Autenticação no Iptables

Projeto NuFW promete autenticação de pacotes que passam pelo seu Firewall Linux. Talvez isto seja um problema para você, como é para mim hoje. Esta ferramenta, acoplada ao iptables, torna seu Firewall Linux ainda mais poderoso.

[ Hits: 37.592 ]

Por: Alan Cota em 19/03/2005


O Projeto NuFW



O Projeto NuFW (http://www.nufw.org) é uma suíte de autenticação que se acopla ao iptables no Linux. A idéia é autenticar o usuário que está tentando acessar o recurso, jogando o pacote que está entrando no firewall para uma fila. Após a autenticação ser feita, podendo-se utilizar diretórios LDAP, o pacote irá para o filtro iptables caso a autenticação seja válida e constatada que aquele usuário realmente tem acesso ao recurso solicitado.

Atualmente o daemon roda em Linux e possui clientes gratuitos para Linux e Windows.

Características do NuFW


1. Autenticar toda conexão que passa pelo seu firewall, ou apenas vinda ou indo a algum determinado ponto, ou por um protocolo específico, etc.

2. Permitir que seja realizada uma contagem, roteamento e QoS (Quality of Service) baseado em um usuário e não somente em endereços IP.

3. Filtrar pacotes com um maior detalhamento, como por sistema operacional do usuário que está se conectando, ou alguma aplicação.

4. Implementar SSO (Single Sign On).

5. É um software escalável, que se divide em 2 daemons que podem ser colocados em diferentes sistemas operacionais, onde o daemon principal (responsável pela autenticação) é totalmente multithread.

6. É um software modular, onde a autenticação dos usuários e as ACL (Access Control List) podem ser acessadas via LDAP, clean text, dbm, system, etc.

7. NuFW é um software aberto, liberado sob a GNU GPL.

Atualmente o NuFW possui clientes para Linux e Windows, ambos em uma janelinha típica do MS-DOS. Porém a empresa INL (http://www.inl.fr/article.php3?id_article=26) já fabrica um cliente totalmente Win32, visual, que pode ser instalado e melhor administrado caso os clientes remotos sejam máquinas Windows.

Este projeto traz uma enorme revolução aos firewalls iptables, pois com o passar do tempo, simples firewalls que fazem apenas filtro, podem se tornar servidores poderosos de VPN client-to-site, onde o foco será o usuário e não só o pacote que está passando pelo gateway.

Hoje esta funcionalidade de VPN é incorporada em apenas alguns firewalls comerciais, como o Firewall-1 da Checkpoint, BorderManager da Novell, ISA Server da Microsoft, NetScreen da Juniper, dentre outros. Todos com um altíssimo custo, se o interesse do comprador for a VPN.

Eu montei um laboratório aqui e estou testando exaustivamente o NuFW. Espero em breve postar um artigo contendo um guia completo de implementação, mas por enquanto eu só queria mesmo é divulgá-lo para vocês!

Um abraço e até a próxima.

Página anterior    

Páginas do artigo
   1. Introdução
   2. O Projeto NuFW
Outros artigos deste autor

Diferenças entre o sistema de arquivos do Windows e Linux

Alta Disponibilidade com LVS

Administrando bancos MySQL com phpMyAdmin

SuSE Linux Enterprise Desktop 10 - O novo desktop Linux da Novell

Controlando e interagindo remotamente com Elluminate

Leitura recomendada

Análise da distribuição Mandrake Security

Entendendo a teoria do iptables

Montando regras iptables

NoCatAuth - Construindo um firewall/gateway autenticado

Port Forward mais completo: caçando o fantasma da rede interna

  
Comentários
[1] Comentário enviado por pistosbo em 21/03/2005 - 08:28h

Ae isso deveria ser uma dica e não um artigo !!! acho que vc deveria ter realizado testes e explicado a instalação.

[2] Comentário enviado por shocker em 21/03/2005 - 09:17h

Obrigado por seu comentário, mais eu acho que um artigo não deve ser um passo a passo, e sim um comentário (técnico ou não) a respeito de algo. E foi o que eu fiz.

Um abraço.

[3] Comentário enviado por mrluk em 21/03/2005 - 10:12h

Concordo com o pistosbo, ta mais com cara de dica, mas após estudos e aplicação, poderia facilmente virar um artigo. Mas o site possue moderadores de conteúdo, se o artigo foi aprovado é pq atende aos critérios do VOL.

De qualquer maneira, o NuFW me parece ser um excelente projeto! Parabéns pela contribuição!

[4] Comentário enviado por farra_br em 21/03/2005 - 13:58h

Pistosbo, o cara coloca uma dica legal e vc ainda reclama?? Pq vc não pega essa dica e estuda. Vc deve ser daqueles que adora coisa pronta e fica falando pra todo mundo que saber fazer isso ou aquilo mas na verdade só cola dos outros.
Sem comentários....

[5] Comentário enviado por pistosbo em 22/03/2005 - 11:24h

Karo farra_br vc mesmo o disse uma "dica legal", e concordo plenamente com vc que seja uma "dica legal", mas como artigo infelizmente fikou a desejar.

Mas mesmo assim parabens pelo artigo.

Abraços

[6] Comentário enviado por removido em 27/03/2005 - 00:06h

Autenticação no iptables é um recurso muito bom, mas eu acho que já havia um negócio parecido, as opções de "owner":

iptables -p tcp --dport 80 -m owner --uid-owner 200 -j LOG --log-prefix "Joãozinho, de UID 200, está tentando acessar um site."

Há também as opções --gid-owner para o GID, --sid-owner para o SESSION ID (alguém sabe o que é isso?) e o --pid-owner para o PID a ser liberado (tipo, se o Apache tiver PID 3096 libera, senão segue para a próxima regra)

[]'s

Max

[7] Comentário enviado por agk em 31/03/2005 - 17:33h

Parabéns, muito bom o artigo, não sei do que estão reclamando. As informações estão aí, quem quiser saber mais que estude, se aprofunde no assunto. Jamais pensem que um artigo vai esgotar determinado assunto, pois isso nunca vai acontecer, no meu ponto de vista um artigo serve para explanar determinado assunto e gerar interesse em se pesquisar mais sobre ele.
[ ]'s.

[8] Comentário enviado por Mcloud em 06/02/2007 - 08:24h

Tão confundindo Artigo com Tutorial...

Parabéns, a informação foi muito relevante...

Abraços...

[9] Comentário enviado por celsof2 em 26/03/2008 - 06:01h

bom o ardicas..........rsrsrs


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts