Novas Regras para empresa (squid+squidguard+captive portal)



  • Pessoal.. estou planejando mudar algumas regras aqui na empresa,sendo que já recebi diversas opiniões de "especialistas" sobre o que devo fazer…

    Situação atual do Pfsense :

    -Temos +- 200 usuários na empresa,sendo que utilizo o opendns para bloqueio das páginas e regras no firewall para bloqueio de portas,direcionamento de portas,etc.
    -Utilizo (Squid+squidguard-apenas para regra de horário de acesso-+snort).
    -DHCP (sendo que todos os usuários estão cadastrados com seus devidos IPs atrelados ao MAC).

    O que os "especialistas" me sugerem ?

    Comprar o firewall/roteador que oferecem,isso mostra que eles não conhecem o Pfsense.

    O que eu acho que devo fazer para termos uma estrutura organizada ?

    -Utilizar o captive portal com autenticação freeradius (gostaria de autenticar e controlar a banda de todos os usuários,sendo que os usuários devem se logar em uma página personalizada da empresa para ter acesso a internet).
    -De tempos em tempos a pessoa tem que colocar sua senha de novo.
    -Limite de tráfego diário (apenas para mim ter controle se alguém está baixando demais)
    -Bloqueio de conteúdo através do Squidguard com uma blacklist atualizada e os devidos grupos organizados por Departamentos.
    -Havp para filtrar algumas ameaças antes de serem baixadas. (Testei 4x e não funcionou,sendo que segui fielmente o tutorial do blog-br do pfsense,o havp está sendo executado porém não aparece a página de bloqueio no teste do eicar).
    -Setar o proxy nas máquinas através do domínio que temos na empresa e não usar proxy transparente.
    -Bloquear todas as portas e so liberar as necessárias (vai dar trabalho  ;D )
    -Posso adicionar os usuários criados no captive portal com autenticação freeradius no squidguard?

    Eu acho que é isso pessoal... não tenho muita experiência com o Pfsense ou até mesmo no meio Empresarial de uma média/grande empresa,mas estou me dedicando para me aprimorar na área.

    Gostaria da ajuda do pessoal aqui do forúm.  :)

    Segue abaixa a estrutura da empresa.



  • 90% do que você esta propondo já temos tutoriais aqui no site.

    pontos importantíssimos para uma rede segura

    -Bloquear todas as portas e so liberar as necessárias, incluindo https
    -Setar o proxy nas máquinas através do domínio que temos na empresa e não usar proxy transparente.
    -autenticação e Bloqueio de conteúdo através de blacklist atualizada e os devidos grupos organizados por Departamentos.

    Nunca testei squidguard com captiveportal.



  • @marcelloc:

    90% do que você esta propondo já temos tutoriais aqui no site.

    pontos importantíssimos para uma rede segura

    -Bloquear todas as portas e so liberar as necessárias, incluindo https
    -Setar o proxy nas máquinas através do domínio que temos na empresa e não usar proxy transparente.
    -autenticação e Bloqueio de conteúdo através de blacklist atualizada e os devidos grupos organizados por Departamentos.

    Nunca testei squidguard com captiveportal.

    Obrigado pela resposta marcelloc …

    Você me recomenda o uso do captive portal com o freeradius2 ?
    Há algum tutorial detalhado para mim seguir para utilizar o captive com esse tipo de autenticação ?

    Creio que no squidguard apenas os usuários criados nele possam ser adicionados a lista de source ips ..
    Grato.



  • Sugestão de leitura pelo desenvolvedor do pacote freeradius para pfsense

    Captiveportal+freeradius
    http://doc.pfsense.org/index.php/FreeRADIUS_2.x_package#Amount_of_Bandwidth



  • Se você possui Controlador de Dominio, seja Samba, seja Active Directory, sugiro utilizar o Squid com Autenticação, fica mais fácil até para identificar os usuários nos logs de navegação. Como a base de usuários é a mesma do dominio, você não vai precisar administrar duas bases de usuários diferentes.

    Colocar o Captive Portal para autenticar na base do Active Directory não é seguro, visto que para que o Radius possa ler a base é preciso retirar a criptografia das senhas.

    O Captive Portal proporciona uma estética interessante mas na minha opinião com o Squid autenticado é mais simples e prático, isso claro é a minha opinião.



  • sobre o havp não filtrar…
    você tem certeza que selecionou as interfaces certas?
    quando instalei esqueci de selecionar a interface wireless e não deu muito certo xD



  • @LFCavalcanti:

    Colocar o Captive Portal para autenticar na base do Active Directory não é seguro, visto que para que o Radius possa ler a base é preciso retirar a criptografia das senhas.

    O radius tem várias formas de se comunicar com o AD usando criptografia.

    o 802.1x é baseado em radius e não é inseguro.



  • Você já pode incluir o dansguardian nesta sua lista de pacotes e sumir com o HAVP.



  • @LFCavalcanti:

    Se você possui Controlador de Dominio, seja Samba, seja Active Directory, sugiro utilizar o Squid com Autenticação, fica mais fácil até para identificar os usuários nos logs de navegação. Como a base de usuários é a mesma do dominio, você não vai precisar administrar duas bases de usuários diferentes.

    Colocar o Captive Portal para autenticar na base do Active Directory não é seguro, visto que para que o Radius possa ler a base é preciso retirar a criptografia das senhas.

    O Captive Portal proporciona uma estética interessante mas na minha opinião com o Squid autenticado é mais simples e prático, isso claro é a minha opinião.

    Interessante sua colocação… com a autenticação via AD pelo squid o usuário logaria na máquina normalmente e logo teria acesso a internet ou teria que entrar em uma página como o captive portal para e logar com o mesmo usuário do AD ?

    Qual a diferença de se usar squid+ autenticação pelo AD e utilizar o captive portal com autenticação pelo AD?
    Se eu escolher o captive portal + autenticação via AD , perderíamos a página de login dos usuários via navegador ou o próprio freeradius+ad já libera a conexão depois do login na estação de trabalho ?

    Gostaria da solução mais prática e segura para se fazer tal mudança em uma rede de 200 usuários em média.

    Grato!


Log in to reply