[MASOCH-L] Iptables + AD

Christian Lyra lyra at pop-pr.rnp.br
Wed May 21 23:17:52 -03 2008


> pequena questão conceitual: no mesmo computador estão trabalhando dois
> usuários. p.ex. minha filha está usando meu iBook diretamente no modo
> gráfico (grande Apple!) e eu via ssh. um desses dois se autentica no
> firewall e consegue uma rota especial. o que impede o outro usuário de
> mandar pacotinhos por essa rota? ABSOLUTAMENTE NADA! simplesmente porque o
> firewall não tem como distinguir que pacotes foram produzidos por qual
> usuário! ok, ele poderia usar o serviço ident, mas a maioria nem roda
> servidor para isso e ident é tão fácil de enganar que nem tem graça.


Me parece claro que alguma inteligencia tem que ser embutida do lado
do cliente. E é esse o approach do nufw. Boa parte da magica esta no
cliente que faz a autenticação no fw.

<disclaimer> NAO estou defendendo o produto. nunca usei!</disclaimer>

Do faq do nufw [1]:

"How different is NuFW from Checkpoint FW/1 and Netscreen ?

With Chekpoint FW/1 and Netscreen, a user first authenticates by HTTPS
and authorisation are set based on the IP address of the machine which
initiated the connection. This is called a priori authentication, and
it is not very secure. Both of those systems are not able to
differenciate users connected on the same machine (Terminal Server,
Citrix, ...) or an entire network hidden behind network address
translation. Thus, the credential of a person connected on a multiuser
machine is the sum of the credential of all people connected to the
computer. NuFW identifies and authenticates the source user of each
and every connection on an individual basis, and performs no a priori
approximation or supposition.

With NuFW, you can have multiple users using the same computers
without any interferences, and you cannot be cheated by NAT. So NuFW
is far better in authenticating users in a multiusers environnent.

Oh, and yes, we nearly forgot, NuFW is Free :)"


a ultima afirmação não é totalmente verdadeira, o cliente para windows
é pago. E realmente funciona como eles dizem? nao sei.. quem testar
conte aqui na lista :-)


[1] http://www.nufw.org/Frequently-Asked-Questions.html


-- 
Christian Lyra
PoP-PR/RNP



More information about the masoch-l mailing list