SquidGuard+LDAP bloquea todas las aplicaciones (hotmail, facebook)



  • Buenas tardes colegas
    Instale Squid+SquidGuard con autenticación LDAP en una red inalámbrica para nuestros colaboradores. Funciona excelente con el navegador de los dispositivos. (Usuario y contraseña de dominio y estos usuarios caen en un filtro de navegación) Hasta aquí todo bien.

    Resulta que para todos los filtros las aplicaciones de los celulares no cargan o no se actualizan o no tienen acceso hacia afuera osea internet  ejemplo (hotmail, facebook, instagram, etc) Todas las aplicaciones están denegadas aunque el usuario que se autentico sea usuario avanzado.
    El real time del squid me marca DENY y aunque coloque este dominio en lista blanca. Las aplicaciones siguen sin funcionar.
    Como puedo resolver este problema

    Se los agradecería



  • Proxy manual: Funcionaria excelente si fuese una red LAN donde por lo general solo se utiliza un navegador web, estas máquinas siempre van a estar en la misma LAN. Pero siendo para una red inalámbrica donde se conectaran dispositivos móviles aplicar esta opción, complica las cosas. Además que no eh logrado que las aplicaciones naveguen

    Realice una matriz con las distintas opciones a configurar si le llegan a solicitar para una red inalambrica (login con usuario de dominio)

    Hasta el momento la más factible es Proxy transparente + Portal Cautivo + LDAP: El login del portal cautivo debe colocar las credenciales de domino funciona excelente. Pero ocurre lo siguiente, El Proxxy filter SquidGuard no reconoce el usuario que se logueo en el portal cautivo aunque este sea del dominio, solo reconoce el IP y solo aria el filtro por IP.

    Ocurre que hay dispositivos de gerentes que no queremos que autentique por usuario si no por mac address, cuando agrego en el portal cautivo un segundo servidor FreeRadius este solo le hace caso al primero que este configurado

    Como podría solucionar esto

    ![matriz pfsense.PNG](/public/imported_attachments/1/matriz pfsense.PNG)
    ![matriz pfsense.PNG_thumb](/public/imported_attachments/1/matriz pfsense.PNG_thumb)



  • El pfsense ya incorpora squid3 el cual puede filtrar de forma transparente el trafico SSL. Para ello debes usar una Autoridad de Certificación (AC).

    Partiendo de lo siguiente:

    1. Squid autentica contra LDAP (es decir tu usuario y clave la valida para dejarte pasar).

    2. SquidGuard toma el usuario que le pasa el squid y valida en sus ACL (query) en que grupo se encuentra para aplicar el Filtro.

    Ahora, partiendo que tienes una Red Mixta (Por eso soy fanático al Proxy No Transparente y Dedicado, es decir fuera del Pfsense).  Te recomiendo lo siguiente:

    Maneja Proxy Transparente. Maneja las ACL de tu red de confianza (Cableada)  por IP.  Filtras HTTPS y validad mediante Squidguard las IP.

    Maneja una única ACL Para el portal Cautivo con un unico segmento de REd para esos equipos.

    Con lo anterior expuesto todo pasara por el Proxy.

    Otra opcion.  Autenticas tu red LAN con LDAP,  pero la Wifi (portal cautivo) la dejas directo (sin proxy) no bloquearas nada, pero debe aplicar calidad de servicio para que no te coman el ancho de banda.

    Lo que yo aplicaría: Manejo el Portal cautivo con Pfsense, squid transprente  + squidguard.  para todo lo que es WIFI.

    Y para todo lo que es LAN (que pueda autenticar)  Servidor dedicado. Linux Debian (squid NO transparente, auth ldap + squigduard).

    Este escenario depende de la cantidad de equipos disponibles y de usuarios. Tampoco uno se va a poner creativo para 50 usuarios.

    Pero si estamos hablando sobre los 200, ya prefiero manejar un proxy dedicado y quitarle esa responsabilidad al firewall. esto te da opcion de jugar con los escenarios sin enredar el papagayo (cometa)



  • Por que no usar wpad para este tipo de configuración, aporta todas las ventajas de usar el proxy no transparente y no requiere ser configurado en cada equipo, ni requiere de certificado.

    La única desventaja que he percibido es que mozilla NO toma el proxy y debe ser manual, ie, chrome, Safari funcionan perfecto



  • Gracias por el Aporte win_bar

    Pregunto.

    Para el caso de dispositivos mobiles:  tablet, celulares, ipad, android, ios, blackberry, etc etc,  aplica el wpad?

    Saludos



  • Gracias por responder colegas
    win_bar: Cuando configure proxy no trasparente, en los dispositivos móviles (tablet, celulares, ipad) debes configurar el proxy en la red SSID y cuando navegas la autenticación con LDAP funciona excelente hasta le aplica un grupo de dominio pero ocurre que las aplicaciones instaladas en el dispositivo móvil no funcionan (WhatsApp, Facebook, Instagram) ninguna  funciona aunque el usuario logeado haya sido un usuario con perfil avanzad. Entonces pensé para que usar WPAD si para los dispositivos móviles seguirá el problema con las aplicaciones. (No lo eh intentado)

    j.sego 1: Gracias por tu comentario, es una red Wifi para colaboradores de la empresa. Donde la mayoría de cosas que se conectaran son dispositivos móviles. Lo que buscábamos en principio es que cada usuario sea identificado ósea usuario de dominio y aplicarle un control de navegación (avanzado, medio, básico). Lo que eh logrado hasta ahora es portal cautivo con LDAP. El servidor FreeRadius en este caso es el servidor de dominio. Quisiera poder configurar en la sección de FreeRadius>LDAP pero hasta ahora no eh podido



  • Ahh ok  COFroot

    Entonces, las aplicaciones (en los dispositivos móviles) no se comportan como en los sistemas Operativos (linux/windows) que buscan la configuración proxy del sistema.

    Creo que para este punto, tendrás que usar proxy transparente.  son 2 tipos de acl (mi recomendación) 
    A) Todo el Mudo.
    B) Privilegiados.

    Y jugar con eso.

    Saludos.

    No he probado freeradius.



  • Correcto j.sejo1 los dispositivos móviles no buscan el proxy configurado, solo es visible para el navegador.
    No eh probado WPAD, pero creo tampoco funcionara.
    Estoy tratando de configurar service>FreeRadius>LDAP pero  no lo eh logrado