Pular para o conteúdo
PFSENSE em Firewall

pfSense + SquidGuard + LDAP

Responder tópico
  • Denunciar
  • Indicar

1. pfSense + SquidGuard + LDAP

Enviado em 06/08/2025 - 11:23h


Tenho configurado o pfSense com SquidGuard usando autenticação pelo LDAP. A parte de autenticação está funcionando, ele solicita o login com credenciais do AD e identifica o usuário nos logs de acesso.

O que não estou conseguindo configurar é a Group ACL para ser aplicada nos usuários do AD. Segui o exemplo dado na tela, minha sintaxe está no seguinte modelo:

ldapusersearch ldap://0.0.0.0/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=xxxxx%2cDC=home%2cDC=arpa))

Parece que essa ACL está sendo completamente ignorada pois não consta nada nos logs, nenhum erro, bloqueio, nada. Alguém pode me dar uma luz nessa situação?

Responder tópico

2. Re: pfSense + SquidGuard + LDAP

Enviado em 06/08/2025 - 17:37h

Teste com o comando antes de usar no SquidGuard:
ldapsearch -x -H ldap://ad.dominio.local -D "CN=UsuarioTeste,CN=Users,DC=xxxxx,DC=home,DC=arpa" -W -b "DC=xxxxx,DC=home,DC=arpa" "(&(sAMAccountName=usuario)(memberOf=CN=Users,DC=xxxxx,DC=home,DC=arpa))"

Isso mostrará se o filtro está retornando algum resultado.

A tua consulta:
ldapusersearch ldap://0.0.0.0/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=xxxxx%2cDC=home%2cDC=arpa))

Observações:
- Evite 0.0.0.0, pois geralmente não funciona como destino LDAP, normalmente você coloca o IP do AD ou ldap://ad.dominio.local.

- O atributo memberOf pode não estar funcionando porque o %2c (vírgula codificada) nem sempre é aceito pelo SquidGuard. Tente usar vírgula normal e escapar com barra invertida (\) se necessário, por exemplo:
memberOf=CN=Users,DC=xxxxx,DC=home,DC=arpa

Tente assim ou adapte:
ldapusersearch ldap://ad.dominio.local/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf:1.2.840.113556.1.4.1941:=CN=Users,DC=xxxxx,DC=home,DC=arpa))

O formato padrão é:
ldap://<servidor>/<base_dn>?<atributo_usuario>?<escopo>?<filtro>


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!

4. Re: pfSense + SquidGuard + LDAP

Enviado em 06/08/2025 - 21:14h

Considero mais apropriado desacoplar o Squid do pfSense e operá-lo em paralelo, em um servidor dedicado, garantindo maior flexibilidade de gerenciamento e mitigando os riscos associados à descontinuação oficial dos pacotes Squid e SquidGuard.
Executar serviços de proxy em um servidor separado evita que falhas ou vulnerabilidades no Squid impactem o firewall.

5. Re: pfSense + SquidGuard + LDAP

Enviado em 06/08/2025 - 21:39h

É um risco significativo expor o firewall a vulnerabilidades decorrentes de pacotes de terceiros.

6. Re: pfSense + SquidGuard + LDAP

Enviado em 11/08/2025 - 10:57h


Buckminster escreveu:

Teste com o comando antes de usar no SquidGuard:
ldapsearch -x -H ldap://ad.dominio.local -D "CN=UsuarioTeste,CN=Users,DC=xxxxx,DC=home,DC=arpa" -W -b "DC=xxxxx,DC=home,DC=arpa" "(&(sAMAccountName=usuario)(memberOf=CN=Users,DC=xxxxx,DC=home,DC=arpa))"

Isso mostrará se o filtro está retornando algum resultado.

A tua consulta:
ldapusersearch ldap://0.0.0.0/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Users%2cDC=xxxxx%2cDC=home%2cDC=arpa))

Observações:
- Evite 0.0.0.0, pois geralmente não funciona como destino LDAP, normalmente você coloca o IP do AD ou ldap://ad.dominio.local.

- O atributo memberOf pode não estar funcionando porque o %2c (vírgula codificada) nem sempre é aceito pelo SquidGuard. Tente usar vírgula normal e escapar com barra invertida (\) se necessário, por exemplo:
memberOf=CN=Users,DC=xxxxx,DC=home,DC=arpa

Tente assim ou adapte:
ldapusersearch ldap://ad.dominio.local/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf:1.2.840.113556.1.4.1941:=CN=Users,DC=xxxxx,DC=home,DC=arpa))

O formato padrão é:
ldap://<servidor>/<base_dn>?<atributo_usuario>?<escopo>?<filtro>


_________________________________________________________
Rule number one: Always listen 'to' Buck!
Enquanto o cursor estiver pulsando, há vida!



Testei esse comando no "Command Prompt" do pfsense e ele retorna solicitando a senha do usuário LDAP, isso indica que está funcionando?

Experimentei tambem utilizar o modelo que você me passou na ACL (ldapusersearch ldap://ad.dominio.local/DC=xxxxx,DC=home,DC=arpa?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf:1.2.840.113556.1.4.1941:=CN=Users,DC=xxxxx,DC=home,DC=arpa)) mas sem sucesso.

7. Re: pfSense + SquidGuard + LDAP

Enviado em 20/10/2025 - 11:41h

Para conhecimento, CVE-2025-62168 | CVSS 10.0 - Vulnerabilidade no Squid Proxy

"Os desenvolvedores do projeto Squid, divulgaram e corrigiram uma vulnerabilidade crítica de information disclosure, identificada como CVE-2025-62168[1] CVSS 10.0. A falha decorre de uma ocultação de credenciais de autenticação HTTP durante o tratamento de erros, isso pode permitir que atores de ameaças realizem bypass das proteções de segurança do navegador e coletem tokens ou credenciais de autenticação confidenciais usados por clientes confiáveis e aplicativos de back-end. Esta vulnerabilidade afeta todas as versões do Squid até a 7.1.
O problema foi corrigido na versão 7.2 do Squid, que implementa uma correção de credenciais em todas as funções de tratamento de erros. Além disso, os mantenedores publicaram um patch[2] para administradores que não conseguem atualizar imediatamente.

Para mitigação imediata, o projeto recomenda desabilitar as informações de depuração nos links mailto modificando o arquivo de configuração, squid.conf, com a variável: email_err_data off."

https://github.com/squid-cache/squid/security/advisories/GHSA-c8cc-phh7-xmxr

Responder tópico

Responder tópico

Entre na sua conta para responder.

Fazer login para responder