[MASOCH-L] Iptables + AD

..:: S.e.r.i.a.l ::.. skroot at gmail.com
Wed May 21 17:57:27 -03 2008


Entendi Lao, mas no caso a minha idéia eh fazer apontamento apenas para o
nome do usuário, ou seja, em qualquer local da rede LAN que ele efetuar o
login, ele ira ter suas regras, independente do IP de origem.

Sera que mesmo assim cai no conceito de ser furado?

Eu viso um ambiente de uma grande corporação com complexidades de regras,
aonde ficaria mais fácil para se administrar. A idéia eh se tornar pratico,
mas claro, não esquecer do critério máster, segurança do aplicativo.

O que vc acha?

[.]'s
Serial




-----Original Message-----
From: masoch-l-bounces at eng.registro.br
[mailto:masoch-l-bounces at eng.registro.br] On Behalf Of Lao DanTong
Sent: quarta-feira, 21 de maio de 2008 17:15
To: Mail Aid and Succor, On-line Comfort and Help
Subject: Re: [MASOCH-L] Iptables + AD

On Wed, 21 May 2008, ..:: S.e.r.i.a.l ::.. wrote:

> tenho verificado vários produtos no mercado que faz as regras junto com o
> sistema SSO (Single sign on) aonde vc pode criar as regras no firewall
> liberando portas sendo a origem um ip, rede, ou até mesmo usuários
> autenticados, aonde o firewall obtem essa informação através do AD,
> utilizando o ticket do kerberos de qdo o usuário faz o logon em sua
estação.

aí é que mora o problema. como não existe relação a priori entre usuário e 
IP (sequer esses conceitos convivem na mesma camada da pilha de 
protocolos), isto só causa confusão. você até pode usar as mesmas 
credenciais para SSO e 802.1x, mas entenda que são contextos diferentes e 
nada neste mundo garante que uma vez que um usuário conseguiu autenticar 
no 802.1x com suas credenciais, o IP em questão vai ser mesmo usado pelo 
mesmo usuário (agora no contexto de domínio). Capisce?

Resumindo: é cômodo, mas é conceitualmente furado.

> Gostaria de saber se existe a mesma possibilidade de fazer o mesmo com o
> iptables.
> Se eu não me engano existe um pacote que se chama Netcat, mas pelo que vi,
> ele não integra com o AD.

se integrar com LDAP serve, mas insisto, é furado. a pior coisa que se 
pode ter em políticas de segurança é confiar em uma hipótese falsa, mesmo 
que ela "funcione" em 99.99% dos casos.
__
masoch-l list
https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list