DNS filter e web proxy su ambiente di 5000 pdl



  • Ciao a tutti
    una "chiacchierata" con la community su un tema sempre all'avanguardia e chiedo supporto "a chi è sempre più bravo di te": in un ambiente di 5000 client un enorme collo di bottiglia è attualmente rappresentato da proxy squid + squidguard (fermo a xx anni fa..) con un wpad propagato via GPO.
    La macchina squid è abbastanza performante (octacore 16GB RAM / hdd 200GB), nemmeno in transparent mode che rimbalza al firewall il blocco dei siti per IP/DNS, ma non per content filtering.
    Vorrei un vostro consiglio, per magari installare pfSense con pfBlocker e Suricata per fare IDS/IDP oppure pi-Hole ma ho visto che pfBlocker è abbastanza simile alla 'moda del momento'
    Attualmente come DNS esterni uso OpenDNS, internamente risolve il PDC.
    A me piace l'HA di pfSense: cosa mi consigliate? non è male pi-Hole ma non vorrei fosse troppo poco maturo: a me servirebbe una soluzione (non commerciale) DNS e Web filtering con Inspection del traffico SSL/SSH.. ed insomma.. tutto quello che i grossi brand fanno; chiedo troppo?
    Devo essere anche conforme alle normative AgID e GDPR/NIS.

    Vi ringrazio tanto per quello che mi scriverete, anche per un consiglio
    Buona serata a tutti


  • LAYER 8

    pfSense è sicuramente in grado di fare quello che chiedi, ci sono i pacchett aggiuntivi per squid con funzione di mitm se lo configuri per ispezionare ssl e squidguard (che puoi analizzare con una span + wireshark + certificato lato client verso squid) ma anche appunto pfblockerng-devel che va infatti molto di moda ultimamente. sulle mie interfacce uso senza problemi suricata che preferisco a snort ma c'e' anche quello se uno vuole, per i dns io uso bind9 su un server dedicato ma puoi configurare dns resolver (unbound) o dns forwarder (dnsmasq) e dirottare le richieste a l tuo PDC o a OpenDNS, non ho esperienza per il pi-hole ma vedo che nel forum inglese lo usano in parecchi ma i post erano prettamente in ambito soho/casalingo ..
    non ho idea per le normative forse se chiedi nel forum internazionale ti sanno rispondere, ci sono molti europei
    o vedi se qui qualcun altro sa darti chiarimenti in merito

    dimenticavo HA beh che dire funziona 😂 i due si sincronizzano e se il principale per qualche motivo "muore" il pfsense di backup prende il suo posto

    l'unica cosa da tenere in considerazione è l'hardware su cui vorresti installarlo, tieni presente che pfSense è basato su freebsd quindi ha un po più di limitazioni per quanto riguarda la compatibilità hardware rispetto ad altri sistemi. io l'ho installato sotto esxi e le schede di rete.. possibilmente intel e non hai problemi



  • Anche io penso di usare Vmware, ho un ambiente di test e produzione; ma anche dei server fisici, ma è l'ultimo dei miei problemi, anche perché poi vorrei fare un altro tipo di approccio, con containers e K8s 😎

    Detto questo, mi interessava sapere quanto fosse utile usare ancora nel 2020 squid e squidguard che leggo che sono vecchi, motivo per cui volevo approcciarmi a tecniche più recenti, tipo un filtraggio DNS. Suricata è nativo sul fork OpnSense.. funziona bene anche su pfSense? Va bene anche solo Suricata o mi consigliate anche squid? Meglio in trasparenza o 2 separati per https e http?
    Pi hole lo vedo un po' troppo giovane..

    Grazie per l'aiuto e la risposta


  • LAYER 8

    io personalmente non ho tutti quegli utenti per cui non uso squid ma 5000 client sono tanti e potrebbe farti ancora comodo la cache di squid. Suricata su pfSense funziona molto bene è costantemente aggiornato e mantenuto da bmeeks come puoi vedere dagli annunci sul forum inglese nella sezione IDS/IPS, è sempre presente e ti risolve eventuali problemi/dubbi rapidamente. Suricata e squid fanno due cose diverse puoi averli tutti e due. non saprei con tutti quegli utenti non ho esperienza magari per questo puoi chiedere nel forum inglese dove c'è più gente esperta, johnpoz è molto molto bravo anche se a volte un po rude ma se lo prendi dal verso giusto ti porta nel palmo della mano alla soluzione. pi hole non lo metterei neanche io in azienda, lo vedo ancora come un giocattolino da casa. pfblockerng invece è sicuramente da tenere in considerazione. comunque visto che hai un ambiente di testing io installere pfSense con squid in trasparente suricata e pfblockerng



  • @kiokoman grazie per le indicazioni

    Tentenno ancora su squid perché la maggior parte del traffico oggi è TLS e non sarebbe cache_abile, quindi mi stavo chiedendo a che punto ne valesse la pena avventurarmi con un proxy e quali soluzioni alternative trovare attorno, ma sinceramente, non ne vedo


  • LAYER 8

    no infatti non ne conosco neanche io per quello io l'ho tolto alla fine


Log in to reply