Proxy Server για Windows Server

[DVader]

Καλησπέρα σε όλους σας,

Στα windows παλιά υπήρχε ο ISA για internet proxy server.. Μετά βγήκε ο Forefront TMG αλλά και αυτός δεν υποστηρίζεται πλέον ...

Μετά που πάμε ..?

Θέλω σε ένα Windows 2016 Server να βάλω proxy server για να φιλτράρω το internet που πάει στα PC ώστε να πηγαίνει μόνο επιτρεπτό περιεχόμενο ...

Καμία ιδέα σε τι να κινηθώ..?

Υπάρχει το καμαλάρι για Linux αλλά δεν με βολεύει και πολύ ... γιατί δεν δένει με το AD ... και θέλει από θυμάμαι όταν το είχα σε παραγωγή πολύ στήσιμο ...

- - - Updated - - -

Ψάχνοντας για ιδέες για proxy βλέπω ότι για Windows πέρα του TMG δεν υπάρχει κάτι ...

[K1m0n]

O tmg είναι eol πλέον, οπότε κάποιο κουτί τύπου utm.
Όλοι οι μεγάλοι βγάζουν τα σχετικά.

[DVader]

O tmg είναι eol πλέον, οπότε κάποιο κουτί τύπου utm.
Όλοι οι μεγάλοι βγάζουν τα σχετικά.

Αυτό είναι dedicated proxy appliance όχι software ...σωστά ?

- - - Updated - - -

Έχει δουλεύψει κανείς WinGate ή Squid για Windows ..?

[akis1009]

Squid αν πας θα πας καθαρά σε linux (δουλεύει καλά με kerberos) .... . Θες να κάνεις και tls intercept?

[DVader]

Squid αν πας θα πας καθαρά σε linux (δουλεύει καλά με kerberos) .... . Θες να κάνεις και tls intercept?

νομίζω όχι ..

δεν με νοιάζει ακριβώς..καλύτερα σε linux ...

σε VM λέω να το βάλω... τι προδιαγραφές θέλει ..?

[akis1009]

Not much , ειδικά αν δεν έχεις tls interception , 2 vpcu & 2gb ram είναι αρκετά για 100 χρήστες.

[DVader]

Τι είναι αυτό ..το tls interception ? με 2 λόγια μην παιδεύεσαι ...θα ψάξω κάποια στιγμή...

Εγώ 20 χρήστες έχω ...

Βασικά δεν έχω ιδέα πως θα το κάνω με τον proxy... Το πρόβλημά μου δεν είναι πως στήνεται το squid...π.χ αλλά η γενικότερη ιδέα..

Θέλω να φιλτράρω το internet ώστε να μπορώ ανά ip ή ad user να κόβω urls ή group urls..

Μέχρι τώρα το κάνω με 2ο dns και κάθε site που θέλω το στέλνω στο 12.0.0.1 αλλά είναι εντελώς χαζό και δεν με βολεύει πάντα.. Ασε που δεν έχω και έλεγχο τι βλέπουν ...

Οπότε ψάχνω ιδέα γύρω από αυτό ...

[K1m0n]

Για τον Wingate δεν έχω άποψη.

Η γενική ιδέα είναι ότι οι lan clients μιλάνε με τον proxy για να βγουν έξω,
(για καλό και για κακό κόψε τους clients και από το firewall γιατί οι browsers/εφαρμογές συχνά παρακάμπτουν τον proxy),
και αυτός αναλόγως των Black/whitelists που του έχεις φορτώσει τους το επιτρέπει ή όχι.
Αν το κάνεις με whitelists είναι safe (όσο safe είναι τα δίκτυα στην whitelist),
και είναι κάπως manageable από διαχειριστικής απόψεως,
αλλά είναι βιώσιμο μόνο για πολύ περιορισμένα δίκτυα που βλέπουν ελάχιστο internet.
Αν το κάνεις με blacklists έχεις το αιώνιο πρόβλημα που θα βρίσκεις
σωστά κατηγοριοποιημένες και up-to-date lists.

Με το interception ο proxy ανοίγει το ssl/tls stream, "βλέπει" το περιεχόμενο,
αποφασίζει ανάλογα, και μετά το ξανακάνει ssl για τους clients.
Είναι μια μορφή mitm attack, και πρέπει να περάσεις σε όλους τους clients
ένα root cert του squid αλλιώς όλα τα encrypted θα βγαίνουν κόκκινα.

[DVader]

Για τον Wingate δεν έχω άποψη.

Η γενική ιδέα είναι ότι οι lan clients μιλάνε με τον proxy για να βγουν έξω,
(για καλό και για κακό κόψε τους clients και από το firewall γιατί οι browsers/εφαρμογές συχνά παρακάμπτουν τον proxy),
και αυτός αναλόγως των Black/whitelists που του έχεις φορτώσει τους το επιτρέπει ή όχι.
Αν το κάνεις με whitelists είναι safe (όσο safe είναι τα δίκτυα στην whitelist),
και είναι κάπως manageable από διαχειριστικής απόψεως,
αλλά είναι βιώσιμο μόνο για πολύ περιορισμένα δίκτυα που βλέπουν ελάχιστο internet.
Αν το κάνεις με blacklists έχεις το αιώνιο πρόβλημα που θα βρίσκεις
σωστά κατηγοριοποιημένες και up-to-date lists.

Με το interception ο proxy ανοίγει το ssl/tls stream, "βλέπει" το περιεχόμενο,
αποφασίζει ανάλογα, και μετά το ξανακάνει ssl για τους clients.
Είναι μια μορφή mitm attack, και πρέπει να περάσεις σε όλους τους clients
ένα root cert του squid αλλιώς όλα τα encrypted θα βγαίνουν κόκκινα.

Με τον ύπαρξη του proxy θα κόψω το Default gateway Από τους υπολογιστές οπότε αναγκαστικά θα παίζουν μέσα από τον proxy..
επόσης το περιεχόμενο που θέλω να κόψω δεν είναι virus/safe έτσι όπως το εννοείς...Facebook/Twitter/Youtube/sites μετα νεα του GNTM... θα οποία θα μπουν με το χέρι ένα ...όπως τα βρίσκω από τα log..

- - - Updated - - -

untangle..?

[K1m0n]

Untangle:
Κάποτε που το είχα δοκιμάσει (στο σίδερο, όχι σε vm), καλά έπαιζε.
Δες τι ακριβώς χρειάζεσαι γιατί κάποια plugins είναι commercial.

[DVader]

Untangle:
Κάποτε που το είχα δοκιμάσει (στο σίδερο, όχι σε vm), καλά έπαιζε.
Δες τι ακριβώς χρειάζεσαι γιατί κάποια plugins είναι commercial.

Κάτι άλλο αντίστοιχο με αυτό σε open source υπάρχει ..?

[K1m0n]

Δες τα pfsense/opnsense, είναι και το smoothwall αλλά έχω χίλια χρόνια να το κοιτάξω.
Βασικά, κατά την ταπεινή μου άποψη, οι επιλογές σε free/μισό-opensource/φτηνό είναι ή untangle ή pfsense.
Έχουν plugin με squid, αλλά παραμένει το πρόβλημα με τις λίστες.
Γενικά μιλώντας, μην περιμένεις αξιοπρεπές content/web filtering δωρεάν.
Κανείς δεν θα κάτσει να στήσει ολόκληρη επιχείρηση να κατηγοριοποιεί το περιεχόμενο
μερικών εκατομμυρίων ip/domains δωρεάν.
Το pfsense δουλεύει, βάλε το squidguard πάνω και δοκίμασε με τις free λίστες.
Άμα σε καλύπτει ok,
Υπολόγισε ότι πολλές ip/domains του Ελληνικού χώρου θα τα προσθέσεις εσύ.
Άλλως πάνε πάρε ένα utm + συνδρομές,
ή πλήρωσε τα σχετικά σε untangle/wingate/whatever.
Με λίγα λόγια, άμα θέλουν web filtering, αυτό και πληρώνεται, και θέλει και ντάντεμα κάθε τόσο.

[BlueChris]

Untangle:
Κάποτε που το είχα δοκιμάσει (στο σίδερο, όχι σε vm), καλά έπαιζε.
Δες τι ακριβώς χρειάζεσαι γιατί κάποια plugins είναι commercial.

+1 εγώ με αυτό είμαι χωρίς proxy και ιστορίες, εσύ θες απλά έλεγχο του ίντερνετ.
Τώρα η ερώτηση είναι απλή, για σπίτι ή για δουλειά? Ρωτάω γιατί για σπίτι το licence είναι 50€ το χρόνο ενώ για δουλειά είναι 450€ για 25 χρήστες

[DVader]

+1 εγώ με αυτό είμαι χωρίς proxy και ιστορίες, εσύ θες απλά έλεγχο του ίντερνετ.
Τώρα η ερώτηση είναι απλή, για σπίτι ή για δουλειά? Ρωτάω γιατί για σπίτι το licence είναι 50€ το χρόνο ενώ για δουλειά είναι 450€ για 25 χρήστες

για το γραφείο το θέλω για 20 users... Ακριβώς internet control χρειάζομαι ...

Εσύ έχεις βάλει untangle...?

[K1m0n]

Θα μπορούσες να δεις και το sophos utm (όχι τα νεώτερα xg).
Είναι open source επί το πλείστον (είναι το παλιό astaro sec. gateway),
αλλά είναι commercial πλέον.
H home άδεια τα έχει όλα free μέχρι 50 ip/clients
(προς τιμήν τους συνεχίζουν την πολιτική του astaro),
αλλά δεν νομίζω να εμπίπτεις.
Σαν προιόν/functionality είναι πολύ καλό.
Το web filtering είναι 3A, όπως και τα AV/IDS/IPS.
Σαν commercial είναι καλό αλλά θα σου κοστίσει τα ίδια με ένα srx.
Έχε υπόψιν ότι αν ενεργοποιήσεις IDS/IPS/AV βαραίνει και θέλει πόρους.