O Endian Firewall é uma distribuição Linux especializada em roteamento/firewall que possui uma interface unificada de gerenciamento.
O Endian Firewall foi originalmente baseado no IPCop, sendo que este é um fork do projeto Smoothwall, ele é um poderoso sistema de segurança, de código aberto (licença GPL), baseado em Linux e mantido por sua comunidade. Traz como características marcantes o conceito de “Stateful Packet Inspection” em nível de aplicativo para vários protocolos (http, smtp, pop3 e ftp), antivírus (CLAMAV), filtro anti-SPAM (smtp e pop3), filtro de conteúdo de tráfego web (dansguardian) , IPS “intrusion prevention system” (snort), gerador de relatórios (sarg), VPN (openVPN) e etc.
Continuando o artigo do nosso amigo Lucas França sobre Endian Firewall, vamos fazer a autenticação do proxy no AD para controlarmos os usuários pela nossa base de usuários existentes.
Domínio criado em um servidor Microsoft Windows Server 2008 com IP 192.168.20.2/24
Lista de usuários do domínio:
Habilite o servidor proxy-http em [Proxy] [HTTP] veja na imagem abaixo:
Defina o hostname porta email e idioma.
Adicione o controlador de domínio Microsoft na lista de hosts do Endian. Vá em [Rede] [Adicionar host]
Defina: endereço IP, hostname e domínio. Veja na imagem abaixo:
Vá em [Proxy] [Autenticação]. Escolha:
* Método de Autenticação : Active Directory do Windows (NTLM)
* Domínio de Autenticação : “nome do domínio” ex: 82c.bd8.myftpupload.com
* Nome de domínio do Servidor AD : 82c.bd8.myftpupload.com
* Nome do Servidor primário (PDC) : goku
* Endereço IP do servidor : 192.168.20.2
Atenção neste momento!
Após devidas configurações clique em salvar.
Veja na próxima imagem:
Após salvar as configurações clique em [Ingressar no Domínio]:
Entre com as credenciais do administrador do domínio e clique em [Ingressar]:
Se tudo estiver correto:
Veja que a lista de computadores do AD é atualizada com o Server EndianFW:
Após ingressar o EndianFW no domínio AD, é hora de fazer a autenticação baseado nos usuários do domínio. Vá em [Proxy] [Políticas de Acesso] [Adicionar políticas de Acesso]
Podemos definir [Origem] quem vai acessar e [destino] o que vai acessar.
Em [Autenticação] troque para o modo para “Baseado em usuário” e veja na lista ao lado os usuários importados do AD.
Agora, é possível habilitar a navegação para determinados usuários ou grupo de usuários.
Outra opção é limitar o horário. Liberando o acesso ao Facebook apenas na hora do almoço por exemplo. Lembre-se da ação permitir ou negar em [Criar política]
Repita os passos criados as regras conforme desejado:
Mais uma ferramenta é o filtro Web baseado em perfil.
Faça conforme imagem abaixo para criar um novo perfil.
Defina um nome para o perfil e o tipo de conteúdo que será tratado e proibido (se desejar).
Basta clicar sobre a ‘seta’ verde para ativar e negar o conteúdo.
Agora basta aplicar e salvar:
Após as configurações, temos que ativar o proxy no navegador do cliente.
Lembre-se de negar acesso as ferramentas do navegador, via GPO, políticas locais, ou até mesmo através da chave do registro do Windows:
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
* HKLM/software/policies/microsoft/internet explorer/control panel/proxy
Abra o navegador, vá em [Ferramentas] [Conexões] [Configurações de LAN]
Defina o endereço de IP (do EndianFW) e porta 8080 (utilizada pelo EndianFW)
Conforme as regras criadas, o Proxy libera o acesso a qualquer outro site, veja o exemplo abaixo, onde abri 2 abas, uma com o Google e outra com o Facebook.
Veja que o google abriu normalmente.
Mas o Facebook… O proxy me solicitou credenciais.
Veja que são usuários criados no Controlador de Domínio AD
Como não possuo privilégios (estou no grupo das pessoas que são negadas o acesso) não consigo abrir o facebook.
O EndianFW armazena muitos logs e Relatórios que deve ser vistos frequentemente pelos administradores.
O EndianFW é uma excelente servidor para pequenas e médias empresas e trás a facilidade de não se focar nas linhas de comando, isso facilita a vida de administradores iniciantes e aqueles que precisam que outros também façam configurações no servidor.
Nosso agradecimento ao Lucas Marcelo França e estamos no aguardo de mais de seus artigos para compartilharmos aqui no CooperaTI. 🙂
Graduação: Tecnologia em Redes de Computadores
Contatos: e-mail: lucas_mfranca@hotmail.com / LinkedIN: br.linkedin.com/pub/lucas-frança/6b/583/129/
Instrutor de Curso técnico em Redes – Senac Minas
Não esqueçam de compartilhar, comentar e perguntar.