Firewall a dalsi funkce

[Michal Dobes]

Řeším něco podobného. A mám použitu kombinaci firewall (Mikrotik)
a proxy serveru squid.
V podstatě a zjednodušeně firewall nepustí ven přímo nic, vyjma pár
výjimek. Ven vidí jen proxy server (a nevidí dovnitř firmy, je v DMZ).
Ten po uživatelích  vyžaduje autorizaci pomocí Kerberosu, takže v logu
mám u každého záznamu, kdo byl na daném počítači přihlášen (používá se
automatické přihlašování uživatelovým účtem, takže nic nikde nezadává),
takže není problém s terminálovým přístupem.
V proxině můžete i filtrovat kam koho ne/pustit dle url, případně přidat
modul na ketegorizaci a filtrovat dle kategorií, případně dát i modul
na filtraci vnitřku https.
Návštěvy řeší hotspot webové přihlášení, což dělá Mikrotik. Pro wifiny
mám na to zvlášť nezabezpečené SSID jdoucí přes VLANy/VPLS na ten jeden
centrální hotspot portál s úplnou izolací od firmy i jednotlivých
návštěv od sebe. Na ethernetu mám 802.1x, takže cizí stroje jsou
poslány také automaticky do guest vlany a hotspot portál.
Soukromé krabičky zaměstnanců (mobily/noťasy) mají své třetí SSID, kde
má každý uživatel svůj soukromý WPA2 klíč a je puštěn ven přímo
do internetu lehce rychlostně zaříznut (a samozřejmě ne do firmy).
Firemní krabičky se prokazují buď členstvím v doméně nebo certifikátem
přes 802.1x na Ethernetu ina wifině a jdou pak dovnitř firmy.
Ven mají tu proxinu (kde je použita autokonfigurace, ať se lidem vypne,
když s noťasem cestují).
Mikrotiky řeší i DHCP a VPNky mezi pobočkami přes GRE/IPsec. Detail,
že jsou všude dva vedle sebe se aktivně zálohující při výpadku jednoho
to druhý vezme vše na sebe automaticky se občas také už hodil.
Místo Mikrotiku jde to stejné si ubastlit i linuxem, používal jsem
předtím, ale za těch pár korun, co stojí, to nemá smysl.

M.