Firewall a dalsi funkce

Michal Dobeš dobes na tes.eu
Čtvrtek Listopad 6 08:40:05 CET 2014


Řeším něco podobn=ho. A mám použitu kombinaci firewall (Mikrotik)
a proxy serveru squid.
V podstatě zhjendodušeně firewall nepustí ven přímo nic, vyjma pár
vyjímek. Vne může jen proxy server. Ten po uživatleích
vyžaduje autorizaci pomocí Kerberosu, takže v logu mám u každého
záznamu, kdo byl na daném počítači přihlášen (používá se automatické 
přihlašování uživatelovým účtem, takže nic nikde nezadává),
takže není problém s terminálovým přístupem.
V proxině můžete i filtrovat kam koho ne/putit dle url, případně přidat
modul na ketegorizaci a filtrovat dle kategorií, případně dát i modul
na filtraci vnitřku https.
Návštěvy řeší hotspot webové přihlášení, což dělá Mikrotik. Pro wifiny
mám na to zvlášť nezabezpečené SSID jdoucí přes VLANy/VPLS na ten jeden
centrální hotspot portál s úplnou izolací od firmy i jednotlivých
návštěv od sebe. Na ethernetu mám 802.1x, takže cizí stroje jsou
poslány také automaticky do guest vlany a hotspot portál.
Soukormé krabiky zaměstanců (mobily/noťasy) mají své třetí SSID, kde
mákaždý uživatel svůj soukromý WPA2 sdílený klíč a je puštěn ven přímo
do internetu. Firemní krabičky se prokazují buď členstvím v doméně
nebo certifikátem přes 802.1x jak na Ethernetu, tak na wifině a jdou
pak dovnitř firmy, ven

M.







Další informace o konferenci Linux