Neste tópico estarei abordando a utilização de Proxy Autenticado dentro de uma rede, dentre os principais benefícios, podemos listar :
- Bloqueio de sites com protocolo HTTPS;
- Criação de regras por usuário;
- Criação de regras por grupo / departamento ;
Com foi dito no tópico de configuração do Proxy:
http://itbr.org/forum/pfsense-open-sour ... -de-proxy/
Podemos utilizar de várias formas para autenticação, seja via: Base Local, LDAP, Radius e NT Domain. Para este tópico, utilizarei da integração dos usuários com o Domain Controller ( Resara ), aplicando as regras em cima das OU's e grupos já criados. No entanto, a regra se aplica normalmente para a integração com o AD do Windows.
Cenário
Domain Controller: Resara
Dominio: resara.local
IP: 172.16.0.6
OU's: Contabil, Fiscal, Pessoal e TI
Para que possamos começar a configurar, primeiramente precisaremos mudar o DNS, como apontamento primario como sendo o IP do dominio, neste caso ( 172.16.0.6 ), juntamente da habilitação da opção " Do not use the DNS Forwarder as a DNS server for the firewall ", para que o pfSense consiga resolver ao dominio. Para isso, deve-se acessar -- > System - General Setup - DNS Servers.
Configuração DNS.
Pingando o domínio, a resolução do nome através do SSH do pfSense.
Após isso, precisamos configurar o Proxy para que seja de modo autenticado, com isso precisaremos deixar a opção " Transparent Proxy " em --> Services - Proxy Server - General Setup, desabilitado.
Com isso, as configurações de método de autenticação, já estará liberado para configuração, em --> Services - Proxy Server - Auth Settings.
Authentication method: LDAP;
LDAP version: 2;
Authentication server: IP do Controlador de dominio ( 172.16.0.6 );
Authentication server port: porta do LDAP ( 389 );
LDAP server user DN: cn=Administrator,cn=Users,dc=resara,dc=local ;
LDAP password: Senha do usuário usado para autenticação, neste caso o do Administrator ;
LDAP base domain: dc=resara,dc=local ;
LDAP username DN attribute: uid;
LDAP search filter: Filtro para a busca do usuário ( sAMAccountName=%s ).
Com isso basta " Salvar ".
Configurações do método de autenticação.
Usuários no controlador de domínio ( Resara ).
Agora já poderemos criar as regras de filtro de conteúdo, por grupos. Com isso, basta acessar --> Services - Proxy Filter - Groups ACL.
Criação de uma nova regra, através do botão [ + ].
Neste caso criarei uma regra de Bloqueio Geral para a OU ( Usuarios ), liberando posteriormente somente pelo departamento.
Name: Nome da Regra ( Bloqueio Geral );
Order: Prioridade da regra;
Client ( Source ): Clientes que receberão a regra, podendo ser: usuário, grupo, OU ou range. Com exceção da range, deve-se utilizar de aspas simples para inserir o cliente ( ex. 'contabil' );
Time: Regra por horário - Tópico Futuro
Target Rules: Regras para bloqueio / liberação ( Neste caso bloquearei tudo, com exceção da " Target Categories " - Liberados );
Do not allow IP-Addresses in URL: Com esta regra, não permite acesso a site via IP;
Redirect mode: Tela de bloqueio;
Use SafeSearch engine: permite a utilização de engines de busca ( Google, Yahoo, Bing ..);
Description: Descrição da regra;
Regra Geral
Agora criarei uma regra Liberando o Facebook ( chat ) e a " Target Categories " - Liberados, para a OU ( Pessoal ).
Name: Nome da Regra ( LiberaPessoal );
Order: Prioridade da regra, acima da " BloqueioGeral ";
Client ( Source ): 'Pessoal' ;
Demais campos, Idem as regras anteriores;
Libera Pessoal.
Por final, criarei uma regra Liberando todos os sites e a " Target Categories " - Liberados, para a OU ( TI ).
Name: Nome da Regra ( LiberaFullTI);
Order: Prioridade da regra, acima da " BloqueioGeral ";
Client ( Source ): 'TI' ;
Demais campos, Idem as regras anteriores;
Libera TI
Libera TI
Ordem das regras
Com isso, deve-se setar o proxy no navegador da estação, ou até mesmo aplicar uma GPO para ativação do Proxy Automático.
Regra de GPO.
Configuração Manual
Solicitação de autenticação
Certo, agora vamos conferir se as nossas regras formas aplicadas.
No mais é isso pessoal, espero que tenham gostado.
Abrs, Jonathan
Para quem quer conhecer mais sobre Firewall: http://debsolutionsti.com/firewall/