[MASOCH-L] Iptables + AD
Lao DanTong
danton at inexo.com.br
Thu May 22 10:04:02 BRT 2008
On Wed, 21 May 2008, Christian Lyra wrote:
> Me parece claro que alguma inteligencia tem que ser embutida do lado
> do cliente. E é esse o approach do nufw. Boa parte da magica esta no
> cliente que faz a autenticação no fw.
embutir inteligência do lado do cliente não me parece nada sensato. o
"cliente" é por definição 'tainted' e inseguro. senão não estaríamos
preocupados em filtrá-lo no firewall.
> <disclaimer> NAO estou defendendo o produto. nunca usei!</disclaimer>
>
> Do faq do nufw [1]:
>
> "How different is NuFW from Checkpoint FW/1 and Netscreen ?
>
> With Chekpoint FW/1 and Netscreen, a user first authenticates by HTTPS
> and authorisation are set based on the IP address of the machine which
> initiated the connection. This is called a priori authentication, and
> it is not very secure. Both of those systems are not able to
> differenciate users connected on the same machine (Terminal Server,
> Citrix, ...) or an entire network hidden behind network address
> translation. Thus, the credential of a person connected on a multiuser
> machine is the sum of the credential of all people connected to the
> computer.
isto é exatamente o que eu venho dizendo.
> NuFW identifies and authenticates the source user of each
> and every connection on an individual basis, and performs no a priori
> approximation or supposition.
ok, mas para ele fazer isso, ele precisa da colaboração da máquina em
questão. e aí caimos em um caso semelhante ao uso do velho protocolo ident
(uma espécie de fuser remoto). basicamente você estará perguntando para o
lobo se ele é ovelha...
e o que acontece com serviços essencialmente anônimos (ou com user=daemon)
como o caso de DNS? passam por default? alguem já ouviu falar de túneis de
IP sobre DNS, passando inocentemente pela porta 53/udp? e um squid, então?
para mim esse treco é "snake oil".
vamos combinar uma coisa: manter as camadas da pilha de protocolos tão
ortogonais quanto for possível. ok?
e qunto a cobrar o cliente para windows, acho mais que certo, se o cara
pagou pelo carro, porque não vai pagar pelos acessórios?
More information about the masoch-l
mailing list