Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

White list e navigazione libera su dominio

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
enzopa



Registrato: 12/04/17 15:34
Messaggi: 3

MessaggioInviato: Mer Apr 12, 2017 4:02 pm    Oggetto: White list e navigazione libera su dominio Rispondi citando

Ciao,
da qualche giorno sto valutando Zeroshell, avrei bisogno di sapere se è possibile in un ambiente Windows 2008 R2 con solamente connessioni wired, permettere la navigazione ad alcuni utenti solo su un elenco di siti, e la navigazione libera ad altri.

Grazie in anticipo
Enzo
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Mer Apr 12, 2017 8:58 pm    Oggetto: Rispondi citando

Ciao,
Avremmo bisogno di qualche dettaglio in più, tipo utenti in ambiente win 2008 cosa intendi:
utenti di dominio AD, utenti da registrare su Zeroshell, utenti identificati dal loro PC quindi solo dall'indirizzo IP?
Comunque la risposta tendenzialmente è SI!
Certo dipende sempre da come vorresti le cose o da che libertà hai di modificare lo stato attuale, quanto tempo e che livello di competenze hai...

Claudio
Top
Profilo Invia messaggio privato
enzopa



Registrato: 12/04/17 15:34
Messaggi: 3

MessaggioInviato: Gio Apr 13, 2017 8:30 am    Oggetto: Rispondi citando

Ciao Claudio,
grazie per la risposta, spero stavolta di essere più esauriente.

Si tratta di un'azienda con una dozzina di utenti totali e due sedi.
Le due sedi hanno server (2008 R2), Dominio, ADSL e subnet differenti.
Qualche tempo fa è stato aggiunto un collegamento wireless tra le due sedi che sono abbastanza vicine, con due firewall hardware ho creato una VPN tra le sedi utilizzando una porta libera del firewall (l'altra è utilizzata dall'ADSL).
Nella sede 1 (sempre utilizzando funzionalità del firewall) ho consentito ad alcuni utenti la navigazione libera, e ad altri la possibilità di navigare solo su alcuni siti, nella sede 2 invece tutti possono navigare liberamente.
Da qualche giorno è stata aggiunta una seconda ADSL nella sede 1.
Premesso che sul firewall hardware non ho un'altra porta disponibile per la seconda ADSL (e quindi comunque avrei dovuto cambiare qualcosa), il titolare dell'azienda si è lasciato convincere dal venditore del gestionale a "buttare" i due firewall hardware e a sostituirli con due soluzioni software (ZeroShell, PfSense, ..)
Andiamo adesso alle mie capacità.
Cose che penso di poter fare:
- Associare ZeroShell al Dominio
- Creare la VPN tra le due sedi
- Bilanciamento e Failover per le ADSL
Cose che invece non ho idea di come fare:
- Permettere ad alcuni utenti la navigazione libera, e ad altri la possibilità di navigare solo su white list.
Grazie ancora

Enzo
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Gio Apr 13, 2017 4:42 pm    Oggetto: Rispondi citando

Ciao
1. Se ti basta che da un determinato PC si possa navigare liberamente e da un altro solo su siti di una whitelist allora puoi usare http Proxy, imposti una range di IP da catturare e per questi crei una whitelist.

2. Se invece vuoi che l'utente "pinco.pallino" possa navigare liberamente su ogni sito e da ogni PC, mentre l'utente "tizio.caio" possa andare solo sui siti della whitelist da ogni PC della tua rete... Mi dispiace ma "PENSO" che non si possa fare. Non mi risulta che su Zeroshell o Zerotruth sia stata implementata questa funzione.

Forse si può fare qualcosa ma mi sembra strano che funzioni... forse è solo per wifi o anche su wired, mai provato... con RADIUS (VLAN), cioè in base all'username si assegna una determinata VLAN all'utente, quindi dividi gli utenti su 2 VLAN in base a username, a quel punto con http proxy intercetti solo una VLAN.
Guarda questo link:
http://www.zeroshell.net/HOWTO-Use-ZeroShell-as-a-Radius-server-for-IBNS.pdf

Claudio

PS. So che con http proxy, ci sono dei problemi con i siti https. per questo molti stanno passando a nDPI (Deep Packet Inspection) che trovi sul firewall di ZS.
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Gio Apr 13, 2017 5:13 pm    Oggetto: Rispondi citando

Altra soluzione che mi è venuta in mente (questa invece l'ho provata! funziona e attualmente la uso)
Captive portal attivo per tutti i PC, poi su free authorized services si mettono gli IP dei siti che possono essere visti senza essere intercettati dal captive portal. I link a questi siti li puoi inserire nella pagina di login del captive portal, così gli utenti che vedono il CP sono messi al corrente di quali siti possono vedere.
Mentre per navigare liberi bisogna fare il login sul CP, e solo alcuni gruppi di utenti presenti sul windows server possono essere autorizzati a fare il login. colleghi il CP di ZS al radius del windows server con il proxy radius, e mediante criteri di rete autorizzi o blocchi gruppi di utenti.
Puoi anche mettere delle eccezione su alcuni PC della tua rete, infatti tramite IP puoi escludere alcuni PC sorgenti dall'intercettazione del CP (free authorized clients), ma quest'ultimo te lo sconsiglio per ragioni di sicurezza.

Claudio
Top
Profilo Invia messaggio privato
enzopa



Registrato: 12/04/17 15:34
Messaggi: 3

MessaggioInviato: Ven Apr 14, 2017 8:56 am    Oggetto: Rispondi citando

Ciao Claudio,
grazie ancora per l'aiuto.
Ho provato la tua terza soluzione, ma credo che non funzioni su alcuni siti (come Google) che utilizzano IP diversi (a meno che riesca a trovare da qualche parte l'elenco degli IP utilizzati).
Per quanto riguarda la soluzione 1 devo capire bene quali problemi può dare con i siti https (vedi sempre Google).
Il punto 2 invece non è necessario, ogni utente navigherà solo e soltanto dalla sua postazione.
Ciao
Enzo
Top
Profilo Invia messaggio privato
claudioV



Registrato: 17/02/14 21:13
Messaggi: 95

MessaggioInviato: Mar Apr 18, 2017 10:23 am    Oggetto: Rispondi citando

enzopa ha scritto:

Ho provato la tua terza soluzione, ma credo che non funzioni su alcuni siti (come Google) che utilizzano IP diversi (a meno che riesca a trovare da qualche parte l'elenco degli IP utilizzati).


Decisamente NO!
Nel caso bisogna dare l'acceso a siti che hanno "parecchi" server e spesso gli IP cambiano, vedi google o facebook, non è proprio una soluzione ottimale

enzopa ha scritto:

Per quanto riguarda la soluzione 1 devo capire bene quali problemi può dare con i siti https (vedi sempre Google).


E' da un paio di anni che non uso più http proxy per bloccare i siti poichè se ad esempio bloccavo www.facebook.com, bastava che gli utenti si connettevano a httpS://www.facebook.com per non avere più alcun tipo di blocco.

Questo problema è stato superato con nDPI sul firewall che invece funziona perfettamente e non ha problemi di https, unico limite per ora funziona solo su kermel a 32 bit ma ho letto di imminenti nuove versioni che dovrebbero supportare 64 bit.

Ciao

Claudio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it