Какая технология. требуется для создания брандмауэра, который динамически открывает порты после аутентификации пользователей через веб-форму в Active Directory?
Мне нужно открыть через Интернет небезопасное внутреннее веб-приложение, которое нельзя изменить, чтобы сделать его более безопасным. Наиболее распространенным решением этой проблемы является доступ к веб-приложению через VPN. К сожалению, в моей ситуации это невозможно, поэтому я пытаюсь найти другое решение.
В какой-то момент я столкнулся с работой с брандмауэрами, которые могли динамически открывать порты после того, как пользователи проходили аутентификацию через веб-форму. Форма находилась на веб-сайте, обслуживаемом устройством брандмауэра, и за кулисами брандмауэр использовал учетные данные, предоставленные в форме, для аутентификации в Active Directory. После того, как аутентификация прошла, брандмауэр в течение ограниченного времени открыл несколько портов для IP-адреса, с которого исходило соединение веб-формы.
Я хотел бы использовать что-то подобное в моем сценарии, поскольку это обеспечит достаточную безопасность для моего веб-приложения. К сожалению, я не знаю технологии. стек для поиска или хорошо известные имена для этого типа аутентификации брандмауэра.
Может ли кто-нибудь просветить меня, на какие технологии мне нужно взглянуть?
Спасибо Богдан
2 ответа
Если вы используете Linux для брандмауэра, посмотрите на iptables как реализован брандмауэр. Документация Shorewall укажет вам направление [Dynamic Zones][1],
Может быть возможно получить fail2ban добавить соответствующую запись, когда он видит сообщение об успешном входе в систему в лог-файле.
В моем случае я использую аутентификацию для каждой службы:
- Отправка SMTP и IMAP всегда требуют аутентификации.
- Внутренние веб-сервисы доступны через HTTPS с аутентификацией.
- Прокси Squid может быть настроен с аутентификацией. (В настоящее время доступно только локально или через VPN.)
В вашем случае веб-прокси с аутентификацией должен обеспечить необходимый доступ. Apache можно настроить, чтобы сделать это относительно легко.
У вашей идеи есть недостаток, он подразумевает, что IP-адреса однозначно идентифицируют пользователей, но это не так.
Я думаю, что вы пытаетесь описать это брандмауэр веб-приложения, который будет проходить через аутентификацию + обратное проксирование. Это также может отфильтровать пару известных атак в зависимости от реализаций, но в целом ваш план далеко не силен.
Вы также можете рассмотреть возможность изоляции вашего приложения в песочнице. Никогда не стоит оставлять заведомо уязвимую машину, потому что она будет эксплуатироваться такими способами, о которых вы не задумывались.