Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 20034 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

best practices for [user/host] definitions for web proxy?

Mast_01
What's the best practice(as in, the one that gives the less amount of work to setup? [:D]) for web filtering in large networks?

i know there are several options, depending on how the LAN is implemented and wheter or not AD is implemented:

  • Active directory: i can make groups in AD and use them in the WP rules then simply selecting entire network segments in WP and making the profiles
  • fixed IP/ranges: i have to generate a definition per computer in UTM, then group them, very time consuming -and if i want to use MAC difficulty raised exponentially- (AFAIK there's no way to mass-import definitions from CSV file) and very easy to bypass by changing the local IP address. Then do the profiles in WP
  • DHCP(external to UTM) with hostnames: not only is insanely time consuming(even more than a IP, having to enter a name AND then a FQDN by hand) but i've been burned by this before as UTM updates the hostnames whenever it wants(and caches it for X time, no idea if it respects the original TTL of the resource) instead of resolving aggressively, this makes for stations resolved to wrong IP all the time when DHCP changes their IP(and it's irrespective of the lease time as the IP could change one min after UTM randomly decided to resolve the IP and it would stay wrong for a long time)



[LIST=1]
  • ¿what happens in mixed AD/non AD environment(for example where AD rollout is incomplete)?
  • ¿or if customer simply wont use AD?
  • ¿what's the "best practices" in this case?, what have you guys done in your deployments?
    • [/LIST]


This thread was automatically locked due to age.
  • 0
    Use at your own risk, etc...

    Hints on creating hosts from the command line:

    cc set_object "{ 'class' => 'network', 'type' => 'host', 'autoname' => 1, 'data' => { 'address' => '192.0.2.205', 'address6' => '', 'comment' => '', 'duids' => [], 'hostnames' => [], 'interface' => '', 'macs' => [ 'ab:cd:ef:01:12:34' ], 'name' => 'Name goes here' } }"


    Add host REF to the specified DHCP server REF:
    cc change_object REF_DhcSer1920OnInter mappings REF_NetHos19202205
  • 0 in reply to teched_01

    Add host REF to the specified DHCP server REF: 
    cc change_object REF_DhcSer1920OnInter mappings REF_NetHos19202205


    i'm not clear what that host to dhcp ref is for
  • 0
    Adding the host REF to the DHCP server REF (mappings) changes the IPv4 DHCP Server setting show in the Edit Network Definition screen.  In the attached screenshot it is not set and appears as "No DHCP Server".

    Show the DHCP server objects: 
    cc get_objects_filtered '$_->{class} eq "dhcp" && $_->{type} eq "server"'
  • 0
    ah but that is only if you use the UTM DHCP server right?
  • 0
    Right.

    There is the "MAC Address Definitions" section for "Network Definitions" that appears to have an import function.  I've never used such definitions as I've either lacked the layer-2 visibility required or used the UTM DHCP server with static mappings (UTM parlance, aka ISC dhcpd: fixed-address; Windows: reservations).
  • 0
    that covers generating a large number of hosts by hand, but is that really a "best practice"?.

    i mean, ok, a large network without an AD is kind of rare, but it happens..., what do the rest of you do in those cases?
  • 0
    In a large network without AD or some similar tool, my feeling is that that is the first best-practice issue to address.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    In a large network without AD or some similar tool, my feeling is that that is the first best-practice issue to address.

    Cheers - Bob


    yeah but that's not gonna happen (if they're still without full ad rollout now, they won't be rolling it out anytime soon as the non-domain workflow is ingrained in the userbase and managers cannot be bothered by the insane task of migrating users to AD) so i have to make do with whatever they have at the time of the UTM implementation
  • 0
    If they don't even have a Unix LDAP server, the only thing they can do is manually assign IP addresses to each machine so that the users are effectively separated into groups: Sales=172.24.5.0/24, Executives=172.24.77.0/24, Human Resources=172.24.21.0/24, Staff=172.24.111.0/24, etc.  Then, make a different Profile for each subnet.  I assume that "Internal (Network)"=172.24.0.0/17.

    If they can't be bothered to assign IPs and the UTM is doing DHCP, then they need to pay for your time to configure static mappings that let you use the above trick.

    I don't like working for stupid/stubborn customers unless they pay me lots of money.  I wish you good luck with this one, my friend! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    effectively separated into groups: Sales=172.24.5.0/24, Executives=172.24.77.0/24, Human Resources=172.24.21.0/24, Staff=172.24.111.0/24, etc.  Then, make a different Profile for each subnet.  I assume that "Internal (Network)"=172.24.0.0/17.

    Bob,
    hmm that's an interesting way to separate the subnets...
    that internal network /17 encompasses all of them, but if you put each subnet with /24, wouldn't i need a separate IP address for the UTM in each group to act as the default gateway(i.e: 5.1-21.1-111.1, etc)?
Unfiltered HTML