[RESUELTO] Filtrado por Grupo Administrativo con Proxy Transparente

[ruso65]

Estimados, buenos días.
Me estoy adentrando en el conocimiento sobre Zentyal para usar el mismo basicamente como un Gateway para un Active Directory de Microsoft.
Avanzando con las pruebas he unido al servidor Zentyal al Dominio que ya tengo convirtiéndolo en un controlador secundario del mismo. Más allá de algunos temas menores la integración fué satisfactoria.
El problema es que me encuentro con la sorpresa que (aparentemente) no se pueden definir políticas de filtrado HTTP para GRUPOS DE USUARIOS si quiero operar con Proxy Transparente..
He leído y buscado información al respecto y no puedo encontrarle una solución.
Si el 100% de los equipos que tengo conectado en mi red formarían parte del dominio se podría decir que básicamente no tendría problemas ya que podria usar un Proxy NO transparente y con una política forzar la parametrización de uso de Proxy para los navegadores.

El tema es que no todos los dispositivos pertenecen al dominio (ejemplos: SmartPhones, Tabletas de los directores, Equipos MAC, etc.) y nos es necesario poder bloquear la navegación a determinados sitios para determinados grupos de usuarios (Usuarios de Administración, Sistemas, Marketing, Directorio, etc.)

Realmente es imposible hacer funcionar filtros para grupos de usuarios con Proxy Transparente? o hay alguna forma/herramienta que permita hacerlo?

Alguna otra solución por parte de quienes tengan mas experiencia en el uso de Zentyal?

Desde ya agradezco las respuestas que me puedan brindar.

Mi Active Directory se basa en un Windows 2012 con DHCP y DNS.
Estoy usando la versión 3.5 de Zentyal.

Saludos

[hsalardi]

Buen día ruso65,

Para que el filtrado del proxy funcione con grupos de usuario es necesario configurarlo como single-sing-on ya que utiliza kerberos para la autenticación del usuario.

Para los equipos que pertenezcan al dominio no tendrías problemas ya que puedes asignar el proxy mediante una GPO.

Para los demás equipos lo que yo haría sería lo siguiente:
1. Configurar el DHCP para que brinde la configuración del proxy
2. Bloquear el puerto 80 y 443 a dichos equipos desde el firewall de zentyal (los usuarios pueden eliminar la configuración del proxy y saltarlo)
3. Cuando los clientes quieran navegar les pedirá sus credenciales

Espero te funcione.

Saludos

p.d: estoy intentando configurar zentyal como controlador de dominio adicional y no puedo, espero puedas ayudarme en este post: https://forum.zentyal.org/index.php/topic,22347.0.html o en todo caso contarme cuales fueron esos temas menores que comentas. Gracias

[ruso65]

Gracias hsalardi,
Me podrías indicar como configurar el DHCP para que entregue una configuración de Proxy?

Saludos

[Walter]

muy sencillo..
vas a la configuracion del DHCP

Opciones personalizadas / puerta de enlace predeterminada ( si el dhcp esta en la misma maquina que el proxy escojes zentyal) de lo conrario escojes direccion ip personalizada.. y ahi pones la ip del proxy tuyo

listo, el dhcp entregara esa configuracion a toda la red

espero que te ayude

[ruso65]

Gracias Walter! Como decía el principito "Lo esencial es invisible a los ojos".. No se me había ocurrido poner como Gateway la dirección del Proxy.. En mi caso el Gateway Default y el Proxy son la misma maquina (el Zentyal)..
El servidor DHCP activo es el del Windows 2012.

Supongo que podré colocar ip:PORT así establezco la diferencia..

Ya lo pruebo

[Walter]

ok espero que te haya servidor.
en el dhcp solo debes de poner la ip, el puerto no es necesario.

[ruso65]

Hola Walter, lo que pasa es que si el proxy no es transparente debo indicar el port..
No funciona así como lo sugerías.. Igualmente estuve leyendo al respecto y habría que crear unas entradas en el DHCP y en el DNS para poder hacer que por DHCP los equipos que no están en el dominio reciban la configuración del mismo....

[Walter]

te dire que precisamente mi proxy no es transparente, es por autentificacion ... y asi es como lo tengo puerto.

pero bueno solo fue una idea..

saludos

[jbahillo]

Hola Walter:

Creo que estas confundiendo los terminos de puerta de enlace predeterminada y proxy, que son conceptos diferentes.

La puerta de enlace predeterminada no deja de ser una ruta (para todo tipo de tráfico- no solo web) que se aplica cuando para cuando , para un destino dado no hay una ruta estática definida.

Por el contario y como muy bien apuntan, para la autoconfiguración del proxy por DHCP necesitas definir una plantilla personalizada, de modo que el DHCP envie dicho parametro. La linea que se debe incluir en la configuración de DHCPD es (siendo fqdn.tld tu dominio ):

 option local-proxy-config "http://www.fqdn.tld/proxy.pac";

Lógicamente dicho fichero proxy.pac lo deberás haber creado previamente .

Para más documentación puedes echar un ojo a http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol y a http://wiki.gentoo.org/wiki/ProxyAutoConfig Como ahi indica, una alternativa, psoiblemente más sencilla, es configurar WPAD por DNS


Desgraciadamente , respondiendo a la primera pregunta del hilo, para establecer autenticación en el proxy si es necesario que este no sea transparente, ya que si es transparente el navegador no se "entera"( ya que realmente lo que se hace es una redirección a nivel gateway hacia el proxy) que hay un proxy al cual deba preguntarle que  métodos de autenticación soporta (el proxy no transparente lo obtiene de las headers de los paquetes del proxy)

Espero que haya servido para aclarar la situación

[ruso65]

Gracias Jbahillo, justo estaba avanzando con el WPAD por DNS a ver como me funciona para aquellos que están fuera del AD.

Luego posteo si lo pude hacer funcionar y los resultados obtenidos..

[ruso65]

Estimados, les cuento como resolví el tema de forma satisfactoria (por lo menos para lo que buscaba).

Como en realidad lo que buscaba del Zentyal es que sea el Gateway de la red (que todo el tráfico de internet pasara por el mismo y poder administrar las conexiones (filtros, prioridades, etc) a nivel de grupos de usuarios) lo que hice en esta instancia es no unirlo al dominio de AD.

Generé en el Zentyal distintos usuarios según la cantidad de tipos de accesos que luego quiero brindar a los usuarios de mi red. En mi caso solo 3 usuarios.
1 - Acceso Full sin ningún tipo de restricciones
2 - Acceso con restricciones pero que permita videos, streaming de audio y acceso a redes sociales
3 - Acceso restringido

Activé el proxy NO transparente para poder usar los permisos a nivel de usuario.
Hice un bloqueo del port 80 para que no pudieran tener salida a Internet.
Luego implementé el WPAD por DNS (en el DNS del controlador del dominio)

Con esto hago que la única forma de salida a internet sea por el proxy, a los equipos componentes del AD les puedo enviar la configuración del proxy por política de dominio (aunque con WPAD implementado esto no es estrictamente necesario).
Todo dispositivo/equipo que no pertenezca al AD recibe en forma automática la configuración del proxy por la implementación del WPAD.

Con esto todo el tráfico va por el proxy y deben ingresar las credenciales (usuario/passwd) para poder acceder a la navegación.

Lo que voy a probar ahora (en un segundo paso) es integrar el Zentyal al dominio (no como controlador secundario) para ver de armar los grupos en función de los usuarios de AD y que los mismos no tengan que "validarse" cada vez que quieran navegar.

Ahora, de todas formas, estoy enfrascado en hacer funcionar el filtrado/apertura/cierre de ports para las comunicaciones desde la red hacia Internet y viceversa (cosa que he tratado de implementar pero no he logrado hacerlo funcionar correctamente... debo leer más!!)

Espero que esto le pueda servir a otros que estaban buscando lo mismo que yo.