Автор Тема: RepView Defender  (Прочитано 4730 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн gigauser

  • Статский советник
  • *****
  • Сообщений: 976
  • Репутация: 20
  • Banned
RepView Defender
« : ёоЭм 10, 2008, 10:03:38 pm »
Привет всем.

   Задача следующая:   
       
   Есть:
Сеть с поднятой AD. 2 приложения, соединяющиеся по telnet'у (порт 23) - RepView.
Никакой SAMBы. Приложения изменять нельзя.
       
 Необходимо:
своять что-нибудь клиент-серверное по защите трафика между приложениями. Сервер должен иметь возможность выбирать юзверей, способных коннектится к нему. Никаких доп. логинов/паролей - все средствами NTLM-авторизации. Траффик должен шифроваться стойким алгоритмом, в принципе подойдет и протокол SSL.

 Вопрос: не подкинете материалы, как с локальной машины керберос-сертификат, выданный домен-контроллером? Как лучше и надежнее организовать это все? туннелинг? экранирование? виртуальная сетевая?
       
   Язык: ява/си-кресты.   
       
Учту любые ваши предложения/пожелания. Заранее спасибо ответившим, если будут полезные ссылки, буду признателен.
 
Banned

Оффлайн aks

  • Администратор
  • Тайный советник
  • *****
  • Сообщений: 2836
  • Репутация: 74
  • Пол: Мужской
Re: RepView Defender
« Ответ #1 : ёоЭм 11, 2008, 06:42:41 am »
Не было бы требования - "все средствами NTLM-авторизации", то самое просто было бы прокинуть SSH тунель с ключиков взятым из выдаваемого файла и через него соеденяться. )

Оффлайн gigauser

  • Статский советник
  • *****
  • Сообщений: 976
  • Репутация: 20
  • Banned
Re: RepView Defender
« Ответ #2 : ёоЭм 11, 2008, 03:57:32 pm »
Не было бы требования - "все средствами NTLM-авторизации"
а почему оно мешает?
« Последнее редактирование: ёоЭм 11, 2008, 04:05:05 pm от gigauser »
Banned

Оффлайн aks

  • Администратор
  • Тайный советник
  • *****
  • Сообщений: 2836
  • Репутация: 74
  • Пол: Мужской
Re: RepView Defender
« Ответ #3 : ёоЭм 11, 2008, 05:16:26 pm »
Ну смотри если ты сумеешь как то прикрутить логин по SSH с помощью виндовой системы авторизации - то попробуй. Просто тогда это уже не такое очевидное решение, требующее изучения и кодирования. )

Оффлайн gigauser

  • Статский советник
  • *****
  • Сообщений: 976
  • Репутация: 20
  • Banned
Re: RepView Defender
« Ответ #4 : ёоЭм 11, 2008, 06:42:27 pm »
если интересно, есть кое-что по такой прикрутке
Banned

Оффлайн gigauser

  • Статский советник
  • *****
  • Сообщений: 976
  • Репутация: 20
  • Banned
Re: RepView Defender
« Ответ #5 : ґХЪРСам 25, 2008, 12:08:33 am »
Дошли-таки руки до клиента...
В общем, сделано так, как предлагал aks: в jar-ике 2 конфигурационных файла, один отвечает за прием подключений, другой за прокидывание к ssh-серверу.

С NTLM решено было не заморачиваться, т.к. во-первых это NT-ориентированный протокол, а следовательно, во-вторых родные для ssh-серверов никсы ничего про него не знают.

Функционал минимальный - принимаем соединение по локальному порту, автоматом соединяемся с ssh.

Еще одна причина, по которой отошел от NTLM и LDAP - требование к универсальности клиента, т.е. если на любом ssh-сервере настроена pubkey-авторизация, то с ним можно соединиться.

Особо не тестил, одно замечание - в силу особенностей Java, соединение с клиентом будет потеряно, только, когда сервер пошлет нам какое-нить сообщение.

Использовалась реализация trilead-ssh2, 400Кб не влезает - джарик здесь

П.С. надо писать серверную часть, хотелось бы на Java, aks, посоветуешь что-нить?
Banned

Оффлайн aks

  • Администратор
  • Тайный советник
  • *****
  • Сообщений: 2836
  • Репутация: 74
  • Пол: Мужской
Re: RepView Defender
« Ответ #6 : ґХЪРСам 25, 2008, 06:02:34 am »
Смотря конеркетно что ты хочешь видеть на серверной части. Насколько я понял из задачи и учитывая то что решил остановиться только на SSH, достаточно:
1) обычного ssh сервера (стандартного) который пускает заведеных на сервере юзеров.
2) серверной программы которую надо защитить, запущенной на этом же сервере, но с портом доступным только изнутри (например настройками файрвола)
3) SSH подключения к тому серверу с одновременным тунеллированием до запущенной на сервере программы и подключения твоей клиентской программы к  этому SSH туннелю.

Потому не очень понятно что же тебе надо на сервере писать.

Оффлайн gigauser

  • Статский советник
  • *****
  • Сообщений: 976
  • Репутация: 20
  • Banned
Re: RepView Defender
« Ответ #7 : ґХЪРСам 25, 2008, 12:39:16 pm »
да там все просто - висит себе tcp-сервер, нужно подключиться локально к нему и по ssh передать принятое клиенту.
Вопрос в том, можно ли на Java заблокировать порт, занятый другим приложением? (допустим, что фаер использовать не получится)

SSH-Сервер нужно совсем немного модифицировать, чтоб он функцию tcp-клиента выполнял и вручную эти данные выбрасывал, то бишь вот этот участок цепочки
<-------------SSH-Server<------------< RepView Server

Нагуглил пока только 2 вещи - Maveric и Jscape, обе платные(
Banned