[MASOCH-L] Iptables + AD

[Lao DanTong]

On Wed, 21 May 2008, ..:: S.e.r.i.a.l ::.. wrote:

> tenho verificado vários produtos no mercado que faz as regras junto com o
> sistema SSO (Single sign on) aonde vc pode criar as regras no firewall
> liberando portas sendo a origem um ip, rede, ou até mesmo usuários
> autenticados, aonde o firewall obtem essa informação através do AD,
> utilizando o ticket do kerberos de qdo o usuário faz o logon em sua estação.

aí é que mora o problema. como não existe relação a priori entre usuário e 
IP (sequer esses conceitos convivem na mesma camada da pilha de 
protocolos), isto só causa confusão. você até pode usar as mesmas 
credenciais para SSO e 802.1x, mas entenda que são contextos diferentes e 
nada neste mundo garante que uma vez que um usuário conseguiu autenticar 
no 802.1x com suas credenciais, o IP em questão vai ser mesmo usado pelo 
mesmo usuário (agora no contexto de domínio). Capisce?

Resumindo: é cômodo, mas é conceitualmente furado.

> Gostaria de saber se existe a mesma possibilidade de fazer o mesmo com o
> iptables.
> Se eu não me engano existe um pacote que se chama Netcat, mas pelo que vi,
> ele não integra com o AD.

se integrar com LDAP serve, mas insisto, é furado. a pior coisa que se 
pode ter em políticas de segurança é confiar em uma hipótese falsa, mesmo 
que ela "funcione" em 99.99% dos casos.