Opiniones y consultas sobre infraestructura
-
Buenas molesto para consultar alguna duda y pedir opiniones, en nuestra area de trabajo
sabemos que hay muchas maneras de realizar un proyecto, en mi caso mas haya de ser un
novato mi experiencia se limita a equipamiento al estilo cisco, empece a interesarme mucho
por el software libre y como a muchos les pasa me enamore de la ideologia principalmente,
en el trabajo me dieron un desafio (por las bondades que suelo comentar en este entorno)
este desafio consiste en crear una infraestructura reemplazando algun cisco por pf, si todo
va bien aprovarian comenzar a reemplazar unos por otros por eso acudo a ustedes (no quiero fallar)
Les presento una vercion muy simplificada de lo que debo lograr y en base a eso consulto–-----------
| pfsense |
| lan_2 |------------------------------Portal cutivo:
| | *filtrar contenido
| |
internet------|wan |
| |
| |
| lan_2 |----Dominio active directory:
------------- *filtrar contenido
*autenticacion active directory
*filtrar contenido / 3 clases de usuarios:
|A|-Sin restricciones en la navegacion
|B|-Algunas restricciones en la navegacion
|C|-Sin navegacionPor lo que vengo estudiando este esquema tiene la dificultad de que deberia implementar
2 instancias de squid y squidguard, una que valide a traves de active directory y otra
a traves del usuario del portal cautivo lo que no veo se pueda hacer desde el manager web
de pf, ¿es posible instalar squid 2 y 3 para tener 2 instancias? o seria mejor usar el pf
con la interface del portal cautivo mientras que la interface del dominio la conecto a otro
equipo en el que corra squid y squidguard.
El problema es que lo ideal seria no agregar equipos, dado esto pienso en virtualizar.
Seria bueno que los clientes no deban cargar usuario y contraseña para navegar, si no que su
usuario de AD lo valide automaticamente, entiendo esto es a traves de LDAP pero encuentro
que muchos usuarios consultan sobre el tema y no me queda claro si se puede o no hacer.Muchas gracias espero puedan darme su experiencia y referencien a lecturas sobre estos temas
imagino a muchos les habra pasado que pasan mas tiempo buscando la informacion que aprendiendo
por eso molesto.Alejandro
-
¿es posible instalar squid 2 y 3 para tener 2 instancias?
En un FreeBSD normal sí. Aquí (pfSense = FreeBSD tuneado), no.
pienso en virtualizar
Entonces, problema resuelto. Tantas instancias como quieras.
No deban cargar usuario y contraseña para navegar, si no que su usuario de AD lo valide automáticamente, entiendo esto es a través de LDAP
Google pfsense squid ldap kerberos
No estoy seguro que se pueda lograr que el navegador no pida usuario/contraseña.
-
Gracias son geniales al responder tan rapido.
–----------------------------------------------------------------------------------------------------------------------------
yo: pienso en virtualizarballera: Entonces, problema resuelto. Tantas instancias como quieras.
yo: Perdon en este item expuse la opcion que creia mejor, creen que sea la mejor opcion?
yo: No deban cargar usuario y contraseña para navegar, si no que su usuario de AD lo
valide automáticamente, entiendo esto es a través de LDAPballera: Google pfsense squid ldap kerberos
No estoy seguro que se pueda lograr que el navegador no pida usuario/contraseña.yo: Gracias por el tip de busqueda en google, pero lo que mencionaba (quizas poco claro
de mi parte) es que encuentro mucha gente consultando por esto pero ninguna certeza
sobre si es posible o no. Seguire en la busqueda.En este momento estoy tomando notas y diagramando el trabajo espero poder lograr lo pretendido
y de ser asi prometo subir mis notas asi quizas pueda regresar la ayuda recibida.
Un gran profesor me decia 9 hs de lectura y apuntes y una de teclado jajaj.
Cuando ponga en practica esto por lo menos espero poder comentar si fue posible o no la autenticacion
a traves de AD automatica o automagica como algunos decimos.Nuevamente gracias y si alguien puede aportar algo mas, yo agradecido
-
Gracias son geniales al responder tan rapido.
–----------------------------------------------------------------------------------------------------------------------------
yo: pienso en virtualizarballera: Entonces, problema resuelto. Tantas instancias como quieras.
yo: Perdon en este item expuse la opcion que creia mejor, creen que sea la mejor opcion?
Es la Mejor opcion si no debes instalar nuevos equipos.. y la ventaja es que puedes crear cuantos PF. Soporte el Hardware de tu servidor
–------------------------------------------------------------------------------------------------------------------------------------
yo: No deban cargar usuario y contraseña para navegar, si no que su usuario de AD lo
valide automáticamente, entiendo esto es a través de LDAPballera: Google pfsense squid ldap kerberos
No estoy seguro que se pueda lograr que el navegador no pida usuario/contraseña.yo: Gracias por el tip de busqueda en google, pero lo que mencionaba (quizas poco claro
de mi parte) es que encuentro mucha gente consultando por esto pero ninguna certeza
sobre si es posible o no. Seguire en la busqueda.Quizas puedas lograrlo usando WPAD, se que son muchas las cosas que se pueden hacer con este archivo de busqueda automatica de proxy..
–-----------------------------------------------------------------------------------------------------------------------------
En este momento estoy tomando notas y diagramando el trabajo espero poder lograr lo pretendido
y de ser asi prometo subir mis notas asi quizas pueda regresar la ayuda recibida.
Un gran profesor me decia 9 hs de lectura y apuntes y una de teclado jajaj.
Cuando ponga en practica esto por lo menos espero poder comentar si fue posible o no la autenticacion
a traves de AD automatica o automagica como algunos decimos.Nuevamente gracias y si alguien puede aportar algo mas, yo agradecido
Seria genial que montaras una simulacion con gns3 y desde alli ver las posibles configuraciones a usar.. es lo ideal para no interferir con la estructura instalada.
De todas formas te comento, que hace mucho he venido cambiando cisco. por routers PF o Mikrotik y realmente hacen muy bien el trabajo, me ahorro dinero y gano conocimiento, actualmente no solo cisco garantiza una infraestructura estable. Con pf es estable y escalable..
-
Muchas gracias por la respuesta.
La verdad el tema sobre virtualizar es algo que me tiene lleno de dudas por tanto cada experiencia me suma, hay muchos que dicen SI dada la flexibilidad que aporta y otros dicen NO esgrimiendo el agregado de complejidades y la reduccion en la seguridad.
Nuevamente gracias sus aportes me son de mucha utilidad
-
Muchas gracias por la respuesta.
La verdad el tema sobre virtualizar es algo que me tiene lleno de dudas por tanto cada experiencia me suma, hay muchos que dicen SI dada la flexibilidad que aporta y otros dicen NO esgrimiendo el agregado de complejidades y la reduccion en la seguridad.
Nuevamente gracias sus aportes me son de mucha utilidad
No entendi esto de la reduccion en la seguridad? a que te refieres con eso??
-
Hola.
Cuando se usa virtualización, estas añadiendo otra "capa de abstracción", hablando en plata, aumentas el riesgo de vulnerabilidades.
Por ejemplo un escenario:
si uso pfSense 2.3 virtualizado sobre plataforma VMware ESXI, y se encuentra un bug explotable en el VMware, a pesar de que el pfSense 2.3 virtual no tenga bug alguno, la máquina puede ser comprometida. Etc, etcUn refrán tejano que lo resume: Cuanto más "gordo" seas, más blanco presentas a los disparos. :)
Salu2
-
Muy bueno el refran javcasta realmente bueno.
A eso me referia juancho.
-
Pues la verdad si, eso es posible, pero no creo que eso sea una razon para no entrar en el mundo de la virtualizacion, al fin y al cabo, nada en informatica es seguro…
-
Hola.
Yo uso VirtualBOX para hacer labs y en producción prefiero VMware.
La virtualización tiene muchas ventajas (sacar snapshots de las máquinas como backups "perfectos", clonar máquinas rapidamente, etc), pero te obliga a "atender" que la plataforma de virtualización este actualizada y parcheada. (Más trabajo por un lado, pero opino que tiene muchas ventajas virtualizar)Muchos admins les gusta que el cortafuegos perimetral de su red dependa solo de si mismo para la seguridad.
Imagino que tener una máquina dedicada a pfSense no es ningún capricho en una red a día de hoy.Lo que ocurre es que hay que llegar a un equilibrio entre lo que se invierte en HW y las ventajas que da virtualizar (ahorrar costes de HW y facilidad de administración nos gusta a todos, pero nos obliga a securizar más).
Salu2
-
Coinsido Javcasta, yo generalmente utilizo proxmox para vm pero siempre hacia adentro como vos decis el fw perimetral nunca lo virtualize.
La verdad no es que el dinero sobre pero no seria el peor problema, la verdad uno de los temas es utilizar la menor cantidad de hardware posible para acotar la cantidad de problemas electronicos, hace tiempo vengo achicando equipos (siempre que sea verdaderamente inofensivo) y esto me esta funcionando bien en la carga de trabajo diario, sobre todo en la cantidad de imprevistos que suelen darce.La verdad me esta resultando bastante interesante la charla jaja.
-
Hola
No he probado Proxmox, he mirado su web y tiene "buena pinta" (openSource, KLM, debian,…)
https://www.proxmox.com/en/proxmox-ve/featuresGracias por el dato, alejandrolione.
Lo probaré. VMware esta muy bien, pero el coste de licencias para pequeñas empresas le quita atractivo.
Salu2
-
Hace mucho, que uso la combinacion debian+xen y ahora debian+xen+openvswitch y la verdad es un lujo, la merma del equipo fisico ni se siente y tengo unas 10 MV en un servidor y unas cuantas en otras, ahora estoy enfocado en dominar dockers que me sirve para aplicaciones.. Muy interesante todo esto de la virtualizacion y lo que se pueda hacer..
Por ejemplo, virtualizar pfsense, en equipos diferentes y ponerlos ha hacer alta disponibilidad…
P.D Tambien revisen openstack, es otro que esta brutal para usar..
-
Hola
Gracias por la info Juancho.
Tomo nota de openvswitch y de openstack.
Salu2
-
Es cierto que agregar nuevas "cosas" a algo, incermenta el vector de ataque y vulnerabilidades, pero no creo que este sea el caso que leo en este hilo sobre virtualización, al menos, no conozco hasta la fecha a alguien que haya puesto su hypervisor dando la cara a internet, (pero todo es posible)… las máquinas virtuales están digamos que en una "jaula" por lo que salir de ellas para atacar otras VM o la red es el mismo trabajo que si estuviesen en sistemas físicos independientes.
Las nubes son algo parecido, aunque es más similar dockers...
Por la única razón que no se debería virtualziar, debería ser por la carga, sea memoria, I/O, o disco... Suponiendo que tenemos un enlace de 10Mb para internet, no virtualizar un firewall que no tiene mucha carga ni de CPU, memoria y I/O con tarjetas de red de 1Gb, procesadores multicore y GB de Memoria para tirar para el techo, sería un desperdicio de hardware, electricidad y carga térmica.
Solo es mi opinión, por cierto, usaba Xen/Debian, ahora uso Proxmox y afortunadamente nunca tuve un incidente de seguridad del lado de los virtualizadores.
Saludos.
-
Amigos que opinan de instalar varias veces squid o configurarlo para trabajar en varias instancias.
Supongamos que en el puerto 3128 bloqueo todo menos 2 webs, en el puerto 3129 solo bloqueo el contenido como xxx etc y en el puerto 3130 no bloqueo nada. Seria como 3 proxys diferentes cada uno con sus reglas.
Opiniones, puntos que no tube en cuenta??? -
Eso, puedes hacerlo con una sola instancia.de.squid y squidguard
-
Perdon juancho serias tan amable de pasarme algun link donde encuentre informacion sobre el tema, la verdad no consegui dar con esos datos.
Gracias
-
Estoy navegando a traves de los archivos de configuracion de squid y squidguard veo que tienen reglas y me imagino que quizas desde ahi podria de alguna manera decirle que si llega un usr al puerto x tratarlo con n blacklist y si viene al puerto z tratarlo con r blacklist. Es esto probable? se puede realizar desde el configurador web?
-
Toda esa configuracion.puedes hacerla desde el administrador web. Adema squidguard tiene un archivo de lista negra, que te facilita el trabajo