[GTER] RES: Content Filtering Open Source

Rogério Moura rogerpop at gmail.com
Fri Jan 22 12:46:50 -02 2016


R0me0,
O grande problema desse modelo, é que as informações trafegam em texto
puro, aí fica fácil de pegar as credenciais na rede, o que se tem falado, é
que o kerberos além de mais seguro tem performance superior, em relação ao
ldap puro e ao ntlm.
Em 22/01/2016 10:52, "R0me0 ***" <knight.neo at gmail.com> escreveu:

> squid.conf
>
> auth_param basic program /usr/local/libexec/squid_ldap_auth -v 3 -R -b
> dc=yourdomain,dc=com -D cn=”Squid Authenticator”,ou=IT,ou=”Users and
> Groups”,dc=yourdomain,dc=com -W /etc/squid/passfile -f sAMAccountName=%s
> 10.20.30.1
>
> external_acl_type proxygroup %LOGIN /usr/local/libexec/squid_ldap_group -v
> 3 -R -b dc=yourdomain,dc=com -D cn=”Squid Authenticator”,ou=IT,ou=”Users
> and Groups”,dc=yourdomain,dc=com -W /etc/squid/passfile -f
>
> (&(sAMAccountName=%v)(memberof=cn=%a,ou=Internet,ou=Groups,ou=Organization,ou=”Users
> and Groups”,dc=yourdomain,dc=com)) 10.20.30.1
>
> acl ad_auth proxy_auth REQUIRED
> acl netaccess external proxygroup url_regex “/etc/squid/group”
>
> …..
>
> http_access deny !ad_auth
> http_access allow netaccess
>
> Quick explanation:
>
>  cn=”Squid Authenticator” = Display Name of User account in Active
> Directory
>
> ou=…., ou… = recursive search to top of domain
>
> /etc/squid/passfile = Contains password of Squid Authenticator account
>
> 10.20.30.1 = Ip address of Active Directory
>
> url_regex “/etc/squid/group” = If the group contain spaces, example:
> Internet Access, put into file called group, if not use:
>
> acl netaccess external proxygroup InternetAccess
> where InternetAccess is name of the group
>
> squid_ldap_group = was used to autheticate users that belong of specific
> group
>
>
> Em 21 de janeiro de 2016 11:55, Willen Borges Coelho <willen at ifes.edu.br>
> escreveu:
>
> > Roberval,
> >
> > Eu só utilizo o squid autenticando em alguma base, quando a base eh ldap
> > utilizo ntlm e separo os diferentes perfils pelo grupo do AD, utilizando
> o
> > ext_wbinfo_group_acl que é um script próprio do squid.
> >
> > Quando utilizo outras bases (mysql), uso o captive portal que fiz no
> squid
> > [1].
> >
> > Entretanto não curto o pfsense, ele utiliza o kerberos para autenticação
> > com o AD e pelo CentOS temos a possibilidade de utilizar o winbind, que
> pra
> > mim eh muito mais estável e simples de configurar.
> >
> > Atenciosamente,
> >
> > Willen
> >
> >
> > [1]
> >
> http://www.spawnzao.com.br/2016/01/17/captiveportal-completo-com-o-squid-no-centos-7/
> >
> > ________________________________________
> > De: gter [gter-bounces at eng.registro.br] em nome de Roberval Lustosa [
> > r.lustosa at gmail.com]
> > Enviado: quarta-feira, 20 de janeiro de 2016 5:28
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] Content Filtering Open Source
> >
> > Na verdade eu nunca testei, apenas vi que no squid3 tem essa opção. Se
> > tiver forma de realizar filtros por grupo, provável que seja no radius.
> >
> > Em 19 de janeiro de 2016 19:15, Rogério Moura <rogerpop at gmail.com>
> > escreveu:
> >
> > > Roberval,
> > > Nunca tentei dessa forma, você já fez? consigo consultar grupos no AD
> > > dessa forma?
> > >
> > >
> > > Em 19 de janeiro de 2016 15:50, Roberval Lustosa <r.lustosa at gmail.com>
> > > escreveu:
> > > > Vocês já tentaram autenticar o squid no captive portal?
> > > >
> > > > Em 19 de janeiro de 2016 15:48, Rogério Moura <rogerpop at gmail.com>
> > > escreveu:
> > > >
> > > >> Em 19 de janeiro de 2016 13:51, Douglas Fischer
> > > >> <fischerdouglas at gmail.com> escreveu:
> > > >> > Então Rogério.
> > > >> >
> > > >> > Eu sou um cara que coleciona e otimiza receitas-de-bolo que deram
> > > certo.
> > > >> > PF-Sense, dentre as opensource, está lá no topo!
> > > >> >
> > > >> > Mas eu justamente tive esse mesmo problema...
> > > >> > Não hora de fazer a junção Usuário<->IP ele se perde todo.
> > > >> >
> > > >> > Ainda mais com vários DomainControllers.
> > > >> > Que é bem o caso desse cliente que estou estudando.
> > > >> >
> > > >> > Estive pensando em bolar alguma coisa como a Própria Cisco e a
> > > Palo-Alto
> > > >> > fazem.
> > > >> > Um "alguém" no meio de campo recebendo as notificações de
> > autenticação
> > > >> dos
> > > >> > DomainControlles e Mantendo uma tabelinha Usuário_X_IP.
> > > >> >
> > > >> >
> > > >> > Ainda nesse escopo do problema com autenticação, e o Kerberos no
> > > >> PF-Sense,
> > > >> > como está?
> > > >> >
> > > >> > .......
> > > >> > Mudando de problema:
> > > >> > Como está a classificação/atualização do SquidGuard?
> > > >> > P.S.: Já passei raiva com isso hein!
> > > >> >
> > > >> Douglas,
> > > >> tentei implementar a autenticação via kerberos, mas o helper que vem
> > > >> com o squid está quebrado, primeiro que você tem que editar o
> arquivo
> > > >> squid.inc em php(responsável por gerar o squid.conf) para habilitar
> o
> > > >> kerberos na unha e quando você habilita ele morre reclamando de umas
> > > >> libs, ou seja, não está maduro ainda essa função.
> > > >>
> > > >> Sobre a classificação/atualização do SquidGuard, utilizo a
> > > >> shallalist[1] , que como está descrito no FAQ do site, a
> atualização é
> > > >> diária
> > > >>
> > > >> Infelizmente estou saindo do pfsense devido a esse problema com a
> > > >> autenticação, dando uma pesquisada na NET, esse problema dala morrer
> > > >> não acontece com kerberos. Então estou montando outro server e
> > > >> instalando/configurando tudo no bom e velho jeito (arquivo textual
> de
> > > >> configuração) dai vamos ver como vai se comportar.
> > > >>
> > > >> [1] http://www.shallalist.de/
> > > >>
> > > >> >
> > > >> > Em 18 de janeiro de 2016 17:00, Rogério Moura <rogerpop at gmail.com
> >
> > > >> escreveu:
> > > >> >
> > > >> >> Em 12 de janeiro de 2016 10:00, Douglas Fischer
> > > >> >> <fischerdouglas at gmail.com> escreveu:
> > > >> >> > O tema é recorrente.
> > > >> >> > Mas pelo que andei lendo nas threads antigas,
> > > >> >> > e pelo que andei vendo de mudanças recentes de tecnologia,
> > > >> >> > cabe revisitar o tema.
> > > >> >> >
> > > >> >> > E aí? O que os colegas tem usado para Content-Filtering e
> > > >> >> > Internet-Classification?
> > > >> >> >
> > > >> >> >
> > > >> >> > Meu interesse maior na verdade é na manutenção/atualização do
> > > >> catálogo de
> > > >> >> > classificação.
> > > >> >> > Coisa que o o opensource costuma deixar a desejar
> > > >> >> >
> > > >> >> >
> > > >> >> > Alguém?
> > > >> >> >
> > > >> >> > --
> > > >> >> > Douglas Fernando Fischer
> > > >> >> > Engº de Controle e Automação
> > > >> >> > --
> > > >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> >>
> > > >> >> Douglas,
> > > >> >> Para Content-Filtering, uso [1]pfsense com squid e squidGuard que
> > me
> > > >> >> permite criar perfis e categorizar o acesso à internet, bem
> fácil e
> > > >> >> com boa documentação da comunidade.
> > > >> >>
> > > >> >> Só não aconselho usar esse ambiente se for querer habilitar
> > > >> >> autenticação no active directory, aqui tenho em média 200
> usuários
> > > >> >> simultâneos e o NTLM que é responsável pela autenticação abre o
> > bico,
> > > >> >> mas se usar a filtragem baseada em IP, funciona de boa.
> > > >> >>
> > > >> >> 1 -
> > > >> >>
> > > >>
> > >
> >
> https://gerati.wordpress.com/2014/06/09/pfsense-squid-squidguard/comment-page-1/
> > > >> >> --
> > > >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> >>
> > > >> >
> > > >> >
> > > >> >
> > > >> > --
> > > >> > Douglas Fernando Fischer
> > > >> > Engº de Controle e Automação
> > > >> > --
> > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >> --
> > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >>
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > ________________________________
> >
> > Esta mensagem (incluindo anexos) contém informação confidencial destinada
> > a um usuário específico e seu conteúdo é protegido por lei. Se você não
> é o
> > destinatário correto deve apagar esta mensagem.
> >
> > O emitente desta mensagem é responsável por seu conteúdo e endereçamento.
> > Cabe ao destinatário cuidar quanto ao tratamento adequado. A divulgação,
> > reprodução e/ou distribuição sem a devida autorização ou qualquer outra
> > ação sem conformidade com as normas internas do Ifes são proibidas e
> > passíveis de sanção disciplinar, cível e criminal.
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list