[linux-l] Firewall ja oder nein?

Benjamin Schieder blindcoder at scavenger.homeip.net
Mi Jan 11 17:43:19 CET 2006 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Wilhelm Dolle wrote:
> Hallo zusammen,
> 
> Benjamin Schieder schrieb:
> 
>> Dann ist da noch die Sache der ausgehenden Firewall. Also welche Dienste
>> im Netz angesprochen werden koennen und welche Programme darauf zugreifen
>> duerfen. Gibts sowas ueberhaupt fuer Linux? Dass ich jedes Programm, das
>> aufs Netzwerk zugreifen will erstmal whitelisten muss? Sinnvoll zum
>> Beispiel fuer nach Hause telefonierende Programme (Acrobat 7).
> 
> 
> Aber klar geht das mit der ausgehenden Firewall unter Linux. Technisch
> gesehen zumindest ;) Wenn es Dir reicht den Dienst den ein Programm auf
> einem entfernten Rechner erreichen moechtest anhand seiner Portnummer zu
> identifizieren ist iptables Dein Freund.
> 
> Grob gesagt nutzt Du dann einfach den Owner-Match in der OUTPUT-Kette:
> 
>  $IPTABLES -A OUTPUT -m owner --uid-owner 501 -p tcp --dport 22 ...
> 
> Kann man auch noch auf bestimmte Gruppen (--gid-owner), Prozesse
> (--pid-owner), Sitzungen (--sid-owner) und Kommandos eingrenzen
> (--cmd-owner ssh) und natuerlich mit weiteren Bedingungen kombinieren.
> Einige der Funktionen sind auf Mehrprozessorsystemen noch nicht stabil.

Ja, das hab ich waehrend der Programmierung von UTA Dragon (Useful Traffic
Accounting Dragon, jedenfalls fuer mich useful :) ) gemerkt. Bin dann doch auf
- --comment und manuelles parsing von /proc/net/tcp,udp,tcp6,udp6 ausgewichen. Das
geht ohne Kernel patch und auf Mehrprozessorsystemen :)

> Man koennte jetzt darueber sinnieren ob eine Firewall auf dem gleichen
> Rechner wie ein potentielles "Schadprogramm" ueberhaupt Sinn macht oder
> ob man entfernte Dienste an Ports erkennt ... :)

Ich denke es ist auf jeden Fall besser als gar nichts.

> Btw. iptables kann ja auch in den payload von Paketen reinsehen wenn man
> mag :)

Hmm... LD_PRELOAD library die sich wie transconnect um connect(2) wickelt und
wie die ganzen Windows Firewalls jedes Programm auf eine Whitelist setzen muss
gibts wohl noch nicht, oder?

Gruesse,
	Benjamin

- --
Benjamin 'blindCoder' Schieder
Registered Linux User #289529: http://counter.li.org
finger blindcoder at scavenger.homeip.net | gpg --import
- --
/lusr/bin/brain: received signal: SIGIDIOT
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.0 (GNU/Linux)

iD8DBQFDxTWbr0OTeImXvg8RAqjXAKDgzgVA6JGOuH6IFpEyOXY6iy+c+ACfYgqT
Wh3JRiTLGgAI1Y5sU4DcbpQ=
=k3hH
-----END PGP SIGNATURE-----

Mehr Informationen über die Mailingliste linux-l