Internet Blocking Tool (InetBlocker)

Aplikace InetBlocker umožňuje blokovat vybraným počítačům (či skupinám počítačů) přístup k Internetu a je určena zejména pro školy využívající aplikaci Microsoft ISA Server 2004 nebo 2006. Hlavní vlastnosti InetBlockeru jsou:

 - je rozdělen na dvě části - administrátorskou a uživatelskou (každá je ve vlastním exe souboru).

   - Administrátorská část aplikace umožňuje veškerou konfiguraci, nastavení a je určená pro správce dané sítě. Počítače lze v rámci aplikace rozdělit do logických skupin (např. učebna 1, učebna 2, sborovna atd.) a těmto skupinám nastavovat příznak, zda mohou využívat Internet či nikoliv.

   - Uživatelská část aplikace umožňuje pouze zakazovat a povolovat připojení k Internetu pro předdefinované skupiny administrátorem. Typicky je vhodná pro učitelé, kteří nemají dostatek znalostí a informací pro konfiguraci aplikace.

- lze jej spouštět buď lokálně přímo na serveru, kde je nainstalován ISA server nebo vzdáleně z libovolné stanice v síti (doporučeno).

- je k dispozici zdarma ke stažení na webu projektu, respektive na http://www.codeplex.com/inetblocker/Release/ProjectReleases.aspx

Pro více informací o aplikačním firewallu doporočujeme si projít příručku o MS ISA Server 2006, kde naleznete popis produktu, předpoklady pro instalaci, vlastní instalaci a konfigurace, včetně více než sto obrázků.  

Aplikace Internet Blocking Tool byla vyvinuta pro snadné ovládání ISA serveru nezkušenými uživateli (běžnými učiteli, ne správci sítě). Umožňuje rychle zablokovat nebo odblokovat připojení k internetu pro definované skupiny počítačů bez přímé práce s ISA serverem. Pověřené osoby (učitelé) pak mohou z prostředí jednoduché aplikace ovládat připojení učebny k internetu.

Aplikace Internet Blocking Tool (IBT) je určena pro rychlé blokování nebo zpřístupnění internetu v průběhu výuky. Proto bude typicky nainstalována na pracovních stanicích, například na lektorských počítačích v učebnách. Tato aplikace využívá komponent dostupných v rámci administrační konzole ISA serveru, proto je nutné, aby na pracovních stanicích, kde bude aplikace používána, byla nainstalovaná konzola pro správu ISA serveru.

Dále je nutné mít na pracovní stanici nainstalovanou komponentu .NET framework 2. Pokud .NET framework není nainstalován, lze jej dodatečně stáhnout z webu Microsoftu, nebo automaticky stáhnout a nainstalovat v rámci Automatických aktualizací (Windows Update).

Postup instalace:

1.   Přihlaste se k pracovní stanici administrátorským účtem

2.    Zkontrolujte, zda je na pracovní stanici nainstalována konzole pro správu ISA serveru. Tato konzole bývá umístěná v nabídce Start, Programy, Microsoft ISA server. Jestliže tato konzole na stanici chybí, doinstalujte ji z instalačního média ISA serveru.

3.    Pokud nemáte nainstalován .NET framework 2, nainstalujte jej. Instalátor aplikace Internet Blocking Tool testuje přítomnost této komponenty. Pokud není k dispozici, nasměruje Vás na web, odkud si ji můžete stáhnout.

4.    Z adresáře s instalačními soubory aplikace spusťte program Setup.exe.

5.    Na úvodní straně instalačního průvodce klikněte na tlačítko Next.

6.    Na další obrazovce průvodce můžete vybrat cílovou složku instalace a zvolit, jestli aplikace bude nainstalována aktuálnímu uživateli, nebo všem uživatelům tohoto počítače. Nainstalujte tuto aplikaci pro všechny uživatele – všichni uživatelé budou mít v nabídce Start zástupce této aplikace.

7.    Dokončete průvodce instalací.

Po nainstalování aplikace vznikne v nabídce Start položka InetBlocker. V ní jsou k dispozici dvě verze aplikace a nápověda.

§  InetBlocker – umožňuje rychle zablokovat nebo odblokovat připojení k internetu definovaným skupinám počítačů

§  InetBlockerAdmin – kromě funkcí jako předchozí aplikace navíc umožňuje nastavit IP adresu spravovaného ISA serveru a definovat skupiny počítačů, které tyto aplikace budou blokovat.

Aby uživatelé aplikace Internet Blocking Tool měli možnost ovládat připojení k internetu pro skupiny počítačů, je třeba, aby pracovní stanice těchto uživatelů měly možnost vzdálené správy ISA serveru. IP adresy všech počítačů, ze kterých bude třeba ovládat ISA server, je nutné zařadit do skupiny Remote Management Computers v konzole ISA serveru.

1.       Přihlaste se k ISA serveru a spusťte konzolu pro správu ISA serveru.

2.       Z navigačního stromu vyberte Firewall Policy. V pravém panelu konzole zvolte Toolbox, Network Objects a dvojklikem na Remote Management Computers otevřete editaci této skupiny.

3.       Tlačítkem Add přidejte počítače, ze kterých bude možné ISA server vzdáleně spravovat. Lze definovat IP adresu počítače, rozsah IP adres nebo podsíť.

4.       Uložte změny skupiny Remote Management Computers a aplikujte nastavení na ISA server.

Pokud budou moci blokovat přístup k internetu jiní uživatelé než administrátoři, například učitelé, je třeba těmto uživatelům nebo skupinám přidělit administrativní roli ISA serveru. Jelikož se jedná o změny konfigurace ISA serveru, musejí mít tito uživatelé roli ISA server Full Administrator.

1.       Přihlaste se k ISA serveru a spusťte konzolu pro správu.

2.       V navigačním panelu vyberte Configuration a položku General.

3.       Ve středním panelu klikněte na odkaz Assign Administrative Roles.

4.       Tlačítkem Add můžete přidělit administrativní roli uživatelům.

5.       Vepište jméno uživatele nebo skupiny ve tvaru domena\jmeno nebo tlačítkem Browse tuto skupinu nebo uživatele vyhledejte v Active Directory.

6.       Zvolte administrativní roli ISA server Full Administrator.

7.       Uložte nastavení a aplikujte změny na ISA server.

Nyní mají vybraní uživatelé (učitelé) možnost z vybraných počítačů ovlivňovat nastavení ISA serveru. Z bezpečnostních důvodů, ale doporučujeme vytvořit si servisní účet a tomu delegovat v ISA serveru právo ISA server Full Administrator. Viz následující odstavec.

Po instalaci nástroje Internet Blocking Tool spusťte pod administrátorským účtem z nabídky Start aplikaci InetBlockerAdmin a vložte do ní IP adresu ISA serveru.

1.       Přihlaste se k pracovní stanici účtem administrátora

2.       Z nabídky Start spusťte InetBlockerAdmin.

3.       Po spuštění aplikace klepněte na tlačítko Nastavení.

4.       V okně nastavení vepište interní IP adresu spravovaného ISA serveru. Déle můžete aplikaci nastavit tak, aby automaticky po startu zjistila aktuální nastavení ISA serveru, nebo aby se k ISA serveru přihlašovala jiným uživatelským jménem.

5.       Pokud nastavíte aplikaci tak, aby se přihlašovala jiným uživatelským jménem, musí mít toto jméno možnost plné správy ISA serveru (role Full Administrator). Když toto nevyplníte, aplikace se bude k ISA serveru přihlašovat účtem aktuálně přihlášeného uživatele.

6.       Tlačítkem OK potvrďte nastavení.

Jakmile nastavíte IP adresu ISA serveru, lze tlačítkem Načíst pravidla stáhnout z ISA serveru pravidla blokující internet pro dané počítače. Tato pravidla jsou zvláštní přístupová pravidla, která tato aplikace na ISA serveru vytváří. Při prvním použití tedy žádná pravidla této aplikace neexistují, a tudíž se nezobrazí.

Aplikací InetBlockerAdmin je možné vytvářet skupiny počítačů, kterým bude řízen přístup k internetu touto aplikací.

1.       Tlačítkem Přidat skupinu vytvořte skupinu a pojmenujte ji.

2.       Poté v seznamu vyberte vytvořenou skupinu a klikněte na tlačítko Změnit skupinu. Otevře se editační okno, kde můžete do skupiny vkládat počítače.

3.       Tlačítkem Přidat můžete do této skupiny přidat počítače. Můžete je definovat na základě IP adres nebo rozsahu IP adres. Položkou Počítače z domény zobrazíte seznam počítačů, které byly k doméně připojeny během posledních 14-ti dnů a můžete vybrat, které počítače do této skupiny přiřadit.

4.       Tlačítkem OK ukončíte editaci skupiny.

5.       Jakmile dokončíte vytváření a editaci skupin, můžete tlačítkem Uložit změny promítnout toto nastavení na ISA server.

Výsledkem práce této aplikace je vytvoření definovaných skupin v Toolboxu ISA serveru a vytvoření přístupového pravidla firewallu na prvním místě (nejvyšší priorita), které blokuje veškerou komunikaci na internet z definovaných skupin počítačů.

Druhá aplikace InetBlocker je zjednodušenou variantou InetBlockerAdmin. InetBlocker využívá definovaných skupin počítačů a nastavení. Neumožňuje změnu IP adresy spravovaného ISA serveru, ani vytváření a editaci skupin počítačů. InetBlocker může pouze blokovat nebo odblokovat přístup k internetu pro definované skupiny počítačů. Je to tedy aplikace, kterou budou používat neznalí uživatelé (učitelé), kteří tak několika kliknutími mohou ovlivnit přístup k internetu pro zvolenou skupinu počítačů (učebnu).

Po spuštění aplikace tlačítkem Načíst pravidla aplikace stáhne z ISA serveru aktuální nastavení pro definované skupiny. Uživatel pak může křížkem vedle jména skupiny zablokovat internet a tlačítkem Uložit nastavení toto nastavení aplikovat na ISA server.

Upozornění: Tato aplikace se přihlašuje k ISA serveru jako aktuálně přihlášený uživatel systému, nebo účtem uživatele, který byl definován v nastavení InetBlockerAdmin. Pokud tento uživatel nebude mít dostatečná oprávnění ke komunikaci nebo správě ISA serveru, bude problém se stažením aktuální konfigurace nebo s uložením nové konfigurace na ISA server !

Aplikace InetBlocker a InetBlockerAdmin nabízí zjednodušené rozhraní k rychlé konfiguraci ISA serveru. Pro jejich správnou funkci je třeba:

§  Pracovní stanice s těmito nástroji musí mít také nainstalovanou konzolu pro správu ISA serveru.

§  Pracovní stanice musejí být členy skupiny Remote Management Computers v Toolboxu konzole ISA serveru.

§  Uživatelé, kteří budou aplikace používat, musejí mít přidělenu administrativní roli ISA serveru, nebo se tyto aplikace musejí spouštět s použitím uživatelského účtu, který má možnost ISA server konfigurovat.