LINUX.ORG.RU

OpenFWTK application firewall


0

0

OpenFWTK (Open Firewall ToolKit) - это межсетевой экран уровня приложений (application firewall), распространяемый по лицензии BSD.

По сравнению с другими решениями в области межсетевого экранирования OpenFWTK интересен тем, что он является полноценным фильтром уровня приложений, то есть полностью отсутствует «сквозное» взаимодействие через OpenFWTK между клиентским и серверным приложением. «Сквозное» взаимодействие есть в большинстве популярных технологий для межсетевых экранов, включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering), реализованной во многих межсетевых экранах, включая NetFilter/Iptables, IPFilter, Cisco PIX, CheckPoint Firewall-1.

По сравнению с TIS FWTK, последняя версия 2.1 которого была выпущена в марте 1998 года, OpenFWTK обладает следующими новыми и улучшенными возможностями:

  • Поддерка SSO (Single Sign On) - единой точки доступа к защищаемым сервисам через механизм аутентификационных агентов (на настоящий момент реализована консоль "сильной" аутентификации для telnet-клиента), позволяющий использовать единую точку входа для приложений, для которых затруднена поддержка одноразовых паролей.
  • Поддержка NAC (Network Admission Control) для протокола HTTP — определение политик ограничений в зависимости от версии браузера;
  • Поддержка Content Filtering - фильтрации контента для протоколов http, smtp, ftp, pop3, nntp с использованием большого спектра внешних приложений через milter-интерфейс (включая spamassasin, dspam, большинство антивирусов и.т.д.);
  • Устранены проблемы с безопасностью взаимодействия с authsrv;
  • Обновлен набор поставляемых прокси серверов;
  • Новый, улучшенный API позволяет легче разрабатывать собственные прокси-серверы.

Из недостатков стоит отметить отсутствие хорошей документации (желающие приглашаются для написания автором проекта).

>>> Подробности

★★★★★

Проверено: svu ()

А что в данном случае нужно понимать под SSO, если grep в исходниках по словам GSSAPI Kerberos ничего не дал?

mk
()
Ответ на: комментарий от DOKA

Ну, как одно из очевидных преимуществ - это учет траффика по головам, а не по IP.

mk
()
Ответ на: комментарий от mk

> А это не сам ли saper?

Нет, saper это другой человек.

> А что в данном случае нужно понимать под SSO, если grep в исходниках по словам GSSAPI Kerberos ничего не дал?

SSO != GSSAPI Kerberos, в тексте новости вроде написано про SSO или что то не понятно?

saper ★★★★★
() автор топика
Ответ на: комментарий от saper

Я не очень понял эту фразу в тексте новости, поэтому переспросил.

Как выглядит SSO через Kebreos - понятно. А как реализован SSO в данном случае? SQl база данных с паролями? Системный логин?

mk
()

гуд! очень нужный проект.

>включая DPI (Deep Packet Inspection), реализованной в новейшем Cisco ASA и SPF (Stateful Packet Filtering)

это ASA-то новейший? :)) SPF и DPI уже как сто лет есть в пиксах и асах

dreamer ★★★★★
()
Ответ на: комментарий от anonymous

Вообще странный проект - много всего на C, этакий комбайн из проксей.

Кто-то тестировал его на качество/производительность ?

anonymous
()
Ответ на: комментарий от anonymous

>>качество/производительность ?

Most of the development was sponsored by Eltex T.C.,
(later, ADVA Research Center), as core components of the
toolkit were used in their commercial firewall appliance
(Gadget, later ADVAGuard) and relicensed to OpenFWTK Development
Group under BSD-like terms.

И среди разработчиков знакомые лица:

Core team:
...
Alex Ott
Oleg Sapon
...
Authentication server:
...
Vladimir Ivanov
...

anonymous
()
Ответ на: комментарий от mk

>Хотите, чтобы вам рассказали для чего нужен firewall?

Сходу не глядя не понятно что сие за штука. Какой-нибудь windows personal firewall - он тоже типа "уровня приложений", но вида "этому приложению можно ходить на такие хосты/порты, а тому - на сякие" (IMHO бесполезный почти костыль, хотя не исключаю, что кто-то имеет другой взгляд на вещи и может меня переубедить).

А это что за штука? Где почитать обзор? Или только в пакете с софтиной?

Dimai
()
Ответ на: комментарий от Dimai

Это такая штука, которая на роутере может не по портам закрывать трафик, а анализируя содержимое пакетов.

Например - закрыть получение по FTP файлов iso, и т.д.

anonymous
()

Да это простой способ следить за пользователями. Всё, включая пароли на ssh (через telnet-gw) окажутся в логах.

anonymous
()
Ответ на: комментарий от anonymous

Пароли на ssh в логах не останутся, не надо рассказывать сказки

anonymous
()

а какая у сея творения пропускная способность?а гуя для лаймеров аля чекпойнт у нее есть?а какое кол-во апликух он поддерживает?

anonymous
()
Ответ на: комментарий от ZANSWER

> Это всё классно, а документация по нему где??

На opennet.ru есть такой ответ от разработчика: "Плохо пока с документацией. То есть она существует в виде набора man pages, там все описано, но ничего в стиле howto и step by step guide пока нету :-( То есть надо изучить, как настраивается TIS fwtk, а потом почитать в man pages отличия. Про общий формат конфигурации написано в мане по netperm-table. "

saper ★★★★★
() автор топика

Подскажите знающие люди, а с помощью этой штуки можно считать трафик, конкретно не по ip/mac а по пользователям?

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.