Nuevo en PFSense - Consultas



  • Buenos dias!  ;D

    Soy nuevo en esto del PFSense y tengo la siguiente inquietud.

    Tengo un grupo de maquinas que se conectaran al pfsense (viene reemplazando otro firewall que ya vivio lo suyo).
    Estos usuarios estan divididos en 5 grupos que se segmentaran de la siguiente manera:

    • Acceso Total

    • Acceso Total sin streaming

    • Acceso Total sin streaming ni redes sociales

    • Acceso a determinadas paginas y correo web (gmail, yahoo, etc)

    • Acceso solo a correo web

    La pregunta viene sobre el modo de como lograrlo; se que debo de instalar Squid para restringir el acceso, pero aun no veo como separar a todos estos usuarios. Estos usuarios ademas se encuentran todos conectados a un solo Switch que a su vez va conectado al firewall.

    Agradezco de antemano toda la ayuda que puedan brindarme.



  • con squid solamente en el pfsense no se puede, debes instalar aparte squid guardian



  • hola de nuevo!

    Gracias dementekuatiko por tu pronta respuesta.

    Si bien me queda claro lo de la instalación del PF, con squid y squidguardian, lo que no me terminar de cuajar es el tema de la segmentacion; alguna sugerencia acerca de como abordar este tema?



  • Este aplica para las version 2.0 ya que es basicamente lo mismo
    http://forum.pfsense.org/index.php/topic,22273.0.html
    o puede revisar en la parte de documentacion. la verdad crear las lista no tiene nada complejo y esta explicado en el link anterior

    saludos



  • Muchisimas gracias Dementekuatiko!

    Pruebo ahora esas modificaciones y te comento como me fue; pero desde ya, muchas gracias!



  • Yo Ho!, todo listo y andando; pero tengo una consulta. Espero que no sea muy peculiar:

    Puedo utilizar Squid+SquidGuardian conjuntamente con DansGuardian?



  • la verdad no lo probado, no se si alguien en el foro lo a probado. de todas formas creo que los paquetes hacen lo mismo y no veo la necesidad de usar los dos servicios que hacen lo mismo.



  • Buenos días

    No debes usar ambos al mismo tiempo, es como querer usar edulcorante y azucar en el mismo café ;)
    Dansguardian hace mucho más que squidguard, yo lo tengo instalado en un Debian, la ventaja que le veo a dansguardian es que puedes actualizar los blacklist ( importante cuando no sabes la lista de nuevos proxies por donde generalmente la gente se brinca la "seguridad") hay muchas maneras de brincarse o como se dice en spanglish "bypasear" el firewall, pero obviamente la mayoría se usuarios no sabe cómo hacerlo, pero qué sí saben utilizar un webproxy desde un navegador (url que le facilitó el sobrino que sabe algo de tecnología) y la mayoría de estos webproxy los tiene identificado dansguardian, y los nuevos que son reportados son agregados a los blacklist que uno puede actualizar luego en dansguardian.

    El manejo de grupos de usuarios no es dificil, pero tampoco trivial en dansguardian, y hasta donde se, dansguardian no lo he visto como un addon de pfsense, por eso lo tengo corriendo en mi Debian… espero que algún día lo vea en pfsense, me facilitaría la vida y me ahorraría una máquina ;)

    Saludos


  • Rebel Alliance

    Dansguardian Si está disponible como paquete…. ;)

    http://forum.pfsense.org/index.php/topic,43786.0.html




  • en Beta ;) 
    En mi oficina no uso Beta, si algo no funciona me linchan :D
    Para el área de servidores solo usamos versiones estables, pero voy a probarlo en el pfsense que tengo instalado en mi casa, ya que me gusta más que squidguard.

    Saludos.



  • Entonces, a la pregunta en cuestion; podria trabajar con PFSense, squid + dansguardian como una buena opcion? o es recomendable el utilizar PFSense, Squid + SquidGuard?

    Ya le meti algo de mano al SquidGuard, pero quisiera confrontar los resultados frente al Dans, ya que tengo un par de usuarios algo entendidos en el temita de saltarse los proxys.

    Agradecere mucho su opinion.



  • Como lo comenté en mi primer post de este hilo, Dansguardian desde mi punto de vista es mejor por el tema de los blacklist, que puedes actualizarlos y no tienes que investigar por tu propia cuenta los millones de links e IP que sirven de proxies en todo el mundo, así como los url de los porn_site, etc. Si los usuarios que se brincan el proxy son avanzados, (cuando digo avanzados es que saben bastante de redes y tecnología) no creo que haya fw que los bloquee ;) llevo años brincándome un fortigate y se supone que son el UTM más pro del planeta según el cuadrante mágico de Gartner.

    Saludos.



  • Las blacklists, whitelists y greylists existen también en squidGuard. Es más, las hay que son compatibles con ambos redirectores para squid (squidGuard y DansGuardian).

    Por lo que tengo entendido (no lo he probado nunca), DansGuardian hace algunas cosas más que squidGuard. Creo que puede filtrar no sólo por URL; también por contenido de la página.

    Obviamente esto hace que (por lo que tengo entendido) que requiera más potencia de máquina y más afino que squidGuard.

    En un centro educativo que aconsegé sobre pfSense tienen un squid (fuera de pfSense). Lo tenían con DansGuardian y lo cambiaron a squidGuard porque les iba más rápido y los ajustes los encontraron más fáciles.

    En fin, todo es probar…



  • @Doldo:

    Entonces, a la pregunta en cuestion; podria trabajar con PFSense, squid + dansguardian como una buena opcion? o es recomendable el utilizar PFSense, Squid + SquidGuard?

    Ya le meti algo de mano al SquidGuard, pero quisiera confrontar los resultados frente al Dans, ya que tengo un par de usuarios algo entendidos en el temita de saltarse los proxys.

    Yo utilizo squidguard en la oficina y todos esos entendidos en el tema de saltarse proxy se topan con pared, tengo habilitado la opcion de negar direcciones ip y ni por donde le entren.

    Cuando los usuarios no pueden navegar alguna página de trabajo que esté por medio de ip, solo la doy de alta en mis políticas y ya está…  Tengo la politica de Debug el pfsense cada vez que hay algún problema de acceso y me ha ido de maravilla...

    Te lo recomiendo Pfsense + Squid + Squidguard

    Lo de las blacklists cada quince días las puedes actualizar manualmente y no hay problema.



  • Yo utilizo squidguard en la oficina y todos esos entendidos en el tema de saltarse proxy se topan con pared, tengo habilitado la opcion de negar direcciones ip y ni por donde le entren.

    Cuando los usuarios no pueden navegar alguna página de trabajo que esté por medio de ip, solo la doy de alta en mis políticas y ya está…  Tengo la politica de Debug el pfsense cada vez que hay algún problema de acceso y me ha ido de maravilla...

    Te lo recomiendo Pfsense + Squid + Squidguard

    Lo de las blacklists cada quince días las puedes actualizar manualmente y no hay problema.

    Yo he usado ambos, y particularmente me quedo con Dansguardian, pero entre gustos y colores, no han escrito los autores :D

    Además, Bellera tiene razón en algo, y que particularmente desde 2006 desde que uso Dansguardian nunca vi en SquidGuard que pueda usar regex por ejemplo para analizar contenido dentro de la página, y no solo por url/dominio.

    Dansguardian filtra contenido mediante la comparación de caracteres, filtro PICS y filtro por URL.

    Tiene estos tipo de de Ban y Exception:

    bannedphraselist: contiene una lista de frases prohibidas. Las frases deben estar entre <>. Por defecto incluye una lista ejemplo en inglés. Las frases pueden contener espacios. Se puede también utilizar combinaciones de frases, que si se encuentran en una página, serán bloqueadas.

    bannedmimetypelist contiene una lista de tipos MIME prohibidos. Si una URL devuelve un tipo MIME incluido en la lista, quedará bloqueada. Por defecto se incluyen algunos ejemplos de tipos MIME que serán bloqueados.

    bannedextensionlist contiene una lista de extensiones de archivos no permitidas. Si una URL termina con alguna extensión contenida en esta lista, será bloqueada. Por defecto se incluye un archivo ejemplo que muestra como denegar extensiones.

    bannedregexpurllist contiene una lista de expresiones regulares que si se cumplen sobre la URL ésta será bloqueada.

    bannedsitelist contiene una lista de sitios prohibidos. Si se indica un nombre de dominio todo él será bloqueado. Si se quiere sólo bloquear partes de un sitio hay que utilizar el archivo bannedurllist. También se pueden bloquear los sitios indicados exeptuando los dados en el archivo exceptionsitelist. Existe la posibilidad de descargarse listas negras tanto de sitios como de URLs y situarlas en los archivos correspondientes. Están disponibles en http://dansguardian.org/?page=extras.

    bannedurllist permite bloquear partes específicas de un sitio web. bannedsitelist bloquea todo el sitio web y ésta sólo bloquea una parte.

    banneduserlist lista de los nombres de usuario que estarán bloqueados.

    Archivos de excepciones:

    exceptionsitelist contiene una lista de los nombres de dominio que no serán filtrados Es importante tener en cuenta que el nombre de dominio no debe incluir http:// o www.

    exceptioniplist contiene una lista de las direcciones IP de los clientes a los que se permite el acceso sin restricciones. este sería el caso de la dirección IP del administrator.

    exceptionuserlist lista de los nombres de usuarios que no serán filtrados en el caso de utilizar control de acceso por usuario. Requiere autenticación básica o "ident".

    exceptionphraselist lista de las frases que, si aparecen en una página web, pasará el filtro.

    Sobre la Clasificación de Páginas Mediante Etiquetas PICS:

    Las etiquetas pics, son etiquetas (valga la redundancia) que los diseñadores/dueños de páginas web ponen a sus páginas para identificar el tipo de contenido que muestran. Estas etiquetas se basan en el protocolo PICS. se conocen dos sistemas de clasificación de etiquetas, ICRA (Internet Content Rating Association) icra.org y SafeSurf safesurf.com.

    Por otro lado, a no ser que sólo permitas ciertas páginas en tu red, (lo cual la haría poco administrable) brincar un FW no es dificil, yo por lo menos tengo un Debian con ssh por 443 y otros puertos por si acaso :D (por 443 va cifrado, así que mientras pfsense no tengo un "negociador de certificados" para hace un man in the middle y sea él el que maneje la negociación de certificados entre origen y destino, es imposible que pfsense o cualquier otro FW sepa cuál es el tráfico que va encapsulado) y tan solo hago un tunnel ssh por 443  (que lo permite el proxy, sino nadie podría ingresar a sus bancos  ;) ) luego configuro en mi navegador un proxy apuntando al tunnel y listo. podrían bloquear mi ip dirás, pero siendo un registro dinámico de direcciónes lo que me da el proveedor de internet, muere la regla cuando se haga release del IP, cosa que los proveedores hacen frecuentemente, y no veas el que trabajo que tendría el adm. ;)  además, siempre puedes tener un Debian en casa del primo, de mamá, de mis hermanos, los panas (amigos) de la comunidad que siendo MUY buenos compañeros puede darte una shell limitada para estos menesteres ;) y poder cargar tu IRC para ayudar en los #canales. :D



  • Deberías explicar más sobre eso del Debian :)



  • No hay nada que explicar, es sencillamente un tunel ssh, uso Debian, porque es la distro linux que uso, porque funciona en muchas arquitecturas y ahora también con kernel FreeBSD :-)



  • Yo decía porque simplemente no se como hacerlo :(



  • Bueno, puedes consultarme por medio de mi correo electrónico y con mucho gusto te explico, aunque todo lo que quieras aprender sobre tunel ssh lo tienes en internet seguro mejor explicado que lo que pueda hacerlo yo ;)

    No te respondo por aca, porque debería estar en otro hilo, respetando la netiquette [1] a lo estipulado en "Recomendaciones al postear" punto 3 "Abrid una nueva discusión si el tema es nuevo."

    [1] Netiquette: http://es.wikipedia.org/wiki/Netiquette

    PD. Para no perder el post, un ejemplo sencillo de tunel.   # ssh -D 8080 -p 443 user@domain   luego en tu navegador Ser4vidor Socks [ 8080 ]

    Saludos


Locked