| View previous topic :: View next topic |
| Author |
Message |
flammenflitzer
Advocate
Joined: 25 Nov 2003
Posts: 3541
Location: Berlin
|
 Posted: Sun Jun 19, 2005 6:22 am Post subject: Anwendungsbasierte Firewall |
 |
|
Hallo
Ich habe mit shorewall die Portfreigabe konfiguriert. Gibt es eine Möglichkeit, die Regeln zu spezifizieren, indem man festlegt, welche Anwendungen auf welche Ports zugreifen dürfen, so daß alle nicht definierten Anwendungen nicht ins Internet gehen können. |
|
| Back to top |
|
 |
@4u
Apprentice
Joined: 13 Nov 2004
Posts: 160
|
| Posted: Sun Jun 19, 2005 9:41 am Post subject: Re: Anwendungsbasierte Firewall |
|
|
| flammenflitzer wrote: | Hallo
Ich habe mit shorewall die Portfreigabe konfiguriert. Gibt es eine Möglichkeit, die Regeln zu spezifizieren, indem man festlegt, welche Anwendungen auf welche Ports zugreifen dürfen, so daß alle nicht definierten Anwendungen nicht ins Internet gehen können. |
iptables (shorewall) ist eine Level 4 Fireall (nach OSI-Referenzmodell) - sprich, du kannst maximal bis zu TCP/UDP Einstellungen vornehmen, was sich entsprechend in Port-Angaben wiederspiegelt.
Anscheinend gibt es Bemühungen, die aber eigentlich eher unsinnig erscheinen, unter Linux eine Level 7 Firewall zu ermöglichen, womit dann entsprechend anwendungsbezogene Regeln getroffen werden könnten. Weitere Informationen findest du hier: http://l7-filter.sourceforge.net/
_________________
Alle Angaben ohne Gewähr - Korrekturen sind gern willkommen |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Sun Jun 19, 2005 11:19 am Post subject: |
|
|
Hi,
wenn es eine hostbasierte Firewall ist (d.h. auf dem gleichen Rechner läuft auf dem auch die Anwendungen laufen) dann kannst du die Regeln z.B. anhand der Prozeß-ID erweitern.
Dann darf auf Port 53 nur der Prozeß 'dnsmasq' bzw. halt die PID von dnsmasq eine Verbindung nach außen aufbauen, auf Port 123 nur ntpd usw.
Wenn deine Firewall allerdings auf einer seperaten Maschine läuft entfällt diese Möglichkeit - und l7filter ist
a) vergleichsweise sehr ressourcenhungrig
b) schwer wirklich richtig zu konfigurieren
Spätestens bei über https nach außen getunnelten Verbindungen siehst du recht schnell alt aus.
Eine weitere Möglichkeit für ein Filtern oberhalb von L4 sind ALG, z.B.
Squid - http/https
frox - ftp
p3scan - pop3/imap
Diverse Anwendungen können auch mit einem Socksserver zusammenarbeiten (dante).
HTH
T.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself
Last edited by think4urs11 on Sun Jun 19, 2005 1:05 pm; edited 1 time in total |
|
| Back to top |
|
|
SinoTech
Advocate
Joined: 20 Mar 2004
Posts: 2579
Location: Neunkirchen / Saarland / Germany
|
| Posted: Sun Jun 19, 2005 11:36 am Post subject: |
|
|
Es gibt bei iptables Module mit denen du regeln basierend auf Anwendungen erstellen kannst.
Bsp. um "wget" durchzulassen:
| Code: |
IPTABLES='/sbin/iptables'
$IPTABLES -A OUTPUT -o eth0 -p tcp -m owner --cmd-owner wget -j ACCEPT
|
(Dazu musst iptables mit dem USE-Flag "extensions" mergen).
Mfg
Sino |
|
| Back to top |
|
|
sirro
Veteran
Joined: 20 Jul 2003
Posts: 1472
Location: aachen.nrw.de.eu
|
| Posted: Sun Jun 19, 2005 11:39 am Post subject: |
|
|
| SinoTech wrote: | | Bsp. um "wget" durchzulassen |
Ich kenne mich mit iptables nicht so gut aus, aber das wuerde auch bedeuten, dass jedes Programm, dass sich wget nennt durchkommt, oder? Ein absoluter Pfad ist ja nirgends zu sehen. |
|
| Back to top |
|
|
SinoTech
Advocate
Joined: 20 Mar 2004
Posts: 2579
Location: Neunkirchen / Saarland / Germany
|
| Posted: Sun Jun 19, 2005 12:01 pm Post subject: |
|
|
| sirro wrote: | | SinoTech wrote: | | Bsp. um "wget" durchzulassen |
Ich kenne mich mit iptables nicht so gut aus, aber das wuerde auch bedeuten, dass jedes Programm, dass sich wget nennt durchkommt, oder? Ein absoluter Pfad ist ja nirgends zu sehen. |
Ist anzunehmen. Aber ich denke mal du kannst da auch den absoluten Dateinamen angeben (Also mit Pfad). Habe mich damit nicht wirklich beschäftigt. War halt bisserl Spielerei weil ich nichts besseres zu tun hatte  .
Mfg
Sino
EDIT:
Jep, wie nicht anders zu erwarten kann man auch den absoluten Dateinamen angeben  . |
|
| Back to top |
|
|
sirro
Veteran
Joined: 20 Jul 2003
Posts: 1472
Location: aachen.nrw.de.eu
|
| Posted: Sun Jun 19, 2005 12:26 pm Post subject: |
|
|
| SinoTech wrote: | | Jep, wie nicht anders zu erwarten kann man auch den absoluten Dateinamen angeben . |
Ok, dann macht es auch mehr Sinn. |
|
| Back to top |
|
|
marc
Apprentice
Joined: 13 Jan 2003
Posts: 290
|
| Posted: Sun Jun 19, 2005 1:03 pm Post subject: |
|
|
Mit den NSA Patches geht es, nennt sich SE-Linux. Kann man im Gentoo Kernel aktivieren.
Es gibt auch ein Projekt das diese Erweiterung nutzt.
http://tuxguardian.sourceforge.net/
Ansonsten hier noch Dokumentation.
http://lsm.immunix.org/
http://www.nsa.gov/selinux/
Wie gut dieser Schutz ist weiß ich nicht.
Die IP-Tables Lösung ist auch gut, doch man sollte sich überlegen das hier kein Prüfsummentest durchgeführt wird. Das heißt, wenn das Binary durch ein anderes ersetzt wird mit dem selben Namen dann nützt dir das wenig.
Man sollte eine Prüfsumme von seinem System machen, vor jedem Update prüfen, dann updaten und neue Prüfsumme erstellen. Die kann man extern speichern, zB. auf Diskette, Stick o.ä.
http://www.pl-berichte.de/t_system/checksummen.html
Tripwire arbeitet so, doch es ist auf dem System installiert und somit (meiner Meinung) nicht sicher genug.
Ansonsten mal Google: Linux härten |
|
| Back to top |
|
|
sirro
Veteran
Joined: 20 Jul 2003
Posts: 1472
Location: aachen.nrw.de.eu
|
| Posted: Sun Jun 19, 2005 9:27 pm Post subject: |
|
|
| marc wrote: | | Die IP-Tables Lösung ist auch gut, doch man sollte sich überlegen das hier kein Prüfsummentest durchgeführt wird. Das heißt, wenn das Binary durch ein anderes ersetzt wird mit dem selben Namen dann nützt dir das wenig. |
Das gilt aber nur fuer User-beschreibbare Binaries.
Wenn ein Angreifer dein /usr/bin/wget mit einer anderen ueberschreiben kann, dann hast du eh ein Problem |
|
| Back to top |
|
|
flammenflitzer
Advocate
Joined: 25 Nov 2003
Posts: 3541
Location: Berlin
|
| Posted: Tue Jun 21, 2005 6:23 am Post subject: |
|
|
Wahrscheinlich wird das ewig dauern, bis das http://tuxguardian.sourceforge.net/ in Portage ist.
Unter Debian soll es demnächst verfügbar sein, da werde ich das mal ausprobieren |
|
| Back to top |
|
|
think4urs11
Bodhisattva
Joined: 25 Jun 2003
Posts: 6659
Location: above the cloud
|
| Posted: Tue Jun 21, 2005 9:19 am Post subject: |
|
|
tuxguardian liest sich gar nicht schlecht, im Prinzip sowas wie Zonealarm.
Aber genauso wie für ein gewisses OS aus Redmond bestehen auch hier ein paar ähnliche Probleme.
Soll heißen es wäre z.B. denkbar eine der zugelassenen Anwendungen wird über eine dritte ferngesteuert - das fängt das Ding nicht ab.
Was normalerweise nicht gehen (sollte) ist ein Abschalten der Firewall durch <böse Anwendung> da ja normalerweise kein Mensch mit root-Rechten im Internet surft o.ä.
Es ist relativ aufwendig zu konfigurieren und im Zweifelsfall sind nach OS-Upgrades erstmal 'x' Prüfsummen in der Konfig upzudaten.
Als zusätzlicher Schutz zu einer 'normalen' Firewall, einem Proxy usw. auf jeden Fall etwas das in einer security policy zumindest erwogen werden sollte.
_________________
Nothing is secure / Security is always a trade-off with usability / Do not assume anything / Trust no-one, nothing / Paranoia is your friend / Think for yourself |
|
| Back to top |
|
|
return13
Guru
Joined: 02 Feb 2004
Posts: 513
Location: Hamburg - Germany
|
|
| Back to top |
|
|
|
Deutsches Forum (German)
