[GTER] Firewall Open Source Baseado em Objetos do Active Directory
Urik B. da Silva
urik at rootz.com.br
Fri Jul 17 09:29:48 -03 2015
Bom dia Douglas,
Caso encontre uma solução mágica assim, e grátis, por favor compartilhe
conosco.
Com relação ao que comentou, Palo Alto não integra com Samba4 como com o
AD, especialmente pela deficiência do WMI no Samba... :(
Urik Barbosa da Silva
http://www.linkedin.com/in/urikbs
Linux User #431806
On 16/07/2015 09:51, Douglas Fischer wrote:
> Na verdade não atende meus requisitos!
>
> Necessito que a ferramenta integre-se com os controladores de domínio,
> recebendo as notificações de logon-logoff com user-id e IP-address.
> Daí é só a ferramenta manter uma tabelinha de IP-Mapings e tá tudo certo...
>
> Assim funciona a solução da Cisco e da Palo-Alto.
>
> Pensei até em uma ferramenta que usa-se um Samba4 ou 389Directory como
> Domain Controller(SEM RECEBER AUTHENTICAÇÕES) apenas para receber as
> notificações entre os Controladores de Domínio(W2012).
>
> P.S.: Tem uma outra thread aqui na GTER rodando com requisitos
> semelhantes...
>
>
> Um dos objetivos é justamente facilitar a migração para IPv6 com relação a
> Firewall.
> Fazendo as regras por Objetos do AD, e tendo um middleware que traduza
> esses objetos para IPv4/IPv6, as regras serão as mesmas...
>
> A idéia é usar esse mesmo recurso tanto para Firewall quanto para NAT e
> similares...
> Mudei o IP do Servidor, ele avisa o AD, que mida a regra de NAT.
> Meio mágico demais né? rsrsrs
>
>
>
> Em 16 de julho de 2015 09:29, Jonathan Falcão <jocthbr at gmail.com> escreveu:
>
>> O único jeito que eu vi de fazer isso integrando com AD (sem usar proxy do
>> navegador) foi ativando o captive portal do pfsense (ou MK) e usando radius
>> para autenticar no windows server.
>> Daria certo pra você?
>>
>> Em qua, 15 de jul de 2015 11:41, Ricardo Barbosa <rcbfor at gmail.com>
>> escreveu:
>>
>>> pfsense
>>>
>>> Em 15 de julho de 2015 00:39, Douglas Fischer <fischerdouglas at gmail.com>
>>> escreveu:
>>>
>>>> Estou procurando algum Firewall:
>>>> - No estilo Appliance(Físico ou virtual)
>>>> - Com interface GUI
>>>> - Que permita regras de acesso, NAT, Mangle baseado em Objetos do
>> AD(uses
>>>> and hosts).
>>>> ex.: A1- Crio grupo de máquinas "amarelas" no AD.
>>>> A2- crio uma regra no Firewall dizendo "pacotes que venham para
>>>> máquinas amarelas devem receber dscp EF."
>>>> A3- Depois de passado um tempo, ao colocar a máquina tal no
>> grupo
>>>> amarela, ela automaticamente se enquadra na regra A2.
>>>>
>>>> B1- Crio uma regra no Firewall dizendo que os Administradores de
>>>> domínio podem originar telnet.
>>>> B2- Zé que é domain-admin usa a máquina PC1 para acessar o LG do
>>>> PTT-SP.
>>>> B3- Zé faz logoff da máquina PC1.
>>>> B4- Tonho que não é domain administrativa faz login na máquina
>> PC1
>>>> B5- Firewall bloqueia a conexão telnet que Tonho tentou fazer
>> para
>>>> alt.org.
>>>>
>>>> Isso tudo sem que o usuário ou host tenha que interagir com o Firewall,
>>>> somente com o AD.
>>>>
>>>> Até hoje, só tive lidei com poucas cixas que efetivamente fazem o
>>>> descrito(principalmente hosts e group hosts).
>>>> Dentre as que posso citar
>>>> - Microsoft TMG
>>>> - Cisco ASA CX
>>>> - Cisco ASA Sourcefire
>>>> - Palo Alto
>>>>
>>>> Ouvi que sonicwall, sophos, e similares fazem isso com certa maestria.
>>>>
>>>> Mas estou procurando algo Open
>>>> Source.
>>>>
>>>> Sugestões?
>>>> /*Android told-me that this text should be at bottom.*/
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>>
>>>
>>> --
>>> Ricardo Costa Barbosa
>>> rcbfor at gmail.com
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
More information about the gter
mailing list