[GTER] Firewall Open Source Baseado em Objetos do Active Directory

Douglas Fischer fischerdouglas at gmail.com
Thu Jul 16 09:51:45 -03 2015


Na verdade não atende meus requisitos!

Necessito que a ferramenta integre-se com os controladores de domínio,
recebendo as notificações de logon-logoff com user-id e IP-address.
Daí é só a ferramenta manter uma tabelinha de IP-Mapings e tá tudo certo...

Assim funciona a solução da Cisco e da Palo-Alto.

Pensei até em uma ferramenta que usa-se um Samba4 ou 389Directory como
Domain Controller(SEM RECEBER AUTHENTICAÇÕES) apenas para receber as
notificações entre os Controladores de Domínio(W2012).

P.S.: Tem uma outra thread aqui na GTER rodando com requisitos
semelhantes...


Um dos objetivos é justamente facilitar a migração para IPv6 com relação a
Firewall.
Fazendo as regras por Objetos do AD, e tendo um middleware que traduza
esses objetos para IPv4/IPv6, as regras serão as mesmas...

A idéia é usar esse mesmo recurso tanto para Firewall quanto para NAT e
similares...
Mudei o IP do Servidor, ele avisa o AD, que mida a regra de NAT.
Meio mágico demais né? rsrsrs



Em 16 de julho de 2015 09:29, Jonathan Falcão <jocthbr at gmail.com> escreveu:

> O único jeito que eu vi de fazer isso integrando com AD (sem usar proxy do
> navegador) foi ativando o captive portal do pfsense (ou MK) e usando radius
> para autenticar no windows server.
> Daria certo pra você?
>
> Em qua, 15 de jul de 2015 11:41, Ricardo Barbosa <rcbfor at gmail.com>
> escreveu:
>
> > pfsense
> >
> > Em 15 de julho de 2015 00:39, Douglas Fischer <fischerdouglas at gmail.com>
> > escreveu:
> >
> > > Estou procurando algum Firewall:
> > > - No estilo Appliance(Físico ou virtual)
> > > - Com interface GUI
> > > - Que permita regras de acesso, NAT, Mangle baseado em Objetos do
> AD(uses
> > > and hosts).
> > >   ex.: A1- Crio grupo de máquinas "amarelas" no AD.
> > >        A2- crio uma regra no Firewall dizendo "pacotes que venham para
> > > máquinas amarelas devem receber dscp EF."
> > >        A3- Depois de passado um tempo, ao colocar a máquina tal no
> grupo
> > > amarela, ela automaticamente se enquadra na regra A2.
> > >
> > >       B1- Crio uma regra no Firewall dizendo que os Administradores de
> > > domínio podem originar telnet.
> > >       B2- Zé que é domain-admin usa a máquina PC1 para acessar o LG do
> > > PTT-SP.
> > >       B3- Zé faz logoff da máquina PC1.
> > >       B4- Tonho que não é domain administrativa faz login na máquina
> PC1
> > >       B5- Firewall bloqueia a conexão telnet que Tonho tentou fazer
> para
> > > alt.org.
> > >
> > > Isso tudo sem que o usuário ou host tenha que interagir com o Firewall,
> > > somente com o AD.
> > >
> > > Até hoje, só tive lidei com poucas cixas que efetivamente fazem o
> > > descrito(principalmente hosts e group hosts).
> > > Dentre as que posso citar
> > > - Microsoft TMG
> > > - Cisco ASA CX
> > > - Cisco ASA Sourcefire
> > > - Palo Alto
> > >
> > > Ouvi que sonicwall, sophos, e similares fazem isso com certa maestria.
> > >
> > > Mas estou procurando algo Open
> > > Source.
> > >
> > > Sugestões?
> > > /*Android told-me that this text should be at bottom.*/
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> >
> >
> >
> > --
> > Ricardo Costa Barbosa
> >    rcbfor at gmail.com
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Douglas Fernando Fischer
Engº de Controle e Automação



More information about the gter mailing list