Que tecnologia. é necessário para criar um firewall que abre dinamicamente as portas depois que os usuários se autenticam por meio de um formulário da Web no Active Directory?

Navegue suas respostas
1

Preciso expor via Internet um aplicativo da Web interno inseguro que não pode ser modificado para ficar intrinsecamente mais seguro. A solução mais comum para esse problema é acessar o aplicativo da web por meio de VPN. Infelizmente, isso não é possível na minha situação, então fico lutando por outra solução.

Em algum momento, experimentei trabalhar com firewalls que poderiam abrir portas dinamicamente depois que os usuários passassem a autenticação por meio de um formulário da web. O formulário estava em um site servido pelo dispositivo de firewall e, nos bastidores, o firewall estava usando as credenciais fornecidas pelo formulário para autenticar no Active Directory. Depois que a autenticação foi aprovada, por um tempo limitado, o firewall abriu algumas portas para o IP do qual a conexão de formulário da web se originou.

Eu gostaria de usar algo assim em meu cenário, pois isso forneceria segurança suficiente para meu aplicativo da web. Infelizmente não conheço a tecnologia. pilha para procurar ou os nomes bem estabelecidos para este tipo de autenticação de firewall.

Alguém pode me esclarecer sobre quais tecnologias eu preciso olhar?

Obrigado Bogdan

    
por bogdan 04.07.2013 / 16:56

2 respostas

0

Se você estiver usando o Linux para o seu firewall, veja iptables , que é como o firewall é implementado. A documentação do Shorewall apontará você na direção de [Dynamic Zones][1] .

Pode ser possível obter fail2ban para adicionar a entrada apropriada quando ela vir uma mensagem de sucesso de login em um arquivo de log.

No meu caso, eu uso autenticação por serviço:

  • Envio de SMTP e IMAP sempre exigem autenticação.
  • Os serviços da Web internos estão disponíveis por HTTPS com autenticação.
  • O proxy do Squid pode ser configurado com autenticação. (Atualmente disponível apenas localmente ou via VPN).

No seu caso, um proxy da Web com autenticação deve fornecer o acesso necessário. O Apache pode ser configurado para fazer isso com relativa facilidade.

    
por 05.07.2013 / 02:22
1

A sua ideia tem uma falha, implica que os IPs identificam os usuários de forma única, mas não o fazem.

Acho que o que você está tentando descrever é um firewall de aplicativo da web isso fará alguma passagem através da autenticação + proxy reverso. Pode também filtrar alguns ataques bem conhecidos dependendo das implementações, mas Em geral, seu plano está longe de ser sólido.

Você também pode considerar isolar seu aplicativo em uma sandbox. Nunca é uma boa ideia deixar uma máquina conscientemente vulnerável por aí, porque ela será explorada de maneiras que você não pensou.

    
por 04.07.2013 / 17:57

Tags

Icinga (nagios) ignorando verificações forçadas Faça do CentOS 6.x um dispositivo NAT de encaminhamento de porta