[S] Disable Internet Access

[luxury11]

Geht um folgendes Problem.

Ich möchte an einem Systemtool arbeiten,
dass zuerst überprüft ob der User sich an einem Schulnetzwerk angemeldet hat oder lokal.
Sofern das Login lokal geschehen ist sollte der Internet Zugang nicht verfügbar sein.

Jetzt suche ich eine Lösung für den Access des Internets,
gegebenfalls eine WinAPI oder eine Steuerung über Registry.

[Mofo]

Alle ausgehenden Verbindungen auf den Localhost umleiten wäre meine idee..
Btw, wie schüzt du dein Programm vor abschaltung?

[luxury11]

Das Programm wird wahrscheinlich unter %system32% laufen und der User hat eingeschränkte Rechte.
@Mofo - Stehen dort WinAPIs zuverfügung für die Outputverbindungen.

[Mofo]

Den Prozess suspenden kann man dann vmtl trotzdem oder nicht?
Muss ja nicht der WinTskmgr sein ..

[luxury11]

die Sicherheit wird kein Problem sein.
Ich brauch erstmal ein Grundkonzept wie das Systemtool den Zugang zum Internet blockt. Desweiteren habe ich gehört das man auch das mit registry lösen könnte.

[AlterHacker]

@Mofo das ist hier nicht die Frage.

Wenns richtig konfiguriert hat hat man absolut gar keine Rechte ;-)

Eine nur teilweise funktionierende Lösung wäre es, bei einer lokalen Anmeldung die DNS-Server ins Nirvana zu setzen, d.h. windows versucht die DNS aufzulösen -> FAIL!.
Das Problem wäre dann jedoch dass Verbindungen bei bekannter IP trotzdem durchgelassen werden.
Alternativ könntest du die Socket-Funktionen hooken, da hättest du dann die volle Kontrolle, jedoch musst du dann auch zwischen Netzwerk-Verbindungen und Internet-Verbindungen unterscheiden was je nachdem ne menge Aufwand ist.


MfG

[IRET]

Und als Alternative zum Socket-Hook kannst du WinPCap verwenden und die Pakete je nachdem als was er angemeldet ist auf 127.0.0.1 oder gar nicht umleiten.

[gesocks]

Soll nur der Internetzugang oder der gesamte Netzwerkzugang weg sein?
Hast schon versucht das ganze über Policies zu lösen oder hast du darauf keinen Zugriff?
Ansonsten würd ich ihm gleich den Netzwerkadapter wegnehmen, nur den Sinn versteh ich noch net ganz

[luxury11]

Hab noch eine nicht so komplexe Lösung gefunden.
(Würde funktionieren da der User keine Rechte auf Registry hat.)

Quelle - Disable Internet Access at Registry Guide for Windows

Was haltet ihr davon ?

Code:

Open your registry and find the key below. 
 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 
 Change the value of "ProxyEnable" and set it to "1". Change the value of  "ProxyServer" and set it to an IP address and port that is invalid on  your network such as "10.0.0.1:5555" (i.e. "IP:Port"). 
 By changing these settings Internet access will be disabled for any  applications that rely of the Microsoft proxy server information such as  Internet Explorer, Microsoft Office, Opera browser. 
 To stop users from modifying the proxy settings add these restrictions to disable changes to the Internet configuration. 
 Find or create the key below: 
 [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] 
 Create two DWORD values named "Connection Settings" and "Connwiz Admin Lock" and set them both to "1". 
 To remove the restriction, set the proxy settings back to their original values and delete the policy values.

@gesocks - Es geht um die Sicherheit des Schulinternets,
wir haben ein ziemlich großes Netzwerk und der Lehrer möchte das man nur Internetzugang hat, sofern man sich an dem Schulnetzerk angemeldet hat.
Damit keiner anonym dumme Sachen anstellt.

[AlterHacker]

Deine "Lösung" ist in meinen Augen einfach nur ein nicht existenter Proxy, der bei einer lokalen Anmeldung eingeschaltet wird.
Wenn man nun z.b. Firefox benutzt und keinen Proxy angibt, umgeht man diese "Sperre"