Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 20033 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

best practices for [user/host] definitions for web proxy?

Mast_01
What's the best practice(as in, the one that gives the less amount of work to setup? [:D]) for web filtering in large networks?

i know there are several options, depending on how the LAN is implemented and wheter or not AD is implemented:

  • Active directory: i can make groups in AD and use them in the WP rules then simply selecting entire network segments in WP and making the profiles
  • fixed IP/ranges: i have to generate a definition per computer in UTM, then group them, very time consuming -and if i want to use MAC difficulty raised exponentially- (AFAIK there's no way to mass-import definitions from CSV file) and very easy to bypass by changing the local IP address. Then do the profiles in WP
  • DHCP(external to UTM) with hostnames: not only is insanely time consuming(even more than a IP, having to enter a name AND then a FQDN by hand) but i've been burned by this before as UTM updates the hostnames whenever it wants(and caches it for X time, no idea if it respects the original TTL of the resource) instead of resolving aggressively, this makes for stations resolved to wrong IP all the time when DHCP changes their IP(and it's irrespective of the lease time as the IP could change one min after UTM randomly decided to resolve the IP and it would stay wrong for a long time)



[LIST=1]
  • ¿what happens in mixed AD/non AD environment(for example where AD rollout is incomplete)?
  • ¿or if customer simply wont use AD?
  • ¿what's the "best practices" in this case?, what have you guys done in your deployments?
    • [/LIST]


This thread was automatically locked due to age.
Parents
  • 0
    If they don't even have a Unix LDAP server, the only thing they can do is manually assign IP addresses to each machine so that the users are effectively separated into groups: Sales=172.24.5.0/24, Executives=172.24.77.0/24, Human Resources=172.24.21.0/24, Staff=172.24.111.0/24, etc.  Then, make a different Profile for each subnet.  I assume that "Internal (Network)"=172.24.0.0/17.

    If they can't be bothered to assign IPs and the UTM is doing DHCP, then they need to pay for your time to configure static mappings that let you use the above trick.

    I don't like working for stupid/stubborn customers unless they pay me lots of money.  I wish you good luck with this one, my friend! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    effectively separated into groups: Sales=172.24.5.0/24, Executives=172.24.77.0/24, Human Resources=172.24.21.0/24, Staff=172.24.111.0/24, etc.  Then, make a different Profile for each subnet.  I assume that "Internal (Network)"=172.24.0.0/17.

    Bob,
    hmm that's an interesting way to separate the subnets...
    that internal network /17 encompasses all of them, but if you put each subnet with /24, wouldn't i need a separate IP address for the UTM in each group to act as the default gateway(i.e: 5.1-21.1-111.1, etc)?
Reply
  • 0 in reply to BAlfson
    effectively separated into groups: Sales=172.24.5.0/24, Executives=172.24.77.0/24, Human Resources=172.24.21.0/24, Staff=172.24.111.0/24, etc.  Then, make a different Profile for each subnet.  I assume that "Internal (Network)"=172.24.0.0/17.

    Bob,
    hmm that's an interesting way to separate the subnets...
    that internal network /17 encompasses all of them, but if you put each subnet with /24, wouldn't i need a separate IP address for the UTM in each group to act as the default gateway(i.e: 5.1-21.1-111.1, etc)?
Children
No Data
Unfiltered HTML