Procurando por uma solução de segurança de rede multifuncional [fechada]

2

Na minha empresa, estamos atualmente usando o TradeShield / iShield como nosso gateway para a Internet. É também o nosso servidor DHCP, filtro de conteúdo e monitor de uso da internet. No entanto, acho que o software realmente é uma droga. Eu não atende às nossas necessidades e gostaria de substituí-lo.

O que eu preciso em um pacote de software ou dispositivo de hardware de substituição, são os seguintes recursos:

  • um proxy HTTP, para armazenamento em cache do tráfego HTTP, para reduzir os custos de largura de banda e melhorar as velocidades para sites acessados com frequência.
  • um servidor DHCP que permite a correção de endereços IP para endereços MAC específicos
  • atribuição de nomes amigáveis a endereços MAC (por exemplo: SalesPrinter, CCTV-PC, PastelServer) que serão usados em todo o software.
  • capacidade de configurar "contas", em que uma conta é simplesmente uma lista de endereços MAC vinculados a um usuário. A ideia é vincular um usuário e todos os seus dispositivos (ou seja, endereços MAC) a uma única conta - isso permitirá que ele se conecte à rede por meio de seu desktop, laptop, celular etc.
  • uma ferramenta de monitoramento, para monitorar o uso da largura de banda pelo endereço MAC ou por "conta"
  • a capacidade de definir limites de uso por endereço MAC ou "conta".
  • um filtro de site / conteúdo, para filtrar sites pornográficos, sites de warez / crack, etc.
  • firewall (SPI, detecção de intrusão, etc ...)
  • VPN

O ponto principal é que precisamos controlar o uso da internet em nossa rede local, bem como atuar como nosso Gateway / Firewall para a internet. A rede tem cerca de 30 a 40 usuários / máquinas, com algumas pessoas trabalhando em casa.

Problemas que estou tendo com a minha solução atual: uma vez que o TradeShield "veja" um novo dispositivo na rede, ele pegará seu nome e esse nome permanecerá para sempre vinculado ao endereço MAC do dispositivo. Então, por exemplo se eu instalar um novo PC, mas não alterar o nome do computador padrão atribuído a ele pelo Windows e, em seguida, conectar esse equipamento à rede, o TradeShield selecionará o nome padrão, por exemplo, Acer-User322304, e lembre-se disso para sempre. Agora, nos relatórios de uso, eu tenho várias máquinas chamadas Acer-2390 ..., ou outros nomes estranhos que não fazem sentido, e não posso mudar isso. Por isso, é muito difícil descobrir quem são os culpados, sem manter minha própria lista de endereços MAC para os mapeamentos de usuários.

Além disso, não posso permitir o uso de determinadas portas apenas para pessoas específicas. Por exemplo, algumas pessoas têm acesso a mensagens instantâneas, mas não a emails. Eu preciso ser capaz de configurar essas regras em uma base de endereço por MAC.

Eu acredito que o que eu estou procurando é chamado de "Network Security Appliance" - este é um dispositivo de hardware dedicado. No entanto, também estou interessado em soluções de software. Atualmente, o TradeShield é executado em uma caixa Linux e seria bom se eu conseguisse encontrar uma solução de software que também fosse executada no Linux.

Por favor ajude.

    
por Saajid Ismail 19.08.2009 / 13:48

3 respostas

1

PFSense

Dependendo de suas necessidades, mas minha primeira escolha provavelmente seria PFSense.

link

Você pode ler a lista de recursos aqui:

link

IPCop

Minha segunda escolha seria IPCop. Eu usei-o em muitas instalações e sempre provou ser sólido para mim. Fácil de configurar e configurar há bastante tempo com uma comunidade grande o suficiente para que eu possa encontrar um plugin para praticamente tudo que eu preciso.

link

Você pode encontrar algumas capturas de tela do produto base do IPCop aqui:

link

Tenha em mente que há muitos add-ons ... simples de instalar ... que adicionam funcionalidades muito boas. Mais uma vez, dependendo das suas necessidades, recomendo dar uma olhada no URLFilter.

História paralela:

Não que este seja SEU problema, mas eu instalei ambos os itens acima em ambientes de trabalho onde havia um grande problema com funcionários e sites de redes sociais. Ao bloquear cerca de 5-6 URLs principais durante o horário de trabalho e abri-lo durante a hora do almoço, houve um aumento DRAMÁTICO na produtividade.

Você pode ler mais sobre um exemplo no meu post aqui:

Como bloquear o Facebook e o Myspace por endereço IP

    
por 19.08.2009 / 16:10
2

Eu não sei se o PF Sense se ajusta às suas necessidades, mas muitas pessoas falam melhor sobre essa distribuição do FreeBSD. De qualquer forma você pode experimentá-lo no Vrital Box e sem chance de perder nada ao lado de algumas horas e um pouco de largura de banda de conexão com a internet para baixá-lo

    
por 19.08.2009 / 14:31
1

Eu uso a plataforma de e-box para uma solução semelhante e ela está funcionando bem, experimente.

    
por 19.08.2009 / 14:45