Novas Regras para empresa (squid+squidguard+captive portal)
-
Pessoal.. estou planejando mudar algumas regras aqui na empresa,sendo que já recebi diversas opiniões de "especialistas" sobre o que devo fazer…
Situação atual do Pfsense :
-Temos +- 200 usuários na empresa,sendo que utilizo o opendns para bloqueio das páginas e regras no firewall para bloqueio de portas,direcionamento de portas,etc.
-Utilizo (Squid+squidguard-apenas para regra de horário de acesso-+snort).
-DHCP (sendo que todos os usuários estão cadastrados com seus devidos IPs atrelados ao MAC).O que os "especialistas" me sugerem ?
Comprar o firewall/roteador que oferecem,isso mostra que eles não conhecem o Pfsense.
O que eu acho que devo fazer para termos uma estrutura organizada ?
-Utilizar o captive portal com autenticação freeradius (gostaria de autenticar e controlar a banda de todos os usuários,sendo que os usuários devem se logar em uma página personalizada da empresa para ter acesso a internet).
-De tempos em tempos a pessoa tem que colocar sua senha de novo.
-Limite de tráfego diário (apenas para mim ter controle se alguém está baixando demais)
-Bloqueio de conteúdo através do Squidguard com uma blacklist atualizada e os devidos grupos organizados por Departamentos.
-Havp para filtrar algumas ameaças antes de serem baixadas. (Testei 4x e não funcionou,sendo que segui fielmente o tutorial do blog-br do pfsense,o havp está sendo executado porém não aparece a página de bloqueio no teste do eicar).
-Setar o proxy nas máquinas através do domínio que temos na empresa e não usar proxy transparente.
-Bloquear todas as portas e so liberar as necessárias (vai dar trabalho ;D )
-Posso adicionar os usuários criados no captive portal com autenticação freeradius no squidguard?Eu acho que é isso pessoal... não tenho muita experiência com o Pfsense ou até mesmo no meio Empresarial de uma média/grande empresa,mas estou me dedicando para me aprimorar na área.
Gostaria da ajuda do pessoal aqui do forúm. :)
Segue abaixa a estrutura da empresa.
-
90% do que você esta propondo já temos tutoriais aqui no site.
pontos importantíssimos para uma rede segura
-Bloquear todas as portas e so liberar as necessárias, incluindo https
-Setar o proxy nas máquinas através do domínio que temos na empresa e não usar proxy transparente.
-autenticação e Bloqueio de conteúdo através de blacklist atualizada e os devidos grupos organizados por Departamentos.Nunca testei squidguard com captiveportal.
-
90% do que você esta propondo já temos tutoriais aqui no site.
pontos importantíssimos para uma rede segura
-Bloquear todas as portas e so liberar as necessárias, incluindo https
-Setar o proxy nas máquinas através do domínio que temos na empresa e não usar proxy transparente.
-autenticação e Bloqueio de conteúdo através de blacklist atualizada e os devidos grupos organizados por Departamentos.Nunca testei squidguard com captiveportal.
Obrigado pela resposta marcelloc …
Você me recomenda o uso do captive portal com o freeradius2 ?
Há algum tutorial detalhado para mim seguir para utilizar o captive com esse tipo de autenticação ?Creio que no squidguard apenas os usuários criados nele possam ser adicionados a lista de source ips ..
Grato. -
Sugestão de leitura pelo desenvolvedor do pacote freeradius para pfsense
Captiveportal+freeradius
http://doc.pfsense.org/index.php/FreeRADIUS_2.x_package#Amount_of_Bandwidth -
Se você possui Controlador de Dominio, seja Samba, seja Active Directory, sugiro utilizar o Squid com Autenticação, fica mais fácil até para identificar os usuários nos logs de navegação. Como a base de usuários é a mesma do dominio, você não vai precisar administrar duas bases de usuários diferentes.
Colocar o Captive Portal para autenticar na base do Active Directory não é seguro, visto que para que o Radius possa ler a base é preciso retirar a criptografia das senhas.
O Captive Portal proporciona uma estética interessante mas na minha opinião com o Squid autenticado é mais simples e prático, isso claro é a minha opinião.
-
sobre o havp não filtrar…
você tem certeza que selecionou as interfaces certas?
quando instalei esqueci de selecionar a interface wireless e não deu muito certo xD -
Colocar o Captive Portal para autenticar na base do Active Directory não é seguro, visto que para que o Radius possa ler a base é preciso retirar a criptografia das senhas.
O radius tem várias formas de se comunicar com o AD usando criptografia.
o 802.1x é baseado em radius e não é inseguro.
-
Você já pode incluir o dansguardian nesta sua lista de pacotes e sumir com o HAVP.
-
Se você possui Controlador de Dominio, seja Samba, seja Active Directory, sugiro utilizar o Squid com Autenticação, fica mais fácil até para identificar os usuários nos logs de navegação. Como a base de usuários é a mesma do dominio, você não vai precisar administrar duas bases de usuários diferentes.
Colocar o Captive Portal para autenticar na base do Active Directory não é seguro, visto que para que o Radius possa ler a base é preciso retirar a criptografia das senhas.
O Captive Portal proporciona uma estética interessante mas na minha opinião com o Squid autenticado é mais simples e prático, isso claro é a minha opinião.
Interessante sua colocação… com a autenticação via AD pelo squid o usuário logaria na máquina normalmente e logo teria acesso a internet ou teria que entrar em uma página como o captive portal para e logar com o mesmo usuário do AD ?
Qual a diferença de se usar squid+ autenticação pelo AD e utilizar o captive portal com autenticação pelo AD?
Se eu escolher o captive portal + autenticação via AD , perderíamos a página de login dos usuários via navegador ou o próprio freeradius+ad já libera a conexão depois do login na estação de trabalho ?Gostaria da solução mais prática e segura para se fazer tal mudança em uma rede de 200 usuários em média.
Grato!