Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

identity based firewalling ?

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
vittoz



Registrato: 22/07/15 17:50
Messaggi: 4

MessaggioInviato: Mer Lug 22, 2015 6:44 pm    Oggetto: identity based firewalling ? Rispondi citando

Ciao a tutti.
Chiedo subito scusa per una domanda che temo essere sconsiderata.
Sto cercando di capire se sia possibile realizzare una logica di firewalling (IPTables) e web filtering (Squid) che dipenda dall (profilo) utente che esegue la richiesta. Per utente intendo uno user del captive portal, per esempio. Non so se vi siano altre possibilità.

Ho fatto alcune ricerche sul forum ma forse no utiizzo le keyword giuste.

Grazie per ogni consiglio!
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Lug 23, 2015 1:18 pm    Oggetto: Rispondi citando

Tramite RADIUS, potresti assegnare VLAN diverse alle varie tipologie di utente, ognuna con regole di firewall diverse.
Però devi usare 802.1x ...
Top
Profilo Invia messaggio privato
vittoz



Registrato: 22/07/15 17:50
Messaggi: 4

MessaggioInviato: Gio Lug 23, 2015 2:19 pm    Oggetto: Rispondi citando

Grazie del suggerimento !

E' una tua ipotesi basata su conoscenze teoriche oppure sai che funziona di certo anche con ZeroShell?

Immagino che 802.1x abbia la capacità di assegnare alla IF del client registrante un IP +i VLAN-tag + config di rete e che tale tupla non possa essere modificato allo scopo di fare "identity spoofing" Smile. Sbagiio?

Ho letto di 802.1x nel contesto dgli AP WIFI, ma penso che gestire dei client cablati sia equivalente, giusto?

Posso assumere che in ZS NON vi siano metodi più user-friendly, vero?
Grazie ancora!
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Lug 30, 2015 2:20 pm    Oggetto: Rispondi citando

Per i client cablati il discorso è analogo, e comunque serve che lo switch a cui si connette l'utente sia 802.1x-enabled. Altrimenti, come hai intuito, è banale aggirare la protezione.
Io ho fatto qualche prova circa 5 anni fa, ma poi in ufficio non hanno voluto adottare 802.1x e quindi non sono andato avanti, ma il supporto in ZS c'è.

In pratica, con 802.1x lo switch (detto NAS, nella terminologia RADIUS), "attacca" il cavo di rete dell'utente alla sola VLAN che gli viene segnalata dal server RADIUS, impedendo contemporaneamente l'accesso alle altre.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it