Autenticação no Iptables
Projeto NuFW promete autenticação de pacotes que passam pelo seu Firewall Linux. Talvez isto seja um problema para você, como é para mim hoje. Esta ferramenta, acoplada ao iptables, torna seu Firewall Linux ainda mais poderoso.
[ Hits: 37.939 ]
Por: Alan Cota em 19/03/2005
O Projeto NuFW
O Projeto NuFW (http://www.nufw.org) é uma suíte de autenticação que se acopla ao iptables no Linux. A idéia é autenticar o usuário que está tentando acessar o recurso, jogando o pacote que está entrando no firewall para uma fila. Após a autenticação ser feita, podendo-se utilizar diretórios LDAP, o pacote irá para o filtro iptables caso a autenticação seja válida e constatada que aquele usuário realmente tem acesso ao recurso solicitado.
Atualmente o daemon roda em Linux e possui clientes gratuitos para Linux e Windows.
1. Autenticar toda conexão que passa pelo seu firewall, ou apenas vinda ou indo a algum determinado ponto, ou por um protocolo específico, etc.
2. Permitir que seja realizada uma contagem, roteamento e QoS (Quality of Service) baseado em um usuário e não somente em endereços IP.
3. Filtrar pacotes com um maior detalhamento, como por sistema operacional do usuário que está se conectando, ou alguma aplicação.
4. Implementar SSO (Single Sign On).
5. É um software escalável, que se divide em 2 daemons que podem ser colocados em diferentes sistemas operacionais, onde o daemon principal (responsável pela autenticação) é totalmente multithread.
6. É um software modular, onde a autenticação dos usuários e as ACL (Access Control List) podem ser acessadas via LDAP, clean text, dbm, system, etc.
7. NuFW é um software aberto, liberado sob a GNU GPL.
Atualmente o NuFW possui clientes para Linux e Windows, ambos em uma janelinha típica do MS-DOS. Porém a empresa INL (http://www.inl.fr/article.php3?id_article=26) já fabrica um cliente totalmente Win32, visual, que pode ser instalado e melhor administrado caso os clientes remotos sejam máquinas Windows.
Este projeto traz uma enorme revolução aos firewalls iptables, pois com o passar do tempo, simples firewalls que fazem apenas filtro, podem se tornar servidores poderosos de VPN client-to-site, onde o foco será o usuário e não só o pacote que está passando pelo gateway.
Hoje esta funcionalidade de VPN é incorporada em apenas alguns firewalls comerciais, como o Firewall-1 da Checkpoint, BorderManager da Novell, ISA Server da Microsoft, NetScreen da Juniper, dentre outros. Todos com um altíssimo custo, se o interesse do comprador for a VPN.
Eu montei um laboratório aqui e estou testando exaustivamente o NuFW. Espero em breve postar um artigo contendo um guia completo de implementação, mas por enquanto eu só queria mesmo é divulgá-lo para vocês!
Um abraço e até a próxima.
Atualmente o daemon roda em Linux e possui clientes gratuitos para Linux e Windows.
Características do NuFW
1. Autenticar toda conexão que passa pelo seu firewall, ou apenas vinda ou indo a algum determinado ponto, ou por um protocolo específico, etc.
2. Permitir que seja realizada uma contagem, roteamento e QoS (Quality of Service) baseado em um usuário e não somente em endereços IP.
3. Filtrar pacotes com um maior detalhamento, como por sistema operacional do usuário que está se conectando, ou alguma aplicação.
4. Implementar SSO (Single Sign On).
5. É um software escalável, que se divide em 2 daemons que podem ser colocados em diferentes sistemas operacionais, onde o daemon principal (responsável pela autenticação) é totalmente multithread.
6. É um software modular, onde a autenticação dos usuários e as ACL (Access Control List) podem ser acessadas via LDAP, clean text, dbm, system, etc.
7. NuFW é um software aberto, liberado sob a GNU GPL.
Atualmente o NuFW possui clientes para Linux e Windows, ambos em uma janelinha típica do MS-DOS. Porém a empresa INL (http://www.inl.fr/article.php3?id_article=26) já fabrica um cliente totalmente Win32, visual, que pode ser instalado e melhor administrado caso os clientes remotos sejam máquinas Windows.
Este projeto traz uma enorme revolução aos firewalls iptables, pois com o passar do tempo, simples firewalls que fazem apenas filtro, podem se tornar servidores poderosos de VPN client-to-site, onde o foco será o usuário e não só o pacote que está passando pelo gateway.
Hoje esta funcionalidade de VPN é incorporada em apenas alguns firewalls comerciais, como o Firewall-1 da Checkpoint, BorderManager da Novell, ISA Server da Microsoft, NetScreen da Juniper, dentre outros. Todos com um altíssimo custo, se o interesse do comprador for a VPN.
Eu montei um laboratório aqui e estou testando exaustivamente o NuFW. Espero em breve postar um artigo contendo um guia completo de implementação, mas por enquanto eu só queria mesmo é divulgá-lo para vocês!
Um abraço e até a próxima.
Páginas do artigo
1. Introdução2. O Projeto NuFW
Outros artigos deste autor
Implementando uma política de segurança eficaz
Certificações Novell para Linux
Gerenciando regras de Iptables com Firewall Builder (parte 2)
Controlando e interagindo remotamente com Elluminate
Leitura recomendada
Estrutura do IPTables 2: a tabela nat
Como construir um firewall de baixo custo para sua empresa (parte 2)
OpenVPN - Instalação e configuração
Roteamento de entrada/saída com iproute e iptables
Instalando um firewall mínimo em Debian
Comentários
[1] Comentário enviado por pistosbo em 21/03/2005 - 08:28h
Ae isso deveria ser uma dica e não um artigo !!! acho que vc deveria ter realizado testes e explicado a instalação.
Ae isso deveria ser uma dica e não um artigo !!! acho que vc deveria ter realizado testes e explicado a instalação.
[2] Comentário enviado por shocker em 21/03/2005 - 09:17h
Obrigado por seu comentário, mais eu acho que um artigo não deve ser um passo a passo, e sim um comentário (técnico ou não) a respeito de algo. E foi o que eu fiz.
Um abraço.
Obrigado por seu comentário, mais eu acho que um artigo não deve ser um passo a passo, e sim um comentário (técnico ou não) a respeito de algo. E foi o que eu fiz.
Um abraço.
[3] Comentário enviado por mrluk em 21/03/2005 - 10:12h
Concordo com o pistosbo, ta mais com cara de dica, mas após estudos e aplicação, poderia facilmente virar um artigo. Mas o site possue moderadores de conteúdo, se o artigo foi aprovado é pq atende aos critérios do VOL.
De qualquer maneira, o NuFW me parece ser um excelente projeto! Parabéns pela contribuição!
Concordo com o pistosbo, ta mais com cara de dica, mas após estudos e aplicação, poderia facilmente virar um artigo. Mas o site possue moderadores de conteúdo, se o artigo foi aprovado é pq atende aos critérios do VOL.
De qualquer maneira, o NuFW me parece ser um excelente projeto! Parabéns pela contribuição!
[4] Comentário enviado por farra_br em 21/03/2005 - 13:58h
Pistosbo, o cara coloca uma dica legal e vc ainda reclama?? Pq vc não pega essa dica e estuda. Vc deve ser daqueles que adora coisa pronta e fica falando pra todo mundo que saber fazer isso ou aquilo mas na verdade só cola dos outros.
Sem comentários....
Pistosbo, o cara coloca uma dica legal e vc ainda reclama?? Pq vc não pega essa dica e estuda. Vc deve ser daqueles que adora coisa pronta e fica falando pra todo mundo que saber fazer isso ou aquilo mas na verdade só cola dos outros.
Sem comentários....
[5] Comentário enviado por pistosbo em 22/03/2005 - 11:24h
Karo farra_br vc mesmo o disse uma "dica legal", e concordo plenamente com vc que seja uma "dica legal", mas como artigo infelizmente fikou a desejar.
Mas mesmo assim parabens pelo artigo.
Abraços
Karo farra_br vc mesmo o disse uma "dica legal", e concordo plenamente com vc que seja uma "dica legal", mas como artigo infelizmente fikou a desejar.
Mas mesmo assim parabens pelo artigo.
Abraços
[6] Comentário enviado por removido em 27/03/2005 - 00:06h
Autenticação no iptables é um recurso muito bom, mas eu acho que já havia um negócio parecido, as opções de "owner":
iptables -p tcp --dport 80 -m owner --uid-owner 200 -j LOG --log-prefix "Joãozinho, de UID 200, está tentando acessar um site."
Há também as opções --gid-owner para o GID, --sid-owner para o SESSION ID (alguém sabe o que é isso?) e o --pid-owner para o PID a ser liberado (tipo, se o Apache tiver PID 3096 libera, senão segue para a próxima regra)
[]'s
Max
Autenticação no iptables é um recurso muito bom, mas eu acho que já havia um negócio parecido, as opções de "owner":
iptables -p tcp --dport 80 -m owner --uid-owner 200 -j LOG --log-prefix "Joãozinho, de UID 200, está tentando acessar um site."
Há também as opções --gid-owner para o GID, --sid-owner para o SESSION ID (alguém sabe o que é isso?) e o --pid-owner para o PID a ser liberado (tipo, se o Apache tiver PID 3096 libera, senão segue para a próxima regra)
[]'s
Max
[7] Comentário enviado por agk em 31/03/2005 - 17:33h
Parabéns, muito bom o artigo, não sei do que estão reclamando. As informações estão aí, quem quiser saber mais que estude, se aprofunde no assunto. Jamais pensem que um artigo vai esgotar determinado assunto, pois isso nunca vai acontecer, no meu ponto de vista um artigo serve para explanar determinado assunto e gerar interesse em se pesquisar mais sobre ele.
[ ]'s.
Parabéns, muito bom o artigo, não sei do que estão reclamando. As informações estão aí, quem quiser saber mais que estude, se aprofunde no assunto. Jamais pensem que um artigo vai esgotar determinado assunto, pois isso nunca vai acontecer, no meu ponto de vista um artigo serve para explanar determinado assunto e gerar interesse em se pesquisar mais sobre ele.
[ ]'s.
[8] Comentário enviado por Mcloud em 06/02/2007 - 08:24h
Tão confundindo Artigo com Tutorial...
Parabéns, a informação foi muito relevante...
Abraços...
Tão confundindo Artigo com Tutorial...
Parabéns, a informação foi muito relevante...
Abraços...
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Atualizando o Passado: Linux no Lenovo G460 em 2025
aaPanel - Um Painel de Hospedagem Gratuito e Poderoso
O macete do Warsaw no Linux Mint e cia
Dicas
Um modo leve de ouvir/ver áudio/vídeo da internet em máquinas pererecas
Resolver algumas mensagens de erro do SSH
Instalar módulo de segurança do Banco do Brasil Warsaw do tipo .run
Tópicos
O que você está ouvindo agora? [2] (188)
warsaw parou de funcionar após atualização do sistema (solução) (10)
Top 10 do mês
-
Xerxes
1° lugar - 73.876 pts -
Fábio Berbert de Paula
2° lugar - 51.795 pts -
Daniel Lara Souza
3° lugar - 18.342 pts -
Mauricio Ferrari
4° lugar - 17.187 pts -
Buckminster
5° lugar - 14.374 pts -
Alberto Federman Neto.
6° lugar - 14.141 pts -
edps
7° lugar - 13.750 pts -
Diego Mendes Rodrigues
8° lugar - 12.936 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
9° lugar - 12.456 pts -
Andre (pinduvoz)
10° lugar - 12.417 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
