Aplicativos Modile bloqueados no Sguidguard + autenticação AD com NTLM



  • Pessoal boa tarde,

    Na empresa que trabalho tenho o pfsense em produção com sguid como proxy não transparente + ACLs e tudo está 100%, porém estou configurando um outro pfsense com sguid+squidguard+autenticação ntlm no AD win2003, porém em pcs tudo funciona perfeito, mas em aplicativos para celular tanto android quando ios os aplicativos como FACEBOOK, aplicativos de banco como bradesco, facebook messenger, gmail, enfim quase nenhum funciona, ja o watsapp funciona sem proxy nenhum normalmente, mas quando eu utilizo o proxy ele envia imagens e texto mas não recebe nenhum arquivo..

    Alguém teria uma dica de como resolver essas situações?

    Obrigado.



  • no android vc tem a opcao de setar as configuracoes de proxy na configuracao da rede, porem os aplicativos que nao pedem autenticacao, como o web browser por exemplo nao vao funcionar, no iphone a situacao é parecida, apesar de o SO autenticar, alguns palicativos tambem nao funcionam..

    eu criei um captive portal isolado da rede corporativa para esses dispositivos, resolvi dois problemas, um foi essa situacao e outro foi remover esses dispositivos indesejados da minha rede corporativa, apenas tive um trabalhinho de bloquear os mac address dos notebooks, para que nenhum mal intencionado usasse a rede captive para acessar o que nao deve..



  • @Lucas:

    no android vc tem a opcao de setar as configuracoes de proxy na configuracao da rede, porem os aplicativos que nao pedem autenticacao, como o web browser por exemplo nao vao funcionar, no iphone a situacao é parecida, apesar de o SO autenticar, alguns palicativos tambem nao funcionam..

    eu criei um captive portal isolado da rede corporativa para esses dispositivos, resolvi dois problemas, um foi essa situacao e outro foi remover esses dispositivos indesejados da minha rede corporativa, apenas tive um trabalhinho de bloquear os mac address dos notebooks, para que nenhum mal intencionado usasse a rede captive para acessar o que nao deve..

    Infelizmente aqui na empresa não é muito viável fazer isso.. mas será que não tem como resolver o problema? somente dessa maneira mesmo com o captive portal?

    Vlw.



  • você pode fixar o ip dos moveis no seu dhcp e fazer liberação por firewall através de um alias



  • @neutonsp:

    @Lucas:

    no android vc tem a opcao de setar as configuracoes de proxy na configuracao da rede, porem os aplicativos que nao pedem autenticacao, como o web browser por exemplo nao vao funcionar, no iphone a situacao é parecida, apesar de o SO autenticar, alguns palicativos tambem nao funcionam..

    eu criei um captive portal isolado da rede corporativa para esses dispositivos, resolvi dois problemas, um foi essa situacao e outro foi remover esses dispositivos indesejados da minha rede corporativa, apenas tive um trabalhinho de bloquear os mac address dos notebooks, para que nenhum mal intencionado usasse a rede captive para acessar o que nao deve..

    Infelizmente aqui na empresa não é muito viável fazer isso.. mas será que não tem como resolver o problema? somente dessa maneira mesmo com o captive portal?

    Vlw.

    neutonsp
    Uma solução que estou testando para esses casos é utilizar o monitoramento do trafego HTTPS(443) no SquidGuard com Autenticação no Captive Portal e o Captive Portal com Autenticação Radius do Active Directory.
    Estou testando em um ambiente e esta funcionando sem problemas ate o momento. Logico que tive alguns casos como Skype, Site com Certificados Digitais mais nada que nao encontrasse uma solução ainda.
    E um outro detalhe é o usuario ter que "instalar" o certificado no seu dipositivo. Mais deixei de uma forma simples o usuario consegui baixar direto do navegador.
    Bom espero que ajude voce ou algum de alguma forma. abco 8) ;D



  • Se quiser liberar o acesso ao whatsapp sem a necessidade de autenticação, basta pesquisar a faixa de ip aqui no fórum mesmo e monitorar via tcpdump as portas que a aplicação usa e em seguida liberar no firewall.