NXFilter autenticando em AD

Apresentação

O NXFilter é uma ferramenta que começou com a ideia de atuar como filtro DNS e agora provê também a possibilidade de filtro de conteúdo web.

A documentação completa da ferramenta está no tutorial já traduzido.

Dentre as vantagens disponibilizadas se tem:

  1. É uma ferramenta leve e de fácil instalação
  2. Controle por autenticação usando: LDAP, AD, Single-sign-on ( SSO ), etc…
  3. Pode substituir inclusive o seu proxy-cache como o Squid, em determinadas funções
  4. Usando outros componentes permite inclusive o bloqueio de ferramentas como UltraSurf e Tor
  5. Reconhecimento dinâmico de sites, não depende apenas de listas, encontra o padrão e a classifica
  6. Detectar trojans na sua rede

Funcionamento

Seu principio é atuar como servidor DNS, pode fazer:

[Saiba mais]

NxFilter + Graylog = Relatórios

Relatórios no NxFilter

O NxFilter tem relatórios gráficos e com apresentação diversificada mas, como todos os sistemas hoje existentes, os relatórios disponibilizados nem sempre atendem as mais diversas necessidades. Tendo isso sido previsto, assim como a maioria dos sistemas, o serviço NxFilter vem com a possibilidade de se usar o Syslog para exportar seus registros em tempo de execução.

O que é Syslog ?

O Syslog é um protocolo criado pelo IETF para permitir que os sistemas transmitam mensagens de log usando a rede IP. Esse protocolo permite que um determinado sistema envie a um determinado servidor os registros de operações aplicados a um determinado sistema. Ele pode enviar usando UDP ou TCP.

[Saiba mais]

NXFilter - Alta Disponibilidade + Load Balance

Projeto - Implementar o Cluster NxFilter

A ideia de se implementar o Cluster NxFilter é - principalmente - aumentar a disponibilidade e qualidade dos serviços DNS na rede interna/externa, afinal o NxFilter é na sua essência um servidor DNS.

Então vamos primeiro entender como funciona um servidor DNS e como ele poderia ser usado com HA e/ou Load Balance.

Servidor DNS

Segundo a RFC 1035 ao consultar um determinado domínio a um servidor DNS usa protocolo e porta UDP/53:

[Saiba mais]

NXFilter - Usando a Politica Free-Time

A funcionalidade

O NxFilter é um filtro DNS que já foi citado em outro post - Começando no NxFilter - , ele tem diversas funcionalidades e uma das mais controversas tem sido a Free-Time, o que motivou esse post.

A ideia padrão de Free Time (horário livre) é poder definir em que horários não há bloqueios. Porém o conceito não é aplicado exatamente dessa forma no NxFilter.

Vamos imaginar a situação onde você realmente libere os acessos no horário do almoço, de modo que os usuários da rede tenham acesso a redes sociais e webmail. Mas se for definida apenas a liberação pode haver a situação onde alguns tipos de site ainda deveriam ser bloqueados como sites pornô. Pensando nisso no NxFilter o Free-Time não serve somente para dizer o horário em que devem ser aplicadas as regras e sim para definir que políticas devem ser usadas no horário definido como horário livre.

[Saiba mais]

NXFilter no pfSense

Apresentação

Atenção essa instalação não foi homologada em produção e não teve testes de segurança, se feito não tenho responsabilidades pelos problemas causados

Com o lançamento do pfSense 2.3 a instalação do NxFilter no mesmo servidor teve algumas mudanças, seguem os procedimentos para fazê-lo.

Instalando o Java

O Java é o pré-requisito e foi a maior mudança que houve no processo de instalação. Acesse o servidor via SSH:

fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/openjdk8-jre-8.66.17_3.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/giflib-5.1.2_2.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libXt-1.1.5,1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/xproto-7.0.28.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libSM-1.2.2_3,1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libICE-1.0.9_1,1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libX11-1.6.3,1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/kbproto-1.0.7.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libXdmcp-1.1.2.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libxcb-1.11.1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libpthread-stubs-0.3_6.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libXtst-1.2.2_3.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libXext-1.3.3_1,1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/xextproto-7.3.0.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/inputproto-2.3.1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libXi-1.7.6,1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libXfixes-5.0.1_3.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/fixesproto-5.0.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/recordproto-1.14.2.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/java-zoneinfo-2015.f.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libXrender-0.9.9.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/renderproto-0.11.1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/freetype2-2.6.2.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/alsa-lib-1.1.0.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/fontconfig-2.11.1_1,1.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/dejavu-2.35.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/mkfontdir-1.0.7.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/mkfontscale-1.1.2.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libXau-1.0.8_3.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/java-zoneinfo-2015.f.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/javavmwrapper-2.5.txz
fetch http://pkg.freebsd.org/freebsd:10:x86:64/release_3/All/libfontenc-1.1.3.txz

#Instalando o openjdk8
pkg add openjdk8-jre-8.66.17_3.txz

#Pontos de montagem necessários
mount -t fdescfs fdesc /dev/fd
mount -t procfs proc /proc

Testando o funcionamento do pacote java

[Saiba mais]

NXFilter - O Filtro DNS

Apresentação

O NXFilter é uma ferramenta que começou com a ideia de atuar como filtro DNS e agora provê também a possibilidade de filtro de conteúdo web.

A documentação completa da ferramenta está no tutorial já traduzido.

Dentre as vantagens disponibilizadas se tem:

  1. É uma ferramenta leve e de fácil instalação
  2. Controle por autenticação usando: LDAP, AD, Single-sign-on ( SSO ), etc…
  3. Pode substituir inclusive o seu proxy-cache como o Squid
  4. Usando outros componentes permite inclusive o bloqueio de ferramentas como UltraSurf e Tor
  5. Reconhecimento dinâmico de sites, não depende apenas de listas, encontra o padrão e a classifica

Funcionamento

Seu principio é atuar como servidor DNS, pode fazer:

[Saiba mais]