Así que obtuve resultados extremadamente malos con firewalls puenteados, por lo que decidí crear un proxy independiente, las PC en el dominio obtienen el proxy de forma predeterminada y luego se filtra su acceso a Internet. ¡Todo está bien!
Pero luego, si alguien trae una PC que no está en el dominio, no está pasando por el proxy para poder acceder a Internet sin restricciones, esto es lo mismo que el wifi, los dispositivos que no están en el dominio tienen Internet totalmente accesible.
Mi enrutador es un Cisco 2811 y dhcp se ejecuta en mi DC. ¿Qué puedo hacer para forzar que todos los datos pasen a través del proxy para que todo el tráfico se filtre incluso si no están en el dominio que recibe la política de grupo?
Respuesta1
¿Qué puedo hacer para forzar que todos los datos pasen a través del proxy para que todo el tráfico se filtre incluso si no están en el dominio que recibe la política de grupo?
Necesitará:
Exija a los usuarios de dispositivos de terceros en su red queconfigurar explícitamente el servidor proxyen su dispositivo/navegador cuando se conectan a su red.
Se trata de un cambio de política, no técnico; También puede resultar una carga para su equipo de soporte, ya que los usuarios normalmente no están familiarizados con el proceso de configuración de un servidor proxy.
Habilite su proxy comoproxy transparenteconfigurando su dispositivo de puerta de enlace para pasar el tráfico web saliente (HTTP) a su proxy para su filtrado y entrega posterior. En mi experiencia, este es el enfoque más eficaz, aunque puede optar por combinarlo con los métodos anteriores, especialmente si su proxy proporciona diferentes niveles de filtrado mediante autenticación de usuario.
También es posible utilizar mecanismos automatizados para configurar servidores proxy, utilizando un archivo PAC y descubrimiento automático de proxy. Sin embargo, como se indica en los comentarios, estos tienen vulnerabilidades de seguridad críticas y no se recomiendan (fuente).
[Si] alguien trae una computadora que no está en el dominio, no pasará por el proxy para que pueda acceder a Internet sin restricciones.
Cualquier solución a este problema requerirá que bloquee el acceso directo y sin restricciones a la web en su firewall o dispositivo de puerta de enlace.Sin esta precaución, el propietario de un dispositivo no administrado puede simplemente configurar su dispositivo para ignorar cualquier configuración de proxy que introduzca en su dispositivo (independientemente del método de implementación) y obtener acceso sin restricciones. Esto también puede ser cierto para sus máquinas corporativas, dependiendo del nivel de restricción que aplique a través de la política (por ejemplo, ¿pueden los usuarios instalar su propio navegador para evitar la configuración de proxy aplicada por la política de grupo?).
Esto podría significar crear ACL que denieguen el acceso al tráfico web (HTTP) o configurar reglas de proxy transparentes para pasar dicho tráfico automáticamente a su servidor proxy. Sólo el servidor proxy debería tener reglas que permitan el acceso directo a la red mundial.
Puede optar por realizar este filtrado en la capa TCP bloqueando los puertos web obvios (80/443) o bloqueando todos los puertos salientes (el más seguro). Alternativamente, es posible que tenga la posibilidad de realizar este filtrado en una capa superior para cualquier tráfico quepareceHTTP realizando una inspección profunda de paquetes.