Firewall s „parental lock“ pro Windows

JmJ

  • ****
  • 315
    • Zobrazit profil
Firewall s „parental lock“ pro Windows
« kdy: 12. 11. 2015, 12:22:25 »
Zdravim,

shanim tip na software, ktery by blokoval vybranym zpusobem sitovou komunikaci a ktery by blokovani zrusil po zadani hesla.

O co jde:
Mam PC s Win 7, na tom PC bezi nejaka prumyslova aplikace. PC je pripojene do internetu. Uzivatel nema mit moznost pouzivat internet, ale musi byt mozne se vzdalene pripojit pres teamviewer a pokud s PC pracuje povolanejsi osoba, pak musi mit k internetu neomezeny pristup.

Idealne aplikace, ktera ma GUI bydlici v system tray, dvojklik na ikonku, zadam heslo a mam plny pristup do netu.

Myslim si, ze staci, aby aplikace umela blokovani vybranych portu. Zadne sofistikovane reseni sitove komunikace neni treba.
« Poslední změna: 12. 11. 2015, 12:49:15 od Petr Krčmář »


Wololo

Re:Firewall s „parental lock“ pro Windows
« Odpověď #1 kdy: 12. 11. 2015, 13:17:36 »
Windows tady neresime.

Nektery antiviraky maj takovyhle nejaky reseni a featury, pristup na windowsech muzes nastavit pres proxy .... co ku*va ty MVP v tom M$ delaj?!

crown

Re:Firewall s „parental lock“ pro Windows
« Odpověď #2 kdy: 12. 11. 2015, 15:13:40 »
Co tu blokaci nastavit na routeru pred pocitacem. Nez se podpora pripoji, tak to na routeru na urcity cas vypne.

Router muze byt treba nexx WT3020 s openwrt (mam ho tady na stole jako priklad). A v nem pristupem na urcitou stranku spustime lua script, ktery povoli na jednu hodinu pristup vsude.

Zaroven to zabrani, aby se nekdo na cilovem pocitaci zmenou konfigurace dostal na neomezeny internet.

PS: a bude to na linuxu :-)

JmJ

  • ****
  • 315
    • Zobrazit profil
Re:Firewall s „parental lock“ pro Windows
« Odpověď #3 kdy: 12. 11. 2015, 15:47:42 »
Zadne routry po ceste neovladam a ovladat nemuzu. Muzu se pres TV prihlasit na dane PC.

vpn

Re:Firewall s „parental lock“ pro Windows
« Odpověď #4 kdy: 12. 11. 2015, 15:54:44 »
vpn + forward proxy na stroji kde je vpn klient a ma pristup na internet. bez vpn nebude fungovat internet, cize len uzivatel s certifikatom/heslom bude mat pristup cez proxy na internet.


yeti

Re:Firewall s „parental lock“ pro Windows
« Odpověď #5 kdy: 12. 11. 2015, 20:05:59 »
dobrá zkušenost s tímto: http://www1.k9webprotection.com/

ZAJDAN

  • *****
  • 2 078
    • Zobrazit profil
    • E-mail
Re:Firewall s „parental lock“ pro Windows
« Odpověď #6 kdy: 13. 11. 2015, 12:55:30 »
neco takového uměl i ZONE ALARM (CheckPoint)
Vesele, vesele do továrny dělník běží...vesele, vesele do továrny jde. Vesele se usmívá když mu soustruh zazpívá...vesele, vesele do továrny jde. Vesele si poskočí když se soustruh roztočí ...vesele, vesele do továrny jde.

co_to

Re:Firewall s „parental lock“ pro Windows
« Odpověď #7 kdy: 13. 11. 2015, 13:37:58 »
Opravdu dava smysl pripojeni nekde zakazovat? K cemu je to prosim dobre?

Lol Phirae

Re:Firewall s „parental lock“ pro Windows
« Odpověď #8 kdy: 13. 11. 2015, 16:12:59 »
neco takového uměl i ZONE ALARM (CheckPoint)

OMG. Ano, to je skvělé řešení, pokud si chceš zbořit OS.

Medo

Re:Firewall s „parental lock“ pro Windows
« Odpověď #9 kdy: 13. 11. 2015, 17:32:03 »
Takto prasacky ... hm ... Ak je to mozne (z pohladu tej prevadzkovanej APP), konto by som prepol na obycajneho usera s UAC (ak je to nieco od visty vissie)
Tym padom ma user obmedzene moznosti nieco instalovat/menit/obchadzat ...
Na ploche vytvorit odkaz na zmenu nastavenia prehliadace/prehliadacov (neexistujuci proxy) v registroch.
Nevyhodou riesenia je, ze admin nesmie po skonceni prace zase vyssie uvedene vypnut ...
Od usera to bude pytat heslo na admina, a to samozrejme nebude vediet ...

TVL

Re:Firewall s „parental lock“ pro Windows
« Odpověď #10 kdy: 13. 11. 2015, 18:48:58 »
Absolutně netuším co to je za průmyslovou aplikaci a jak funguje. Ale průmyslových aplikací jsem pár viděl a pár naprogramoval.
-Je dost pravděpodobné, že ta aplikace bude potřebovat admin práva (minimálně na část svých funkcí).
-Je dost pravděpodobné, že to není napsáno jako windows služba, ale jako normální aplikace, která běží v nějakém uživatelském/admin účtu. Takže přepínání uživatelů absolutně nic neřeší. Pokud přepnete uživatele, tak nemáte přístup k té běžící instanci v tom jiném uživatelském profilu. Spuštění druhé instance v druhém profilu ta aplikace typicky nepodporuje. A i kdyby ano, tak vy potřebujete pracovat s tou instancí, co běží trvale od spuštění počítače a né si spouštět novou bez historie. Tu běžící instanci samozřejmě nemůžete vypnout, protože jinak tím typicky zastavíte ten průmyslový proces (i když ho neřídí, ale třeba z něj "jenom" sbírá data).

A obecně zajistit, aby součástí řídícího systému bylo plnohodnotné PC s windows a síťovým připojením a zajistit, aby tam z toho operátoři neudělali časem kůlničku na dříví, to byl vždy těžký úkol - a rozhodně to nemělo jedno správné a široce aplikované řešení.
Typicky je to PC zapojeno do nějaké firemní sítě, která má nějaké admina, který připojení k internetu zajistí přes zaheslovanou VPN.
Pokud tam ale běži teamviewer, tak to asi bude nějaká menší firma a pak je každá rada drahá. Časté řešení bylo, že je tam přísně nastavený firewall s pár věcmi na whitelistu (typicky ta aplikace pro vzdálení připojení) - a pokud se k tomu někdo vzdáleně připojí, tak má prostě předem definovaný kanál, jak na ten počítač dostane nějaký patch, nějaká data, nebo tak. Prostě nemá možnost volného přístupu k internetu z toho průmyslového PC, protože vše co potřebuje bylo předem definováno a whitelistováno.


TVL

Re:Firewall s „parental lock“ pro Windows
« Odpověď #11 kdy: 13. 11. 2015, 18:52:40 »
Nevyhodou riesenia je, ze admin nesmie po skonceni prace zase vyssie uvedene vypnut ...

A pokud se při tom vzdáleném přístupu něco pokazí, spojení přestane fungovat, tak admin nic nevypne i když si to bude pamatovat 100x :-)

Medo

Re:Firewall s „parental lock“ pro Windows
« Odpověď #12 kdy: 13. 11. 2015, 20:56:53 »
Nemal som na mysli prepinanie userov ako take (2 rozne pracovne plochy), ale degradaciu konta z "admina" na "limited user" ...
Osekat usera z "defaultneho" admina ... (ako to ostatne je mozne vidiet vo vela instalaciach) ...
Co sa tyka funkcnosti app, zalezi ako inteligetne je napisana, resp. napr. ako su nastavene prava na adresar pre daneho usera, atd.
Do urcitej miery sa "tunit" sa vzdy ...

A ked sa aj nieco pokazi, nic sa nedeje, maximalne nejaku dobu pobezi userom "internet" (Ak na to vobec pridu, pretoze budu predpokladat, ze je to zakazane).

To ze to nema domenu, a mozno ani pana (admina), je uz ina vec.

TVL

Re:Firewall s „parental lock“ pro Windows
« Odpověď #13 kdy: 13. 11. 2015, 21:21:54 »
Nemal som na mysli prepinanie userov ako take (2 rozne pracovne plochy), ale degradaciu konta z "admina" na "limited user" ...
Osekat usera z "defaultneho" admina ... (ako to ostatne je mozne vidiet vo vela instalaciach) ...
Co sa tyka funkcnosti app, zalezi ako inteligetne je napisana, resp. napr. ako su nastavene prava na adresar pre daneho usera, atd.
Do urcitej miery sa "tunit" sa vzdy ...

A ked sa aj nieco pokazi, nic sa nedeje, maximalne nejaku dobu pobezi userom "internet" (Ak na to vobec pridu, pretoze budu predpokladat, ze je to zakazane).

To ze to nema domenu, a mozno ani pana (admina), je uz ina vec.

Ano, přepínání uživatelů jsi explicitně nenavrhoval, ale koukalo mi to tam z toho, tak jsem to okomentoval.
A k typické možnosti provozovat průmyslovou aplikaci pod omezeným účtem také. Hodně aplikací admin práva vyžaduje - a není to tím, že by byly neinteligentně napsané, ale to by bylo na delší debatu.

Když se něco pokazí, tak na tom počítači zůstane rozdělaná session, pravděpodobně otevřený prohlížeč na nějakém webu. Člověk nemusí být raketový vědec, aby ho napadlo, jestli ten internet náhodou ještě nefunguje dál :-)

JmJ

  • ****
  • 315
    • Zobrazit profil
Re:Firewall s „parental lock“ pro Windows
« Odpověď #14 kdy: 14. 11. 2015, 08:05:13 »
Ja vam panove dekuji za rozbor me situace, skoro to vypada, ze jste ji znalenjsi jako ja sam ;-) V pohode :-)

Prumysl neni jen velka fabrika, "prumysl" je treba i lom uprostred lesa, kde IT vybaveni jsou 3 pocitace a wifi router s wifi AP. Tam kdyz pridate dalsi PC, tak opravdu jen chcete omezit moznosti uzivatele, coz jste tu nekteri zminovali, zaroven si ale nechcete nadelat do ruk v tom smeru, ze kdyz s tim mate na dalku neco delat, tak mate pulku veci pozakazovanou, neustale musite povysovat opravneni atd. Ale ano, uzivatel, pod kterym aplikace bezi je obyc user s osekanejsimi pravy. Driv tyhle PC nebyly pripojeny k zadne siti o internetu nemluve. Do zapadlych lesu se internet dostava az ted. Pro nas je to vyhoda, mame vzdaleny pristup, ovsem mame tu i problem s internetem spojeny. Proto je jako prvni a mozna i postacujici reseni to, nastavit prisny firewall, ktery se ale bude dat jednoduse vypnout, coz bude vyzadovat heslo a idealne se sam zapne treba za hodinu nejhur po restartu.

Trochu si rikam, jestli neudelat aplikaci, ktera se postara o zapnuti/vypnuti widloveho firewallu. Zkusim to prozkoumat, treba to bude nejrychlejsi a nejschudnejsi reseni, napsat si to sam ;-)

p.s. primo o lomy se nejedna, tak me v tomto prosim nechytejte zbytecne za slovo ;-)