Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    DNS filter e web proxy su ambiente di 5000 pdl

    Scheduled Pinned Locked Moved Italiano
    22 Posts 3 Posters 1.9k Views 3 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • fabio.viganoF Offline
      fabio.vigano @nnicola82
      last edited by fabio.vigano

      @nnicola82
      Io quando uso filtri dns faccio il forward da AD verso pfsense che filtra tramite pfblocker o tramite DNS esterni. In questo modo non comprometto il funzionamento di AD.
      Sul firewall blocco la possibilità di fare query dns verso l'esterno quindi uno può fare richieste solo ai DC o al firewall e se tenta di andare su altri dns viene rediretto su pfsense.

      Per quanto riguarda la macchina da usare per pfsense conta molto il processore, la ram solo se hai applicazioni particolari che girano o elevato traffico e poi le schede di rete che a mio avviso dovrebbero essere sempre delle Intel, garantiscono piena compatibilità e prestazioni migliori. Da evitare come la morte le realtek

      Per la ram considera che ogni sessione pesa 1k quindi con 4GB hai 4 milioni di sessioni che però non corrispondono al numero di utenti. Per stare tranquillo calcola dalle 10 alle 20 sessioni utente quindi 10/20k utente a questi aggiungi almeno 500 MB per il solo sistema operativo però le variabili in gioco sono molte soprattutto se usi Alias molto corposi (e se usi pfblocker non può essere diversamente). Anche gli alias hanno un peso e soprattutto se fai uso di molte liste ti trovi velocemente con tabelle alias da 500.000 voci.

      In una situazione come la tua valuterei l'installazione all'interno della rete di NxFilter (https://nxfilter.org/p3/), questo se installato internamente ti permette policy capillari. E' un filtro DNS, le liste per la categorizzazione dei siti hanno un costo che varia a seconda del fatto che siano quelle prodotte dallo sviluppatore o dal fatto che ti acquisti quelle prodotte da terzi. Il rapporto è 1:3 se non ricordo male 50$/anno quelle prodotte dallo sviluppatore e 150$ quelle di terzi (sul sito trovi i prezzi).

      La licenza si basa sul numero di query dns, calcola che un utente medio fa circa 1000 query dns in una giornata, da li puoi partire a fare i tuoi conti per dimesionare filtro e licenza. La licenza base mi sembra sia per 15.000 query dns che loro calcolano per 50 utenti avendo portato il numero medio di richieste per utente a 3000 (sono un po'tante però varia dall'uso di interet che viene fatto). In questo devi fare attenzione ad eventuali server di posta che invece di query ne fanno a tonnellate e rischiano di bruciarti il plafond giornaliero di query

      Spero di esserti stato d'aiuto
      Ciao Fabio

      ===============================
      pfSenseItaly.com
      La risorsa italiana per pfSense

      Se il post o la risposta ti sono stati utili clicca su 👍

      nnicola82N 1 Reply Last reply Reply Quote 0
      • nnicola82N Offline
        nnicola82 @fabio.vigano
        last edited by

        @fabio-vigano said in DNS filter e web proxy su ambiente di 5000 pdl:

        @nnicola82
        Io quando uso filtri dns faccio il forward da AD verso pfsense che filtra tramite pfblocker o tramite DNS esterni. In questo modo non comprometto il funzionamento di AD.
        Sul firewall blocco la possibilità di fare query dns verso l'esterno quindi uno può fare richieste solo ai DC o al firewall e se tenta di andare su altri dns viene rediretto su pfsense.

        Io già uso OpenDNS dopo i dns di dominio

        Per quanto riguarda la macchina da usare per pfsense conta molto il processore, la ram solo se hai applicazioni particolari che girano o elevato traffico e poi le schede di rete che a mio avviso dovrebbero essere sempre delle Intel, garantiscono piena compatibilità e prestazioni migliori. Da evitare come la morte le realtek

        Realtek anche no!! Ho quei server .. 2x Fujitsu PRIMERGY Primergy RX300 S6, 2,66 GHz, E5640, 12 GB, DDR3-SDRAM

        Per la ram considera che ogni sessione pesa 1k quindi con 4GB hai 4 milioni di sessioni che però non corrispondono al numero di utenti. Per stare tranquillo calcola dalle 10 alle 20 sessioni utente..

        12/24GB dovrei avere

        In una situazione come la tua valuterei l'installazione all'interno della rete di NxFilter (https://nxfilter.org/p3/), questo se installato internamente ti permette policy capillari. E' un filtro DNS, le liste per la categorizzazione dei siti hanno un costo che varia a seconda del fatto che siano quelle prodotte dallo sviluppatore o dal fatto che ti acquisti quelle prodotte da terzi. Il rapporto è 1:3 se non ricordo male 50$/anno quelle prodotte dallo sviluppatore e 150$ quelle di terzi (sul sito trovi i prezzi).

        Quindi abbiamo scartato già Squid o un webproxy

        per ispezionare HTTPS ? non serve perché uso un DNS filter?
        Uso solo Suricata come IPS?

        Spero di esserti stato d'aiuto
        Ciao Fabio
        Sicuramente, Grazie

        fabio.viganoF 1 Reply Last reply Reply Quote 0
        • fabio.viganoF Offline
          fabio.vigano @nnicola82
          last edited by

          @nnicola82
          Le due macchine dovrebbero andare benissimo.
          Ti direi di scartare squid e webproxy perchè se usi il dns filter è meglio.
          Come ips puoi usare tranquillamente suricata.
          Ciao Fabio

          ===============================
          pfSenseItaly.com
          La risorsa italiana per pfSense

          Se il post o la risposta ti sono stati utili clicca su 👍

          1 Reply Last reply Reply Quote 0
          • kiokomanK Offline
            kiokoman LAYER 8
            last edited by

            concordo si, l'unica cosa io avevo suggerito di usare pfsense come server dns anziche l'AD, qui non me ne intendo perchè uso server linux con bind9 e suddivido le reti con le view/acl. faccio quindi una domanda visto che @nnicola82 deve fare soluzioni diverse in base all'utente.
            se un utente "amministratore" visita un sito bloccato per gli altri utenti, l'ip viene messo nella cache dell AD quindi poi non c'e' il pericolo che un utente senza permesso che provi a visitare quel sito ottenga l'ip dalla cache del server dns nell AD invece di venire bloccato da pfblockerng ? suppongo dovrà perlomeno svuotare la cache del server dns prima di implementare questa soluzione

            ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
            Please do not use chat/PM to ask for help
            we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
            Don't forget to Upvote with the 👍 button for any post you find to be helpful.

            nnicola82N fabio.viganoF 2 Replies Last reply Reply Quote 0
            • nnicola82N Offline
              nnicola82 @kiokoman
              last edited by

              @kiokoman said in DNS filter e web proxy su ambiente di 5000 pdl:

              deve fare soluzioni diverse in base all'utente.
              se un utente "amministratore" visita un sito bloccato per gli altri utenti, l'ip viene messo nella cache dell AD quindi poi non c'e' il pericolo che un utente senza permesso che provi a visitare quel sito ottenga l'ip dalla cache del server dns nell AD invece di venire bloccato da pfblockerng?

              come IP intendi l'IP del sito web visitato?
              perché l'utente 'amministratore' 'autorizzato' a raggiungere quella categoria di sito oggi potrebbe avere ip 10.10.10.10 perchè in una vlan della struttura, domani potrebbe avere un 10.20.10.5 perchè sotto un altra vlan, perché in un'altra zona dell'azienda.
              l'hostname rimane quello, l'ip del client rimane

              1 Reply Last reply Reply Quote 0
              • fabio.viganoF Offline
                fabio.vigano @kiokoman
                last edited by

                @kiokoman le possibili soluzioni per l'impiego di filtri dns sono 3:

                1. filtro esterno all'azienda. DNS AD forwarda a PFSENSE che forwarda al SERVIZIO. In questo caso hai un unica policy per tutti quindi non puoi differenziare per utente/macchina;
                2. filtro esterno all'azienda con agente. DNS AD forwarda a PFSENSE che forwarda al SERVIZIO per gli apaprati senza agente, diversamente è l'agente che sioccupa di interrogare AD o SERVIZIO;
                3. filtro interno all'azienda. DNS SERVIZIO forwarda a DNS AD. In questo caso il servizio normalmente permette policy per utente o per macchina e può essere basato su agente o su scambio di token di autenticazione per riconoscere l'utente che vuole navigare.

                In ogni caso in questo tipo di filtri il TTL delle risposte DNS viene abbassato a meno di 1 minuto proprio per permettere di agire sulle regole tempestivamente senza fare flush della cache dei vari client e server. Quind se uno dovesse configurare in modo maldestro il servizio, ammesso che l'admin possa avere una policy tutta sua con meno restrizioni, la risoluzione operata dalle query dell'admin avrebbe vita breve.

                Ciao Fabio

                ===============================
                pfSenseItaly.com
                La risorsa italiana per pfSense

                Se il post o la risposta ti sono stati utili clicca su 👍

                1 Reply Last reply Reply Quote 1
                • kiokomanK Offline
                  kiokoman LAYER 8
                  last edited by

                  esatto fabio stavo giusto pensando che con la soluzione 1 non puoi differenziare ma fai una policy unica per tutti
                  il mio dubbio era appunto: supponiamo che l'utente "amministratore" visiti facebook,se fa la richiesta dns all'AD, l'AD risolve facebook.com e salva il dns nella cache. se un utente non amministratore richiede di andare su facebook e fa la richiesta di risolvere il dns all'AD questo risponde con l'ip che ha nella cache invece che richiedere nuovamente a pfsense e quindi pfblockerng non blocca la richiesta. quindi presumo che tu debba fare anche in modo che ciò non avvenga anche nel dns server abbassando TTL

                  ̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
                  Please do not use chat/PM to ask for help
                  we must focus on silencing this @guest character. we must make up lies and alter the copyrights !
                  Don't forget to Upvote with the 👍 button for any post you find to be helpful.

                  1 Reply Last reply Reply Quote 0
                  • fabio.viganoF Offline
                    fabio.vigano
                    last edited by

                    Di fatto avviene già perchè:

                    • nella soluzione 1 tutti gli utenti sono ugali;
                    • nella soluzione 2 tutto è mutuato da un agente;
                    • nella soluzione 3 hai il DNS con il servizio di filtering che in automatico abbassa il TTL e quindi non devi toccare il dns AD
                      Fabio

                    ===============================
                    pfSenseItaly.com
                    La risorsa italiana per pfSense

                    Se il post o la risposta ti sono stati utili clicca su 👍

                    nnicola82N 1 Reply Last reply Reply Quote 0
                    • nnicola82N Offline
                      nnicola82 @fabio.vigano
                      last edited by

                      @fabio-vigano said in DNS filter e web proxy su ambiente di 5000 pdl:

                      Di fatto avviene già perchè:

                      • nella soluzione 1 tutti gli utenti sono ugali;
                      • nella soluzione 2 tutto è mutuato da un agente;

                      non ho la possibilità di installare in questo momento un agente.. siamo in 3 su 5k hosts e nemmeno via GPO, l'impatto sulle PDL in questo momento sarebbe da verificare e da pianificare, sceglierei soluzione "invisibile" anche perché l'agente sarebbe cmq a pagamento, vero?

                      • nella soluzione 3 hai il DNS con il servizio di filtering che in automatico abbassa il TTL e quindi non devi toccare il dns AD
                        sarebbe la soluzione migliore per il caso descritto, rispetto alla 1 ma in questa situazione
                        devo impostare su client non più il dns AD ma pfSense? mi sembrava nel post precedente che mi consigliassi questo scenario

                      giusto?
                      grazie!

                      1 Reply Last reply Reply Quote 0
                      • fabio.viganoF Offline
                        fabio.vigano
                        last edited by

                        Si, puoi usare la soluzione 3 installando in casa una soluzione come nxfilter, nella guida ti spiegano come fare a configurarla in un ambiente AD e come fare a differenziare le policy
                        Ciao fabio

                        ===============================
                        pfSenseItaly.com
                        La risorsa italiana per pfSense

                        Se il post o la risposta ti sono stati utili clicca su 👍

                        nnicola82N 1 Reply Last reply Reply Quote 0
                        • nnicola82N Offline
                          nnicola82 @fabio.vigano
                          last edited by nnicola82

                          @fabio-vigano quindi non devo installare più pfSense e pfBlockerng?
                          avevo inizialmente escluso nxfilter perché al momento non passano ordini di acquisto

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.