Autenticando o Endian Firewall no Active Directory

O Endian Firewall é uma distribuição Linux especializada em roteamento/firewall que possui uma interface unificada de gerenciamento.

O Endian Firewall foi originalmente baseado no IPCop, sendo que este é um fork do projeto Smoothwall, ele é um poderoso sistema de segurança, de código aberto (licença GPL), baseado em Linux e mantido por sua comunidade. Traz como características marcantes o conceito de “Stateful Packet Inspection” em nível de aplicativo para vários protocolos (http, smtp, pop3 e ftp), antivírus (CLAMAV), filtro anti-SPAM (smtp e pop3), filtro de conteúdo de tráfego web (dansguardian) , IPS “intrusion prevention system” (snort), gerador de relatórios (sarg), VPN (openVPN) e etc.

Continuando o artigo do nosso amigo Lucas França sobre Endian Firewall, vamos fazer a autenticação do proxy no AD para controlarmos os usuários pela nossa base de usuários existentes.

Domínio criado em um servidor Microsoft Windows Server 2008 com IP 192.168.20.2/24
endian-AD01

Lista de usuários do domínio:
endian-AD02

Habilite o servidor proxy-http em [Proxy] [HTTP] veja na imagem abaixo:
endian-AD03

Defina o hostname porta email e idioma.

Adicione o controlador de domínio Microsoft na lista de hosts do Endian. Vá em [Rede] [Adicionar host]
Defina: endereço IP, hostname e domínio. Veja na imagem abaixo:
endian-AD04

Vá em [Proxy] [Autenticação]. Escolha:

* Método de Autenticação : Active Directory do Windows (NTLM)
* Domínio de Autenticação : “nome do domínio” ex: 82c.bd8.myftpupload.com
* Nome de domínio do Servidor AD : 82c.bd8.myftpupload.com
* Nome do Servidor primário (PDC) : goku
* Endereço IP do servidor : 192.168.20.2

Atenção neste momento!

Após devidas configurações clique em salvar.

Veja na próxima imagem:
endian-AD05

Após salvar as configurações clique em [Ingressar no Domínio]:
endian-AD06

Entre com as credenciais do administrador do domínio e clique em [Ingressar]:
endian-AD07

Se tudo estiver correto:
endian-AD08

Veja que a lista de computadores do AD é atualizada com o Server EndianFW:
endian-AD09

Após ingressar o EndianFW no domínio AD, é hora de fazer a autenticação baseado nos usuários do domínio. Vá em [Proxy] [Políticas de Acesso] [Adicionar políticas de Acesso]

endian-AD10

Podemos definir [Origem] quem vai acessar e [destino] o que vai acessar.
endian-AD11

Em [Autenticação] troque para o modo para “Baseado em usuário” e veja na lista ao lado os usuários importados do AD.

Agora, é possível habilitar a navegação para determinados usuários ou grupo de usuários.

Outra opção é limitar o horário. Liberando o acesso ao Facebook apenas na hora do almoço por exemplo. Lembre-se da ação permitir ou negar em [Criar política]
endian-AD12

endian-AD13

Repita os passos criados as regras conforme desejado:
endian-AD14

Mais uma ferramenta é o filtro Web baseado em perfil.
Faça conforme imagem abaixo para criar um novo perfil.

endian-AD15

Defina um nome para o perfil e o tipo de conteúdo que será tratado e proibido (se desejar).
Basta clicar sobre a ‘seta’ verde para ativar e negar o conteúdo.
endian-AD16

Agora basta aplicar e salvar:
endian-AD17

Após as configurações, temos que ativar o proxy no navegador do cliente.

Lembre-se de negar acesso as ferramentas do navegador, via GPO, políticas locais, ou até mesmo através da chave do registro do Windows:

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
* HKLM/software/policies/microsoft/internet explorer/control panel/proxy

Abra o navegador, vá em [Ferramentas] [Conexões] [Configurações de LAN]
endian-AD18

Defina o endereço de IP (do EndianFW) e porta 8080 (utilizada pelo EndianFW)
endian-AD19

Conforme as regras criadas, o Proxy libera o acesso a qualquer outro site, veja o exemplo abaixo, onde abri 2 abas, uma com o Google e outra com o Facebook.
Veja que o google abriu normalmente.
endian-AD20

Mas o Facebook… O proxy me solicitou credenciais.

Veja que são usuários criados no Controlador de Domínio AD
endian-AD21

Como não possuo privilégios (estou no grupo das pessoas que são negadas o acesso) não consigo abrir o facebook.
endian-AD22

O EndianFW armazena muitos logs e Relatórios que deve ser vistos frequentemente pelos administradores.
endian-AD23

endian-AD24

O EndianFW é uma excelente servidor para pequenas e médias empresas e trás a facilidade de não se focar nas linhas de comando, isso facilita a vida de administradores iniciantes e aqueles que precisam que outros também façam configurações no servidor.

Nosso agradecimento ao Lucas Marcelo França e estamos no aguardo de mais de seus artigos para compartilharmos aqui no CooperaTI. 🙂

Graduação: Tecnologia em Redes de Computadores
Contatos: e-mail: [email protected] / LinkedIN: br.linkedin.com/pub/lucas-frança/6b/583/129/
Instrutor de Curso técnico em Redes – Senac Minas

Não esqueçam de compartilhar, comentar e perguntar.

  • Anderson Felipe
    • Lucas França

      Olá Anderson.

      Já deu uma olhada no pfSense ? Outra fantástica solução, baseada em FreeBSD
      Com recursos interessantes como Chflags, Jails, soluções de redundância com o protocolo CARP entre muitas outras coisas.

      Vale a pena dar uma olhada.

      Um Abraço amigo

  • José Carlos

    Olá!

    Antes de mais nada parabéns pelo artigo!

    Tenho duas dúvidas em relação ao que foi apresentado. A primeira é se é possível fazer a autenticação do usuário baseado no AD porém através de proxy transparente, ou seja, sem alterar as configurações do Internet Explorer.
    A segunda é, caso não seja possível trabalhar com proxy transparente, como alterar as configurações de proxy nos navegadores Firefox e Chrome por GPO.

    Grato,
    José Carlos

    • Lucas

      olá Jose Carlos, uma possibilidade de você usar esse proxy, é bloquear a todas as portas no Firewall e fazer um redirecionamento de todo o tráfego para a porta que estás utilizando como firewall ( Ex. squid 3128 ).

  • Henrique Lorran

    Parabéns, ficou TOP!

  • zildemar lima vieira

    Meu computador esta freando não esta abrindo e velocidade está cima de 2giga não e para esta sim alguém esta usando metade do meu fornecimento

  • Joallison Avelino

    Amigo queria saber de você sem tem como colocar o endian firewall para português ?

    • Ola Joallison,

      Sim existe a opção de linguagem do Endian Firewall em português-br. Grande abraço da equipe Cooperati.

  • Anderson

    gostei !

  • Olá Obrigado pelo tutorial,
    tudo funcionou perfeitamente.
    Apenas estou com problema para autenticar o usuário no chrome e firefox ?

    • Anonimo

      Estou com o mesmo problema 🙁

  • Felipe Marques

    Entao eu to querendo implantar essa ferramenta na empresa onde trabalho, porem queria saber se consigo ultilizar essa função com proxy transparente ou algo parecido, obrigado forte abraço.

  • Lincoln

    Boa noite..
    achei o sistema incrivel, porem tenho algumas duvidas.
    Gostaria de saber se é possivel fazer proxy transparente, e se os usuarios da rede que nao fazem parte da do AD acessam a internet?

    Grande Abraço

  • josé Valdir

    Pessaol a final existe algum sistema que usando um proxy e o mesmo esteja integrado no Dominio Windows não precisa logar novamente já que logou na estação.

    è mito pu verdade, porque todos que falam que fazem eu não consigo ter sucesso sempre pede o logon do usuario mesmo já tenha logado na estação.

    Abraço