[Tutorial] Proxy Autenticado com Filtros - SquidGuard

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

[Tutorial] Proxy Autenticado com Filtros - SquidGuard

Mensagem por jhonthan »

Ola Pessoal.
Neste tópico estarei abordando a utilização de Proxy Autenticado dentro de uma rede, dentre os principais benefícios, podemos listar :
  • Bloqueio de sites com protocolo HTTPS;
  • Criação de regras por usuário;
  • Criação de regras por grupo / departamento ;

Com foi dito no tópico de configuração do Proxy:
http://itbr.org/forum/pfsense-open-sour ... -de-proxy/

Podemos utilizar de várias formas para autenticação, seja via: Base Local, LDAP, Radius e NT Domain. Para este tópico, utilizarei da integração dos usuários com o Domain Controller ( Resara ), aplicando as regras em cima das OU's e grupos já criados. No entanto, a regra se aplica normalmente para a integração com o AD do Windows.

Cenário
Domain Controller: Resara
Dominio: resara.local
IP: 172.16.0.6
OU's: Contabil, Fiscal, Pessoal e TI


Para que possamos começar a configurar, primeiramente precisaremos mudar o DNS, como apontamento primario como sendo o IP do dominio, neste caso ( 172.16.0.6 ), juntamente da habilitação da opção " Do not use the DNS Forwarder as a DNS server for the firewall ", para que o pfSense consiga resolver ao dominio. Para isso, deve-se acessar -- > System - General Setup - DNS Servers.

Imagem
Configuração DNS.


Imagem
Pingando o domínio, a resolução do nome através do SSH do pfSense.

Após isso, precisamos configurar o Proxy para que seja de modo autenticado, com isso precisaremos deixar a opção " Transparent Proxy " em --> Services - Proxy Server - General Setup, desabilitado.

Imagem


Com isso, as configurações de método de autenticação, já estará liberado para configuração, em --> Services - Proxy Server - Auth Settings.

Authentication method: LDAP;
LDAP version: 2;
Authentication server: IP do Controlador de dominio ( 172.16.0.6 );
Authentication server port: porta do LDAP ( 389 );
LDAP server user DN:  cn=Administrator,cn=Users,dc=resara,dc=local ;
LDAP password: Senha do usuário usado para autenticação, neste caso o do Administrator ;
LDAP base domain: dc=resara,dc=local ;
LDAP username DN attribute: uid;
LDAP search filter: Filtro para a busca do usuário ( sAMAccountName=%s ).

Com isso basta " Salvar ".


Imagem
Configurações do método de autenticação.


Imagem
Usuários no controlador de domínio ( Resara ).


Agora já poderemos criar as regras de filtro de conteúdo, por grupos. Com isso, basta acessar --> Services - Proxy Filter - Groups ACL.


Imagem
Criação de uma nova regra, através do botão [ + ].


Neste caso criarei uma regra de Bloqueio Geral para a OU ( Usuarios ), liberando posteriormente somente pelo departamento.


Name: Nome da Regra ( Bloqueio Geral );
Order: Prioridade da regra;
Client ( Source ): Clientes que receberão a regra, podendo ser: usuário, grupo, OU ou range. Com exceção da range, deve-se utilizar de aspas simples para inserir o cliente ( ex. 'contabil' );
Time: Regra por horário - Tópico Futuro
Target Rules: Regras para bloqueio / liberação ( Neste caso bloquearei tudo, com exceção da " Target Categories " - Liberados );
Do not allow IP-Addresses in URL: Com esta regra, não permite acesso a site via IP;
Redirect mode: Tela de bloqueio;
Use SafeSearch engine: permite a utilização de engines de busca ( Google, Yahoo, Bing ..);
Description: Descrição da regra;

Imagem
Regra Geral


Agora criarei uma regra Liberando o Facebook ( chat ) e a " Target Categories " - Liberados, para a OU ( Pessoal ).

Name: Nome da Regra ( LiberaPessoal );
Order: Prioridade da regra, acima da " BloqueioGeral ";
Client ( Source ): 'Pessoal' ;

Demais campos, Idem as regras anteriores;


Imagem
Libera Pessoal.


Por final, criarei uma regra Liberando todos os sites e a " Target Categories " - Liberados, para a OU ( TI ).

Name: Nome da Regra ( LiberaFullTI);
Order: Prioridade da regra, acima da " BloqueioGeral ";
Client ( Source ): 'TI' ;

Demais campos, Idem as regras anteriores;


Imagem
Libera TI

Imagem
Libera TI


Imagem
Ordem das regras


Com isso, deve-se setar o proxy no navegador da estação, ou até mesmo aplicar uma GPO para ativação do Proxy Automático.


Imagem
Regra de GPO.



Imagem
Configuração Manual


Imagem
Solicitação de autenticação


Certo, agora vamos conferir se as nossas regras formas aplicadas.


Imagem


No mais é isso pessoal, espero que tenham gostado.  ;)

Abrs, Jonathan
Para quem quer conhecer mais sobre Firewall: http://debsolutionsti.com/firewall/
Editado pela última vez por jhonthan em 15 Fev 2016 15:52, em um total de 1 vez.


" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

Re:Proxy Autenticado com Filtros - SquidGuard

Mensagem por jhonthan »

Pessoal estou analisando, juntamente de um tópico no forum do pfSense, sobre o motivo de não ser " totalmente " bloqueado as requisições por proxy autenticado, e sim dar time-out. Onde através do Proxy Transparente funciona normalmente.

Imagem
Regra por Proxy Transparente

http://forum.pfsense.org/index.php/topi ... #msg346980

Assim que tiver uma posição, posto aqui no fórum também.

Obs.: Vale ressaltar que não se trata de um problema do pfSense, e sim do pacote do SquidGiard.

Vlw, Jonathan
" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Avatar do usuário
marcelo0786
Global Moderator
Global Moderator
Mensagens: 127
Registrado em: 17 Jun 2013 17:43
Status: Offline

Re:[Tutorial] Proxy Autenticado com Filtros - SquidGuard

Mensagem por marcelo0786 »

Boa tarde,  jhonthan!

Grande eu fiz o passo a passo, mas não consigo bloquear sites pelo SquidGuard só pelo sguid mesmo. Como faço para resolver isso?

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

Re:[Tutorial] Proxy Autenticado com Filtros - SquidGuard

Mensagem por jhonthan »

Boa tarde Marcelo,
Habilitou o squidguard no menu proxy filter, bem como a blacklist?

Att:
Jonathan


[quote="marcelo0786"]
Boa tarde,  jhonthan!

Grande eu fiz o passo a passo, mas não consigo bloquear sites pelo SquidGuard só pelo sguid mesmo. Como faço para resolver isso?
[/quote]
" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Avatar do usuário
marcelo0786
Global Moderator
Global Moderator
Mensagens: 127
Registrado em: 17 Jun 2013 17:43
Status: Offline

Re:[Tutorial] Proxy Autenticado com Filtros - SquidGuard

Mensagem por marcelo0786 »

Boa tarde, jhonthan!

Habilitei o squidguard, instalei a Blacklist, criei o Target categories, criei Groups Access Control List (ACL).
Ai eu abro o navegador, logo com o usuário e o as regras que fiz na Target categories não funcionam.

Avatar do usuário
jhonthan
Administrator
Administrator
Mensagens: 70
Registrado em: 27 Jun 2013 10:59
Contato:
Status: Offline

Re:[Tutorial] Proxy Autenticado com Filtros - SquidGuard

Mensagem por jhonthan »

Existe alguma regra em Common ACL?

Att:
Jonathan

[quote="marcelo0786"]
Boa tarde, jhonthan!

Habilitei o squidguard, instalei a Blacklist, criei o Target categories, criei Groups Access Control List (ACL).
Ai eu abro o navegador, logo com o usuário e o as regras que fiz na Target categories não funcionam.
[/quote]
" Não faz sentido olhar para trás e pensar: devia ter feito isso ou aquilo, devia ter estado lá. Isso não importa. Vamos inventar o amanhã, e parar de nos preocupar com o passado. "  ( Steve Jobs )

Avatar do usuário
marcelo0786
Global Moderator
Global Moderator
Mensagens: 127
Registrado em: 17 Jun 2013 17:43
Status: Offline

Re:[Tutorial] Proxy Autenticado com Filtros - SquidGuard

Mensagem por marcelo0786 »

Boa tarde, Jonathan!

Consegui resolver! Eu criei um usuário chamado squid e criei uma senha sem caracteres especiais. Depois disso as regras criadas no SquidQuard funcionam normalmente..

Responder

Voltar para “Tutoriais”