Forçar proxy para computadores que não sejam de domínio

Question

o que posso fazer para forçar a passagem de todos os dados pelo proxy para que todo o tráfego seja filtrado, mesmo que não estejam no domínio que obtém a política de grupo?

Você precisará:

Exija que usuários de dispositivos de terceiros em sua redeconfigurar explicitamente o servidor proxyem seu dispositivo/navegador quando eles se conectam à sua rede.

Esta é uma mudança política, não técnica; também pode ser um fardo para sua equipe de suporte, pois os usuários normalmente não estão familiarizados com o processo de configuração de um servidor proxy.
Habilite seu proxy como umproxy transparenteconfigurando seu dispositivo de gateway para passar o tráfego de saída da Web (HTTP) para seu proxy para filtragem e entrega posterior. Na minha experiência, esta é a abordagem mais eficaz, embora você possa optar por combiná-la com os métodos acima, especialmente se o seu proxy fornecer diferentes níveis de filtragem por meio de autenticação do usuário.

Também é possível utilizar mecanismos automatizados para configuração de servidores proxy, utilizando arquivo PAC e descoberta automática de proxy. No entanto, conforme observado nos comentários, eles apresentam vulnerabilidades críticas de segurança e não são recomendados (fonte).

[Se] alguém trouxer um PC que não esteja no domínio, ele não estará passando pelo proxy e poderá acessar a Internet sem restrições

Qualquer solução para esse problema exigirá que você bloqueie o acesso direto e irrestrito à web em seu firewall ou dispositivo de gateway.Sem essa precaução, o proprietário de um dispositivo não gerenciado pode simplesmente configurar o dispositivo para ignorar quaisquer configurações de proxy enviadas ao dispositivo (independentemente do método de implantação) e obter acesso irrestrito. Isso também pode ser verdade para suas máquinas corporativas, dependendo do nível de restrição aplicado por meio da política (por exemplo, os usuários podem instalar seu próprio navegador para ignorar as configurações de proxy impostas pela política de grupo?).

Isso pode significar a criação de ACLs que negam acesso ao tráfego da Web (HTTP) ou a configuração de regras de proxy transparentes para passar esse tráfego automaticamente para o seu servidor proxy. Somente o servidor proxy deve ter regras que permitam o acesso direto à rede mundial de computadores.

Você pode optar por realizar essa filtragem na camada TCP bloqueando portas web óbvias (80/443) ou bloqueando todas as portas de saída (mais seguras). Alternativamente, você pode ter a facilidade de realizar essa filtragem em uma camada superior para qualquer tráfego quepareceHTTP realizando inspeção profunda de pacotes.

Answer 1

o que posso fazer para forçar a passagem de todos os dados pelo proxy para que todo o tráfego seja filtrado, mesmo que não estejam no domínio que obtém a política de grupo?

Você precisará:

Exija que usuários de dispositivos de terceiros em sua redeconfigurar explicitamente o servidor proxyem seu dispositivo/navegador quando eles se conectam à sua rede.

Esta é uma mudança política, não técnica; também pode ser um fardo para sua equipe de suporte, pois os usuários normalmente não estão familiarizados com o processo de configuração de um servidor proxy.
Habilite seu proxy como umproxy transparenteconfigurando seu dispositivo de gateway para passar o tráfego de saída da Web (HTTP) para seu proxy para filtragem e entrega posterior. Na minha experiência, esta é a abordagem mais eficaz, embora você possa optar por combiná-la com os métodos acima, especialmente se o seu proxy fornecer diferentes níveis de filtragem por meio de autenticação do usuário.

Também é possível utilizar mecanismos automatizados para configuração de servidores proxy, utilizando arquivo PAC e descoberta automática de proxy. No entanto, conforme observado nos comentários, eles apresentam vulnerabilidades críticas de segurança e não são recomendados (fonte).

[Se] alguém trouxer um PC que não esteja no domínio, ele não estará passando pelo proxy e poderá acessar a Internet sem restrições

Qualquer solução para esse problema exigirá que você bloqueie o acesso direto e irrestrito à web em seu firewall ou dispositivo de gateway.Sem essa precaução, o proprietário de um dispositivo não gerenciado pode simplesmente configurar o dispositivo para ignorar quaisquer configurações de proxy enviadas ao dispositivo (independentemente do método de implantação) e obter acesso irrestrito. Isso também pode ser verdade para suas máquinas corporativas, dependendo do nível de restrição aplicado por meio da política (por exemplo, os usuários podem instalar seu próprio navegador para ignorar as configurações de proxy impostas pela política de grupo?).

Isso pode significar a criação de ACLs que negam acesso ao tráfego da Web (HTTP) ou a configuração de regras de proxy transparentes para passar esse tráfego automaticamente para o seu servidor proxy. Somente o servidor proxy deve ter regras que permitam o acesso direto à rede mundial de computadores.

Você pode optar por realizar essa filtragem na camada TCP bloqueando portas web óbvias (80/443) ou bloqueando todas as portas de saída (mais seguras). Alternativamente, você pode ter a facilidade de realizar essa filtragem em uma camada superior para qualquer tráfego quepareceHTTP realizando inspeção profunda de pacotes.

Forçar proxy para computadores que não sejam de domínio

Responder1

informação relacionada