Opiniones y consultas sobre infraestructura

alejandrolione

Muy bueno el refran javcasta realmente bueno.

A eso me referia juancho.

juancho

Pues la verdad si, eso es posible, pero no creo que eso sea una razon para no entrar en el mundo de la virtualizacion, al fin y al cabo, nada en informatica es seguro…

javcasta

Hola.

Yo uso VirtualBOX para hacer labs y en producción prefiero VMware.
La virtualización tiene muchas ventajas (sacar snapshots de las máquinas como backups "perfectos", clonar máquinas rapidamente, etc), pero te obliga a "atender" que la plataforma de virtualización este actualizada y parcheada. (Más trabajo por un lado, pero opino que tiene muchas ventajas virtualizar)

Muchos admins les gusta que el cortafuegos perimetral de su red dependa solo de si mismo para la seguridad.
Imagino que tener una máquina dedicada a pfSense no es ningún capricho en una red a día de hoy.

Lo que ocurre es que hay que llegar a un equilibrio entre lo que se invierte en HW y las ventajas que da virtualizar (ahorrar costes de HW y facilidad de administración nos gusta a todos, pero nos obliga a securizar más).

Salu2

alejandrolione

Coinsido Javcasta, yo generalmente utilizo proxmox para vm pero siempre hacia adentro como vos decis el fw perimetral nunca lo virtualize.
La verdad no es que el dinero sobre pero no seria el peor problema, la verdad uno de los temas es utilizar la menor cantidad de hardware posible para acotar la cantidad de problemas electronicos, hace tiempo vengo achicando equipos (siempre que sea verdaderamente inofensivo) y esto me esta funcionando bien en la carga de trabajo diario, sobre todo en la cantidad de imprevistos que suelen darce.

La verdad me esta resultando bastante interesante la charla jaja.

javcasta

Hola

No he probado Proxmox,  he mirado su web y tiene "buena pinta" (openSource, KLM, debian,…)
https://www.proxmox.com/en/proxmox-ve/features

Gracias por el dato, alejandrolione.

Lo probaré. VMware esta muy bien, pero el coste de licencias para pequeñas empresas le quita atractivo.

Salu2

juancho

Hace mucho, que uso la combinacion debian+xen y ahora debian+xen+openvswitch y la verdad es un lujo, la merma del equipo fisico ni se siente y tengo unas 10 MV en un servidor y unas cuantas en otras, ahora estoy enfocado en dominar dockers que me sirve para aplicaciones.. Muy interesante todo esto de la virtualizacion y lo que se pueda hacer..

Por ejemplo, virtualizar pfsense, en equipos diferentes y ponerlos ha hacer alta disponibilidad…

P.D Tambien revisen openstack, es otro que esta brutal para usar..

javcasta

Hola

Gracias por la info Juancho.

Tomo nota de openvswitch y de openstack.

Salu2

rodria

Es cierto que agregar nuevas "cosas" a algo, incermenta el vector de ataque y vulnerabilidades, pero no creo que este sea el caso que leo en este hilo sobre virtualización, al menos, no conozco hasta la fecha a alguien que haya puesto su hypervisor dando la cara a internet, (pero todo es posible)… las máquinas virtuales están digamos que en una "jaula" por lo que salir de ellas para atacar otras VM o la red es el mismo trabajo que si estuviesen en sistemas físicos independientes.

Las nubes son algo parecido, aunque es más similar dockers...

Por la única razón que no se debería virtualziar, debería ser por la carga, sea memoria, I/O, o disco... Suponiendo que tenemos un enlace de 10Mb para internet, no virtualizar un firewall que no tiene mucha carga ni de CPU, memoria y I/O con tarjetas de red de 1Gb, procesadores multicore y GB de Memoria  para tirar para el techo, sería un desperdicio de hardware, electricidad y carga térmica.

Solo es mi opinión, por cierto, usaba Xen/Debian, ahora uso Proxmox y afortunadamente nunca tuve un incidente de seguridad del lado de los virtualizadores.

Saludos.

alejandrolione

Amigos que opinan de instalar varias veces squid o configurarlo para trabajar en varias instancias.
Supongamos que en el puerto 3128 bloqueo todo menos 2 webs, en el puerto 3129 solo bloqueo el contenido como xxx etc y en el puerto 3130 no bloqueo nada. Seria como 3 proxys diferentes cada uno con sus reglas.
Opiniones, puntos que no tube en cuenta???

juancho

Eso, puedes hacerlo con una sola instancia.de.squid y squidguard

alejandrolione

Perdon juancho serias tan amable de pasarme algun link donde encuentre informacion sobre el tema, la verdad no consegui dar con esos datos.

Gracias

alejandrolione

Estoy navegando a traves de los archivos de configuracion de squid y squidguard veo que tienen reglas y me imagino que quizas desde ahi podria de alguna manera decirle que si llega un usr al puerto x tratarlo con n blacklist y si viene al puerto z tratarlo con r blacklist. Es esto probable? se puede realizar desde el configurador web?

juancho

Toda esa configuracion.puedes hacerla desde el administrador web. Adema squidguard tiene un archivo de lista negra, que te facilita el trabajo

alejandrolione

Deberia de todas maneras cargar varias listas negras, por lo menos 1 por cada puerto de escucha ej:
puerto 3128 –------ lista negra que prohibe todo
puerto 3129 -------- lista negra que solo prohibe xxx
puerto 3130 -------- todo permitido

squid deberia escuchar en todos ellos y dependiendo de que puerto proxy le configure a cada cliente es que lista le van a aplicar.
Espero se entienda lo que intento y muchas gracias por los aportes, me sirven para refinar mis busquedas.

Gracais

alejandrolione

Perdon alguien me podria dar alguna nocion sobre esto o algun link o darme alguna idea para encontrarlo.
Agradecido de antemano

javcasta

Hola

Para que squid escuche en múltiples puertos:

How to Configure a Squid Proxy to Listen on Multiple Ports
http://www.liquidweb.com/kb/how-to-configure-a-squid-proxy-to-listen-on-multiple-ports/

Squid configuration directive http_port
http://www.squid-cache.org/Doc/config/http_port/

Imagino que en pfsense se hará en advanced features  o integrations de squid proxy server o retocando squid.conf "a mano"

http_port 10.0.0.254:3128
http_port 10.0.0.254:8080
http_port 192.168.0.254:3128
http_port 192.168.0.254:8080
http_port 127.0.0.1:3128
http_port 127.0.0.1:8080

Salu2

alejandrolione

Grande Jav muchas gracias por responder. Estube mirando http://www.visolve.com/squid/squid30/contents.php y da muy buena data sobre el tema, pero lo que no logro saber es como hacer que dependiendo en que puerto squid reciba el pedido lo direccione a diferentes filtros de squidguard. Y como juancho menciono que se puede hacer y desde el entorno web me gustaria sueguir la configuracion desde ahi asi mantengo un solo criterio.
Hay muchos tutoriales sobre pf pero no logro encontrar sobre este tema ni siquiera en este foro en la seccion de documentacion, donde hay mucho sobre squid/squidguard.
Mil gracias por ser tan serviciales logre o no lo que intento las gracias ya van de antemano.

S.C.

juancho

@alejandrolione:

Deberia de todas maneras cargar varias listas negras, por lo menos 1 por cada puerto de escucha ej:
puerto 3128 –------ lista negra que prohibe todo
puerto 3129 -------- lista negra que solo prohibe xxx
puerto 3130 -------- todo permitido

squid deberia escuchar en todos ellos y dependiendo de que puerto proxy le configure a cada cliente es que lista le van a aplicar.
Espero se entienda lo que intento y muchas gracias por los aportes, me sirven para refinar mis busquedas.

Gracais

con squidGuard, eso puedo hacerlo en la opcion de grupos, puedes crear un grupo que sea libre, otros que solo vae cosas oficiales, otros que se menos restingido, en cada grupo colocas las ip que quieras liberar segun sea el caso..no le veo mucho sentido a esto

puerto 3128 -------- lista negra que prohibe todo
puerto 3129 -------- lista negra que solo prohibe xxx
puerto 3130 -------- todo permitido

cuando puedes hacerlo con el proxy escuchando solo en  o donde desees.. asi lo tengo


alejandrolione

Gracias por la respuesta juancho

Comento en detalle lo que busco asi se entiende mejor

La idea es tener 4 tipos de permisos de navegacion y que esto se aplique por usuario. Pretendo lograrlo haciendo que el DC fuerce por politica la configuracion del proxy, entonces si un usuario tiene el proxy configurado en "x" puerto le corresponden "n" restricciones. Si en el mismo equipo se logea otro usuario de active directory se le va a forzar otra configuracion de proxy (otro puerto) por tanto tendria diferentes restricciones.

Por eso necesito que PF atienda en diferentes puertos pero dependiendo del puerto es que rstriccin aplica.

Logro que sin interaccion entre pf y windows discrimino la navegacion por usur de AD.

Esto tiene muchas implicancias que evito comentar para no complicar la cosa jaja

Gracias amigos

javcasta

Hola.

Lo que quieres hacer, alejandrolione, ya te da la solución juancho.

En squidGuard > Groups ACL.

Creas un grupo:
Name : userallowall

Client (source): (aquí pongo usuarios del proxy, mi proxy squid lo he configurado para que trabaje con authentication local,  los usuarios se definen en Proxy Server: Local Users > Users, pero puedes configurar squid para que la autenticación sea contra un servidor de dominio o un servidor radius)

'usuarioallowall' 'desarrollador1' 'contabilidad0' 'mariagm' 'joseha'

También admite definir en Cliente (source) aparte de usuarios: IPs, redes, rango de ips, dominios, busquedas ldap

Enter client's IP address or domain or "username" here. To separate them use space.
Example:
IP: 192.168.0.1 - Subnet: 192.168.0.0/24 or 192.168.1.0/255.255.255.0 - IP-Range: 192.168.1.1-192.168.1.10
Domain: foo.bar matches foo.bar or *.foo.bar
Username: 'user1'
Ldap search (Ldap filter must be enabled in General Settings):
ldapusersearch ldap://192.168.0.100/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=it%2cCN=Users%2cDC=domain%2cDC=com))

Como es un grupo sin restricciones en target rule, pongo Default access [all] (que la tengo allow).

Paara otros usuarios con restricciones, se deberia crear otro Group ACL y en target rules (cuya fuente es la blacklist), elegir las categorias a denegar

Salu2