Strongswan VTI
Při sestavovaní IPSec tunnelu můžeme buď mezi dvěma hosty udělat GRE nebo jiný IPIP tunnel a ten balit do IPSec. Zde pak můžeme směrovat provoz který chcecme přes tunnel odbavit. Ale spíše se stekáme s plochým IPSec kdy máme na každé straně zadány sítě/hosty kteří se mají přes tunnel poslat. A pokud provoz teto mapě/politice vyhoví tak se zabalí do IPSec a pošle druhé straně. V tomto případě je problém s debugem provozu protože v určité fázi už vidíme provo zašifrován. Řešením je VTI což je virtuální interface. Z kterého a do kterého budeme provoz směrovat stejně jako kamkoliv a přitom politiky budou nastaveny stejně jako u plocheho IPSec (druhá strana o našem VTI ani nemusí tušit). Tímto si jsme schopni zlepšit podmínky pro debug IPSec provozu a stejně tak zjednodušit firewall pravidla (kdy nám tunnelovaný provoz končí v nějakém jednotném interface).
Integrace Squid proxy s AD
Návod na integraci proxy s Active Directory. Klienti se budou proti proxy ověřovat pomocí NTLM + Kerbera a nebo pomocí zadaní jména a hesla. Dále je řešeno i omezování klientů na základě skupin vyčitaných z AD přes LDAP. Toto omezování provádí SquidGuard.
Použití SmartCard
Pokud používáte pro přihlašováni/podpisování nějaký certifikát nebo klič. Jistě Vás již napadlo že je to vlastně jen soubor chráněny heslem a že tedy může byt klidně odcizen a zneužit. A když například ztratíte notebook s takovým souborem nemůžete si byt jisti že se nedostal někam kam neměl. V horši variantě muže byt počítač napaden a útočník má jak Váš certfikat tak heslo k němu. A že by bylo tedy fajn oddělit tyto citlivé přihlašovací od počítače a nosit je sebou nebo je mít zamknuté třeba v šuplíku. A přesně tuto možnost nám dávají eTokeny nebo SmartCard. Do těchto zařízení lze nahrát certifikát. V zařízeni je pak chráněn tento certifikát PINem. A co je hlavní certifikát (tedy jeho privátní část) již ze zařízení nedostanete. A crypto operace (podpisování, přihlašování) se provádí přímo v tokenu.