Reglas de acceso en Firewall x usuario
-
Buen dia! Necesitaria una ayuda, quisiera saber si es posible crear reglas en el Firewall poniendo como origen un usuario determinado del proxy, es decir: yo tengo a Juan (usuario de proxy) que puede acceder a ftp pero quiero que Pedro (usuario de proxy) no pueda acceder a ftp. Mi idea es poder difernciar a Juan y Pedro en las reglas del Firewall (no las del proxy) y que no sea por IP sino x usuario (autenticacion local). Es posible? de no serlo, como podria hacer una cosa semejante?
Gracias!!
-
Recuerda que el pf como programa no reconoce usuario, el trabaja sobre IP/Puertos, si conoces los usuarios y tienen IP fija atraves de dhcp u otro medio, entonces se tendrian que hacer las reglas en base a IP, ayudate de los alias.
Saludos.
-
Gracias Periko!!! El tema es que las IP son dinámicas de manera que no puedo depender de ellas ni puedo hacer una vinculación permanente entre IP y Usuario local. Por otra parte si un usuario trabaja desde otra PC de manera circunstancial el tema de usar IPs no podría aplicarse. Se podra hacer algo mas?
Saludos
-
Entonces veo que tu caso es complejo via firewall, ahora por que mejor no expones mejor tu tema, por que el unico aliado que tienes es el proxy asi como lo mencionas.
-
Periko, no entiendo bien a que te refieres con exponer mejor el tema. La idea es poder manejar los permisos de los usuarios en lo que se refiere a el uso de servicios y protocolos especificos, quiero poder decir que Juan (usuario de proxy) puede acceder a ftp y Pedro (usuario de proxy) no puede acceder a ftp. Como se manejan requisitos de este tipo con PFSense y en contextos grandes donde podemos tener IP dinámicas o usuarios que pueden moverse de una PC a otra?
Gracias!
-
Estamos hablando de autentificación de usuarios, control de aplicaciones (layer7) y movilidad.
Entornos que hacen esto, con más o menos éxito:
-
Políticas de usuario con AD (Active Directory) de Microsoft. Equipos y usuarios unidos a AD. Evidentemente, todo Windows.
-
Entornos Apple. Evidentemente, hard+soft Apple.
-
Equipos de seguridad muy especializados tipo www.kace.com
Sobre Kace, en junio tuve la ocasión de estar en una presentación. Es una compañía de Dell, al igual que www.sonicwall.com
Estos equipos actúan como un portal cautivo que obliga al usuario a identificarse y descargar/instalar un plugin. Gracias al plugin desde la administración centralizada puede controlarse prácticamente todo: qué aplicaciones se pueden ejecutar, versiones de aplicaciones instaladas, qué accesos se pueden hacer. En la presentación Dell mostró el entorno en clientes Windows y Apple. En Linux no mostraron nada, por lo que no sé si lo soportan.
Evidentemente no debe ser una herramienta económica… Dell dijo que es la estructura de seguridad que emplean ellos, cubriendo incluso http://es.wikipedia.org/wiki/BYOD
-
-
Por eso, esta muy abierta tu pregunta, por usuario el firewall no te va ayudar, tus IP's son dinamicas, aunque si los controlas por DHCP por ahi ya tienes algo por que puedes amarrar las IP's a cada MAC address.
Y por otro lado el proxy tiene un arsenal de formas de controlar acceso a aplicaciones web: http,https, ya tienes 2 formas de poner esto como lo quieres.Aunque un usuario pueda estar en X, Y, Z… estacion, su ID es quien lleva la carga para llevar a cabo restricciones, si no aplicas tu reglas en tu negocio no vas a poder nunca tener la red como la deseas.
Por ello es conveniente la revision de reportes, si un usuario X se pone en equipo Y, y vez aunmento en su trafico por que el sabe que ahi el FTP esta disponible, pues ya solo es cosa de ir a RH y decirles, este usuario no esta respetando las reglas, no hay de otra.
De lo contrario el estress te va a matar...
Saludos.