Ciò fatto provare tutte le funzionalità della rete, compreso l'accesso ad internet.
Se funziona tutto, inserire una regola nel firewall per bloccare, questa volta, l'IP.
Infine, provare ad assegnare un ip, diverso da quello inserito in Static DHCP, tramite le proprietà di TCP/IP del computer e provare a collegarsi ad internet (sicuramente non funzionerà).

Se il test sarà, come credo, positivo, allora occorrerà fare le stesse operazioni per tutti i client della LAN.

Spero di essere stato chiaro.

Ciao

francesco

 

[spike]

Ebbene, anche se non l'ho mai provato, ritengo che, se su ogni client, si imposta la proprietà del TCP/IP affinchè ottenga un indirizzo IP automaticamente dal router, e se si abilita il server DHCP sullo Zywall, avendo cura però di compilare la tabella del DHCP statico, anche se un utente si autoassegnerà un altro IP, non sarà in grado di connettersi.

Può essere che il firewall in questione offra una funzionalità del genere, anche se mi aspetto che vada impostata volontariamente e non sia abilitata di default. Ma mi spaventa comunque :afraid:

 

[Vecio]

Può essere che il firewall in questione offra una funzionalità del genere, anche se mi aspetto che vada impostata volontariamente e non sia abilitata di default. Ma mi spaventa comunque :afraid:

La funzionalità in questione è sicuramente supportata dallo Zywall e non è impostata di default.
Infatti oltre ad essere abilitato il server DHCP, deve essere compilata anche la tabella dello Static DHCP.
Non capisco perchè ti spaventa.
In fondo si tratta di una banale assegnazione di indirizzi IP da un server DHCP che, nel caso sia impostato in modalità statica, assegna un indirizzo statico anzichè dinamico.
Dal punto di vista sicurezza, anzi, è preferibile, perchè l'assegnazione degli IP, ricordo legati al mac address, è possibile soltanto accedendo al router e non su ogni client.

Il firewall, poi, continua a funzionare come funzionava prima con e/o senza eventuali regole di filtraggio.

 

[spike]

La funzionalità in questione è sicuramente supportata dallo Zywall e non è impostata di default.
Infatti oltre ad essere abilitato il server DHCP, deve essere compilata anche la tabella dello Static DHCP.
Non capisco perchè ti spaventa.

Non mi riferivo alle associazioni indirizzo IP/ indirizzo MAC statiche nel DHCP server.
A spaventarmi è che, se non ho capito male, il firewall può bloccare i pacchetti nei quali non rileva la corrispondenza IP/MAC che ha nella sua tabella DHCP (statica o dinamica, in realtà è uguale), cosa che, francamente, non è affatto usuale. Per cui sei obbligato ad assegnare tutti gli IP tramite DHCP e non puoi avere un router dietro il firewall (a meno che non sia possibile indicare delle eccezioni).
Se questa funzionalità fosse abilitata di default (solo inserendo entry statiche nella configurazione del DHCP) potrebbe creare non pochi problemi.

 

[Vecio]

A spaventarmi è che, se non ho capito male, il firewall può bloccare i pacchetti nei quali non rileva la corrispondenza IP/MAC che ha nella sua tabella DHCP (statica o dinamica, in realtà è uguale), cosa che, francamente, non è affatto usuale. Per cui sei obbligato ad assegnare tutti gli IP tramite DHCP e non puoi avere un router dietro il firewall (a meno che non sia possibile indicare delle eccezioni).

Ancora non capisco.
Mettiamola così e forse ti è più chiaro.
Voglio configurare una rete nella quale alcuni dispositivi assumano un IP dinamico ed altri, invece, un IP statico (tipico di un server oppure di un dispositivo che voglio controllare).
Tutto ciò lo voglio fare tramite DHCP.
Se il mio router, tramite DHCP, oltre a gestire l'assegnazione dinamica degli IP, mi permette anche di prenotare alcuni indirizzi e di assegnarli sempre a determinati dispositivi tramite il Mac, il gioco è fatto.
Lo Zywall permette appunto questa gestione, e lo Static DHCP, altro non è che una prenotazione di un determinato IP per un determinato dispositivo.
Non è proprio necessario assegnare gli IP a dispositivi che non devono avere un IP statico.
Vorrà dire che, agli altri dispositivi della rete, il DHCP assegnarà un IP dinamico.

Per quanto riguarda il firewall, se devo filtrare un IP, assegno una regola su quell'IP, indipendemente che sia stato fissato direttamente sul dispositivo (anche in questo caso si ha una corrispondenza Mac-->IP), oppure tramite DHCP.

 

[spike]

Ancora non capisco.
Mettiamola così e forse ti è più chiaro.
Voglio configurare una rete nella quale alcuni dispositivi assumano un IP dinamico ed altri, invece, un IP statico (tipico di un server oppure di un dispositivo che voglio controllare).
Tutto ciò lo voglio fare tramite DHCP.
Se il mio router, tramite DHCP, oltre a gestire l'assegnazione dinamica degli IP, mi permette anche di prenotare alcuni indirizzi e di assegnarli sempre a determinati dispositivi tramite il Mac, il gioco è fatto.
Lo Zywall permette appunto questa gestione, e lo Static DHCP, altro non è che una prenotazione di un determinato IP per un determinato dispositivo.
Non è proprio necessario assegnare gli IP a dispositivi che non devono avere un IP statico.
Vorrà dire che, agli altri dispositivi della rete, il DHCP assegnarà un IP dinamico.

Per quanto riguarda il firewall, se devo filtrare un IP, assegno una regola su quell'IP, indipendemente che sia stato fissato direttamente sul dispositivo (anche in questo caso si ha una corrispondenza Mac-->IP), oppure tramite DHCP.

Purtroppo nella comunicazione scritta è spesso difficile spiegarsi in modo corretto, soprattutto quando si scrivono i messaggi in fretta al mattino prima di uscire un bici :)

Provo a spiegarmi meglio.

Seguendo quanto hai scritto precedentemente vengono impostati nella configurazione del DHCP statico le corrispondenze MAC -> IP per ogni pc della rete.
In questo modo ogni pc riceve sempre lo stesso IP e quelli che non sono abilitati all'uscita verso Internet saranno quindi filtrati in base alle regole impostate nella configurazione del firewall.
Fino qui ci siamo.
Quello che io non capisco, e che mi perplime, è in base a quale principio ti aspetti che impostando su uno dei pc "bloccati" una configurazione manuale (non quindi tramite DHCP) ed assegnandogli un IP non bloccato dalle regole del firewall, quest'ultimo filtri in qualche modo il traffico proveniente da quel pc. Se questo firewall offre in qualche modo una funzionalità del genere mi aspetto che questa debba essere abilitata volontariamente e non che lo sia di default semplicemente inserendo entry statiche nella configurazione del DHCP, in quanto questa funzionalità non ha nulla a che vedere con il servizio offerto da un server DHCP, e mi aspetto che il servizio funzioni allo stesso modo indipendentemente dall'apparato che lo fornisce, cosa che, in questo caso, non sarebbe.
Per quanto riguarda la corrispondenza MAC -> IP, mica c'è necessariamente.

 

[Vecio]

Provo a spiegarmi meglio.

o.k., adesso è chiaro

Quello che io non capisco, e che mi perplime, è in base a quale principio ti aspetti che impostando su uno dei pc "bloccati" una configurazione manuale (non quindi tramite DHCP) ed assegnandogli un IP non bloccato dalle regole del firewall, quest'ultimo filtri in qualche modo il traffico proveniente da quel pc.

No, no, il firewall non c'entra nulla.
La mia supposizione si basa sul fatto che, forse e ripeto forse, tant'è vero che ho raccomandato di fare una verifica pratica, se è attivato il server DHCP, e gli è stato detto di riservare un IP per uno specifico Mac, ci sia poi un controllo della mappatura Mac/IP al momento della connessione.
Se così fosse, il client non dovrebbe riuscire a connettersi.

Effettuare una prova del genere è questione di pochissimi minuti e risolverebbe tutti i dubbi :-)

Se il test fallisce, si potrebbe lasciare tutto com'è adesso, e disabilitare la possibilità di modificare le proprietà del TCP/IP su ogni pc, anche se si hanno privilegi da administrator, con il "gpedit.msc".
E' una pezza, perchè si suppone che gli utenti non siano evoluti, non conoscano il comando e non sappiano come utilizzarlo.
Però è meglio di niente......

 

[merlingate]

oggi non ho avuto tempo di metterci le mani, ci aggiorniamo domani