LINUX.ORG.RU

OpenFWTK application firewall


0

0

OpenFWTK (Open Firewall ToolKit) - это межсетевой экран уровня приложений (application firewall), распространяемый по лицензии BSD.

По сравнению с другими решениями в области межсетевого экранирования OpenFWTK интересен тем, что он является полноценным фильтром уровня приложений, то есть полностью отсутствует «сквозное» взаимодействие через OpenFWTK между клиентским и серверным приложением. «Сквозное» взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1.

По сравнению с TIS FWTK, последняя версия 2.1 которого была выпущена в марте 1998 года, OpenFWTK обладает следующими новыми и улучшенными возможностями:

  • Поддерка SSO (Single Sign On) - единой точки доступа к защищаемым сервисам через механизм аутентификационных агентов (на настоящий момент реализована консоль "сильной" аутентификации для telnet-клиента), позволяющий использовать единую точку входа для приложений, для которых затруднена поддержка одноразовых паролей.
  • Поддержка NAC (Network Admission Control) для протокола HTTP — определение политик ограничений в зависимости от версии браузера;
  • Поддержка Content Filtering - фильтрации контента для протоколов http, smtp, ftp, pop3, nntp с использованием большого спектра внешних приложений через milter-интерфейс (включая spamassasin, dspam, большинство антивирусов и.т.д.);
  • Устранены проблемы с безопасностью взаимодействия с authsrv;
  • Обновлен набор поставляемых прокси серверов;
  • Новый, улучшенный API позволяет легче разрабатывать собственные прокси-серверы.

Из недостатков стоит отметить отсутствие хорошей документации (желающие приглашаются для написания автором проекта).

>>> Подробности

★★★★★

Проверено: svu ()

Re: OpenFWTK application firewall

Расскажите, а каково его практическое применение и преимущества?

DOKA ()

Re: OpenFWTK application firewall

А что в данном случае нужно понимать под SSO, если grep в исходниках по словам GSSAPI Kerberos ничего не дал?

mk ()
Ответ на: Re: OpenFWTK application firewall от DOKA

Re: OpenFWTK application firewall

Ну, как одно из очевидных преимуществ - это учет траффика по головам, а не по IP.

mk ()
Ответ на: Re: OpenFWTK application firewall от mk

Re: OpenFWTK application firewall

> А это не сам ли saper?

Нет, saper это другой человек.

> А что в данном случае нужно понимать под SSO, если grep в исходниках по словам GSSAPI Kerberos ничего не дал?

SSO != GSSAPI Kerberos, в тексте новости вроде написано про SSO или что то не понятно?

saper ★★★★★ ()
Ответ на: Re: OpenFWTK application firewall от saper

Re: OpenFWTK application firewall

Я не очень понял эту фразу в тексте новости, поэтому переспросил.

Как выглядит SSO через Kebreos - понятно. А как реализован SSO в данном случае? SQl база данных с паролями? Системный логин?

mk ()

Re: OpenFWTK application firewall

гуд! очень нужный проект.

>включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering)

это ASA-то новейший? :)) SPF и DPI уже как сто лет есть в пиксах и асах

dreamer ★★★★★ ()
Ответ на: Re: OpenFWTK application firewall от anonymous

Re: OpenFWTK application firewall

Вообще странный проект - много всего на C, этакий комбайн из проксей.

Кто-то тестировал его на качество/производительность ?

anonymous ()
Ответ на: Re: OpenFWTK application firewall от anonymous

Re: OpenFWTK application firewall

>>качество/производительность ?

Most of the development was sponsored by Eltex T.C.,
(later, ADVA Research Center), as core components of the
toolkit were used in their commercial firewall appliance
(Gadget, later ADVAGuard) and relicensed to OpenFWTK Development
Group under BSD-like terms.

И среди разработчиков знакомые лица:

Core team:
...
Alex Ott
Oleg Sapon
...
Authentication server:
...
Vladimir Ivanov
...

anonymous ()
Ответ на: Re: OpenFWTK application firewall от mk

Re: OpenFWTK application firewall

>Хотите, чтобы вам рассказали для чего нужен firewall?

Сходу не глядя не понятно что сие за штука. Какой-нибудь windows personal firewall - он тоже типа "уровня приложений", но вида "этому приложению можно ходить на такие хосты/порты, а тому - на сякие" (IMHO бесполезный почти костыль, хотя не исключаю, что кто-то имеет другой взгляд на вещи и может меня переубедить).

А это что за штука? Где почитать обзор? Или только в пакете с софтиной?

Dimai ()
Ответ на: Re: OpenFWTK application firewall от Dimai

Re: OpenFWTK application firewall

Это такая штука, которая на роутере может не по портам закрывать трафик, а анализируя содержимое пакетов.

Например - закрыть получение по FTP файлов iso, и т.д.

anonymous ()

Re: OpenFWTK application firewall

Да это простой способ следить за пользователями. Всё, включая пароли на ssh (через telnet-gw) окажутся в логах.

anonymous ()
Ответ на: Re: OpenFWTK application firewall от anonymous

Re: OpenFWTK application firewall

Пароли на ssh в логах не останутся, не надо рассказывать сказки

anonymous ()

Re: OpenFWTK application firewall

а какая у сея творения пропускная способность?а гуя для лаймеров аля чекпойнт у нее есть?а какое кол-во апликух он поддерживает?

anonymous ()
Ответ на: Re: OpenFWTK application firewall от ZANSWER

Re: OpenFWTK application firewall

> Это всё классно, а документация по нему где??

На opennet.ru есть такой ответ от разработчика: "Плохо пока с документацией. То есть она существует в виде набора man pages, там все описано, но ничего в стиле howto и step by step guide пока нету :-( То есть надо изучить, как настраивается TIS fwtk, а потом почитать в man pages отличия. Про общий формат конфигурации написано в мане по netperm-table. "

saper ★★★★★ ()

Re: OpenFWTK application firewall

Подскажите знающие люди, а с помощью этой штуки можно считать трафик, конкретно не по ip/mac а по пользователям?

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.