Страница 6 из 6

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 20 фев 2012, 14:06
Андрей Добров
Тут одни иностранные граждане несколько зазевались и дали доступ к ФортиГате и ФортиМанагер на виртуальной машине. Сам не пробовал.

Если кому интересно.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 21 фев 2012, 12:58
Dimerson
если не секрет что с этой виртуалкой делать ?

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 22 фев 2012, 10:57
Андрей Добров
Dimerson писал(а):если не секрет что с этой виртуалкой делать ?


Я предполагаю должно быть типа фортигате, можно взглянуть на дему для фортигате на сайте компании. Как утверждается должно соответствовать, только без аппаратного ускорения которое имеется в железках.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 22 фев 2012, 12:34
Dimerson
интересно какие там процы ? у цискорутеров процы не особо шустрые - они даже несколько лет назад перестали это публиковать :)

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 02 мар 2012, 11:59
Dimerson
Хотел в продолжение темы спросить у бывалых . Продолжаю допиливать бесплатную альтернативу BM в оставе: squid (+squidtrust), fwbuilder (вместо SuSE_firewall. в fwbuilder делается статик нат именно такой как в BM), OpenVPN. Вопрос по OpenVPN. Использует ли кто-нибудь в OpenVPN для хранения клиентских ключей
токены (eToken итд) ?

С файловыми ключами все ок. Хотел залить RSA ключ на токен. Содал значится ключи клиента c помощью build-key-pkcs12 .
И через утили еТокена пробовал заливать в токен файл .p12 но не хочет - выдает ошибку (у меня правда етокен рантайм старый - не pki клиент).

Хочу попробовать работать вообще через OpenSC - я так понял там свой формат криптоконтейнера и своя либа через которую криптография смарткарт и живет хотя в работе используются виндовые драйвера для смарткарт.

Вопрос бывалым - пользует ли кто-нибудь такую аутентификацию в OpenVPN (на стороне виндового впн клиента только) ?

Пока в сравнении OpenVPN и BM VPN даже не знаю что лучше - и то и то имхо юзабельно вполне.

upd: с токенами все ок - главное чтоб токен позволял держкать ключи нужного размера. с eToken72K и RuToken S ключ 2048 ложится. Регается в вендовом личном хранилище сертификатов. И позволяет дергать их из OpenVPN по cryptoapicert THUMB:
при этом вылазит штатный гуй ввода пина (для eToken это PKI CLient , для RuToken - RuToken CSP).
Если работать через

pkcs11-providers ..
и
pkcs11-id ..

то требуется ввод пинкода на токен в текстовом режиме -
OpenVPNGUI 1 и 2 обламываются (существует правда патченный openvpn gui 1.0.3 с поддержкой PKCS11).

В общем допиливается нормально. Привет Суперлюмину !

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 02 мар 2012, 17:01
skoltogyan
использем openvpn

прикрутил и натсроил
- к openvpn коннектятся вводя имя и пароль
- имя и пароль openvpn берет из eDIR (по LDAP)
- после логина чел получает правила iptabl именно для своего логина
- добавлять/убирать пользователей, включать и исключать из прав доступа(по направлениям ) - все не выходя из C1 или iManager

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 мар 2012, 07:41
Dimerson
skoltogyan писал(а):использем openvpn

прикрутил и натсроил
- к openvpn коннектятся вводя имя и пароль
- имя и пароль openvpn берет из eDIR (по LDAP)
- после логина чел получает правила iptabl именно для своего логина- добавлять/убирать пользователей, включать и исключать из прав доступа(по направлениям ) - все не выходя из C1 или iManager


если /usr/sbin/openvpn добавляет динамически правила iptables то он должен быть запущен от рута ?
или есть нарезанные правила для определенных сабнетов и пользователь лишь попадает в нужный сабнет ...
имхо затруднительно дергать iptables от nobody:nobody ....

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 09 мар 2012, 16:50
skoltogyan
да, вы правы. от рута и в это минус

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 27 сен 2012, 16:56
sovchik
прочитав весь топик так и не понял - что же всё таки советует народ в качестве замены border manager-у при отказе от NetWare в пользу SLESа ?

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 28 сен 2012, 06:16
Dimerson
единого мнения нет. Проще провести опрос :)

В качестве панацеи предлагался суперлюмин.

Можно то же самое сделать на опонсорс-продуктах:

По большому счету
BM это:
Proxy
Firewall
VPN

что реализуется как угодно (вариантов тьма)

У меня работает на:
Squid+SquidTrust
FWBuilder
OpenVPN (для автоизации используются eToken'ы)

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 28 сен 2012, 08:04
sovchik
Dimerson писал(а):...
В качестве панацеи предлагался суперлюмин.
...

что-то из этого топика следует, что его не особо жалуют.

Dimerson писал(а):...
У меня работает на:
Squid+SquidTrust
FWBuilder
OpenVPN (для автоизации используются eToken'ы)

не поделитесь опытом реализации?
мне нужно только две группы юзверей выпустить в интернет с разными фильтрами: одни начальники - почти без фильтров, ну и остальные - с урезанными всякими аськами, одноклассниками и так далее.
ну и не все юзвери в эти группы входят - есть и без интернета народ.

Re: решил поиграться с суперлюимином

СообщениеДобавлено: 28 сен 2012, 08:52
Dimerson
если надо привязываться к группам Novell читайте тут на предмет SquidTrust ....