URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3792
[ Назад ]

Исходное сообщение
"application level firewall для linux "

Отправлено yuuum , 18-Май-08 21:44 
Привет всем!
кто-нибудь может подсказать, существует ли для линукса фаервол(с gui, для рабочей станции), к-ый бы оповещал юзера о том что, например, /usr/bin/stardict хочет инициировать соединение с example.org:80 tcp(разрешить|отклонить),т.е. я ищу фаервол(желательно обучаемый), контролирующий не только L3, L4, а также и процессы,инициирующие соединение.(аля zonealarm для windows).

Содержание

Сообщения в этом обсуждении
"application level firewall для linux "
Отправлено yuuum , 18-Май-08 21:46 
>Привет всем!
>кто-нибудь может подсказать, существует ли для линукса фаервол(с gui, для рабочей станции),
>к-ый бы оповещал юзера о том что, например, /usr/bin/stardict хочет инициировать
>соединение с example.org:80 tcp(разрешить|отклонить),т.е. я ищу фаервол(желательно обучаемый), контролирующий не только
>L3, L4, а также и процессы,инициирующие соединение.(аля zonealarm для windows).

упс, простите надо было написать в раздел "Открытые системы на рабочей станции".


"application level firewall для linux "
Отправлено angra , 19-Май-08 03:22 
Можно узнать зачем? Просто потому что "хочу как в винде"? iptables с соответствующим модулем умеет фильтровать по процессу, вот только к игрушкам вроде zonealarm это отношение имеет слабое. Есть конечно ряд графических конфигурялок для iptables, есть nufw для 2.6.18+ ядер, есть прозрачные прокси,  при желании на все это можно подвесить скрипты, вот только вопрос "зачем?" остается открытым.


"application level firewall для linux "
Отправлено yuuum , 19-Май-08 11:09 
>Можно узнать зачем? Просто потому что "хочу как в винде"? iptables с
>соответствующим модулем умеет фильтровать по процессу, вот только к игрушкам вроде
>zonealarm это отношение имеет слабое. Есть конечно ряд графических конфигурялок для
>iptables, есть nufw для 2.6.18+ ядер, есть прозрачные прокси,  при
>желании на все это можно подвесить скрипты, вот только вопрос "зачем?"
>остается открытым.

ммммм.. Вы думаете что ограничение на L3, L4 - это подлинная безопасность?
самое интересное это как раз узнать какой процесс инициирует соединение. я ни в коем случае не защищаю какой-нибудь зоналарм, но это действительно то что нужно на КОНЕЧНОЙ рабочей станции.
а гуи просто для удобства. Если /bin/bash побежит куда-то в инет(по стандартному принципу reverse shell), то об этом никто и не узнает, если это не мониторить.


"application level firewall для linux "
Отправлено angra , 20-Май-08 02:30 
>ммммм.. Вы думаете что ограничение на L3, L4 - это подлинная безопасность?

Безопасность это когда изначально все запрещено и определяется список разрешенного, причем определяется он квалифицированным администратором. А не когда в стиле виндовых игрушек вылетают сообщения о том кто и куда пытается коннектится и юзер жмет да/нет по наитию.
Кроме того ничто не мешает написать зловредное приложение выдающее себя за другое, причем как в винде так и в линуксе, и пользователь радостно кликнет на accept. Это по вашему безопасность?

>самое интересное это как раз узнать какой процесс инициирует соединение.

Используйте netstat или возможность логов в iptables

>а гуи просто для удобства. Если /bin/bash побежит куда-то в инет(по стандартному
>принципу reverse shell), то об этом никто и не узнает, если
>это не мониторить.

Сам /bin/bash не умеет работать с сетью. Если про произвольный процесс, то он просто никуда не побежит, если ему это не позволено, уткнется в firewall и либо сразу выдаст ошибку(действие REJECT) либо долго будет ждать таймаута(действие DROP). При желании можно написать простенький демон, который на основе логов iptables сообщит пользователю о такой попытке, можно даже дать ему возможность поменять правило и дать доступ приложению. Вот только лично мне на практике такое ни разу не было нужно.


"application level firewall для linux "
Отправлено yuuum , 20-Май-08 09:34 
>>ммммм.. Вы думаете что ограничение на L3, L4 - это подлинная безопасность?
>
>Безопасность это когда изначально все запрещено и определяется список разрешенного, причем определяется
>он квалифицированным администратором.

чтобы составить такой список нужна статистика, на основе к-ой я решу что и как. надо будет подумать как её получить.

>А не когда в стиле виндовых игрушек вылетают
>сообщения о том кто и куда пытается коннектится и юзер жмет
>да/нет по наитию.

что за отношение к НОРМАЛЬНОЙ работе с ПК??
Я программист и хорошо знаю TCP/IP, но при этом мне *удобнее* работать с гуи, *с приложениями такого типа*. Неужели нужно думать что каждый должен быть как вы, аскетом - "только командная строка"... с таким подходом вы наверное только ed пользуетесь, а vi - это же уже визуализация, да и вообще настоящие профи мыслят в 16ричной системе счисления!;)


"application level firewall для linux "
Отправлено angra , 22-Май-08 13:40 
>чтобы составить такой список нужна статистика, на основе к-ой я решу что
>и как. надо будет подумать как её получить.

Так и надо было изначально задавать вопрос. Вариантов в общем-то несколько
1. trafshow покажет вам в реальном времени что и куда/откуда коннектится, если конечно число коннектов вмешается на страничку, так как предназначена эта утилита для несколько другой задачи.
2. netstat покажет все установленные соединения в данный момент времени
3. tcpdump позволяет прослушивать всю сетевую активность имеет мощные фильтры и возможность писать лог
4. netfilter/iptables тоже умеют логировать все что на их уровне.
Ознакомьтесь и выберите по вкусу/задачам. Также если вам удобно поищите графические интерфейсы к этим програмам, по крайней мере к последним двум.


>[оверквотинг удален]
>>сообщения о том кто и куда пытается коннектится и юзер жмет
>>да/нет по наитию.
>
>что за отношение к НОРМАЛЬНОЙ работе с ПК??
>Я программист и хорошо знаю TCP/IP, но при этом мне *удобнее* работать
>с гуи, *с приложениями такого типа*. Неужели нужно думать что каждый
>должен быть как вы, аскетом - "только командная строка"... с таким
>подходом вы наверное только ed пользуетесь, а vi - это же
>уже визуализация, да и вообще настоящие профи мыслят в 16ричной системе
>счисления!;)

Какое отношение гуи имеет к обсуждаемому вопросу? Откуда вы взяли что я аскет и сижу в консоли? Другое дело, если вам нравится подход к построению фаерволов, используемый в виндовых программах, то используйте винду и эти программы. Никто вас насильно в мир линукса не тащит, но если идете добровольно, то будьте готовы к смене концепций. Вы бы еще для циски попросили "как в outpost" :)

P.S. Быстрый поиск по репозитарию дебиана не дал ничего похожего на ваше определение фаервола. Может потому что оно здесь никому не нужно, как не нужен far, tc, thebat и ряд других приложений.

P.P.S Почитайте доку по iptables на этом сайте, нестолько ради синтаксиса, сколько для понимания концепции построения firewall в линуксе


"application level firewall для linux "
Отправлено yuuum , 09-Июн-08 01:28 
для архива:
я нашёл таки, что искал:
TuxGuardian и Systrace
http://tuxguardian.sourceforge.net/screenshot.png
http://www.citi.umich.edu/u/provos/systrace/screenshot-troja...

попытка изменить мнение angra:
>Так и надо было изначально задавать вопрос. Вариантов в общем-то несколько
>1. trafshow покажет вам в реальном времени что и куда/откуда коннектится, если
>конечно число коннектов вмешается на страничку, так как предназначена эта утилита
>для несколько другой задачи.
>2. netstat покажет все установленные соединения в данный момент времени
>3. tcpdump позволяет прослушивать всю сетевую активность имеет мощные фильтры и возможность
>писать лог
>4. netfilter/iptables тоже умеют логировать все что на их уровне.
>Ознакомьтесь и выберите по вкусу/задачам. Также если вам удобно поищите графические интерфейсы
>к этим програмам, по крайней мере к последним двум.

Боюсь что с такими средствами как netstat, tcpdump, trafshow, iftop уйдёт невообразимое количество времени на построение грамотного списка... думаю вы и сами это понимали когда писали пост.

> Вы бы еще для циски попросили "как в outpost" :)

как оказалось, TuxGuardian и Systrace работают "как outpost" ... :)

>Другое дело, если вам нравится подход к построению фаерволов, используемый в виндовых программах, то
>используйте винду и эти программы.

Боюсь представить что же вы тогда думаете о разработчиках TuxGuardian и Systrace, бедалаги)

>Какое отношение гуи имеет к обсуждаемому вопросу?

я думаю что практически любой эксперт ИБ предпочтёт ГУИ для решения *именно этой* задачи,
в связи с озвученными выше трудностями.(мы говорим про workstation)

>Никто вас насильно в мир линукса не тащит, но если идете добровольно, то будьте готовы к смене концепций.

ЕЩЕ РАЗ: БЕЗОПАСНОСТЬ ИМЕННО НА 7 УРОВНЕ. Я бы на вашем месте сам пересмотрел концепции. Почему: Вы думаете что троян для линукса, работающий по принципу reverse shell, испугается ваших грозных правил для iptables. Это не так.
Почитайте доку по reverse shell на этом сайте - http://freeworld.thc.org/papers/fw-backd.htm, нестолько ради меня, сколько для понимания концепции построения firewall в любых ОС.

да и никто вас насильно в мир информационной безопасности не тянет.

>P.S. Быстрый поиск по репозитарию дебиана не дал ничего похожего на ваше
>определение фаервола. Может потому что оно здесь никому не нужно, как
>не нужен far, tc, thebat и ряд других приложений.
>

far = mc; tc = krusader, gnomecommander; thebat = thunderbird "и ряд других приложений"


"application level firewall для linux "
Отправлено pupkin_vasya , 22-Янв-10 18:50 
Понравилась ветка :) Прошло много времени с последнего поста. Если вы все это время работали с *nix, то вы, думаю, уже поняли о какой "концепции" вам пытались сказать. Признайтесь, вы поменяли свою точку зрения?

"application level firewall для linux "
Отправлено Mingan , 14-Июн-10 18:06 
Спасибо товарищу yuuum за внятный ответ, полностью согласен, и очень жаль что есть ещё недальновидные линуксоиды.

"application level firewall для linux "
Отправлено pupkin_vasya Жольнай Кирилл , 14-Июн-10 18:28 
>Спасибо товарищу yuuum за внятный ответ, полностью согласен, и очень жаль что
>есть ещё недальновидные линуксоиды.

Ну как вам сказать :) Вы же не будете на дачный домик ставить биометрические замки, когда у вас дырка в захудалом деревянном заборе. Так и тут. Есть несколько "ступеней безопасности", где переход на слеюующую ступень не имеет смысла, без выполнения требований на предыдущей. Отключаем ненужные серевые сервисы, настраиваем максимально безопасно оставшиейся (chroot, acl и т.п.), поднимаем фаервол (для десктопа уже редко когда необходимо), логируем трафик (ulog, tcdump), настраиваем MAC (SELinux, AppArmor и т.п.), вот теперь можно и за трафиком на 7ом уровне последить (Snort), а последующие ступени уже зависят от степени паранойи.


"application level firewall для linux "
Отправлено Иван , 03-Ноя-10 23:26 
Уважаемые товарищи !

Выше была упомянута некая 7-ми-уровневая "концепция" безопасности.
Хотелось бы почитать на эту тему что-то систематизированное,
особенно касательно рабочей станции под линукс. А то, как обычно, изучая информацию
в интернет, сталкиваешься с отсутствием системного подхода, т.е.
редко где можно встретить подробное изложение базовых основ безопасности,
начиная с анализа всех возможных угроз и заканчивая конкретными реализациями
решений по защите от этих угроз.

Также выше был пост:

>Ну как вам сказать :) Вы же не будете на дачный домик ставить биометрические замки, когда у вас дырка в захудалом деревянном заборе. Так и тут. Есть несколько "ступеней безопасности", где переход на слеюующую ступень не имеет смысла, без выполнения требований на предыдущей. Отключаем ненужные серевые сервисы, настраиваем максимально безопасно оставшиейся (chroot, acl и т.п.), поднимаем фаервол (для десктопа уже редко когда необходимо), логируем трафик (ulog, tcdump), настраиваем MAC (SELinux, AppArmor и т.п.), вот теперь можно и за трафиком на 7ом уровне последить (Snort), а последующие ступени уже зависят от степени паранойи.

Человек, вроде как знает, о чём пишет )))...правда не очень подробно (((

В общем, хотелось бы знать какие угрозы становятся актуальными при подключении
рабочей станции с линуксом к интернет и как с этими угрозами бороться. Т.е. каким образом "злоумышленник" вообще может подключиться к моему компу по сети (удалённый вход в систему, уязвимость в браузере, почтовом кленте, аське и т.п.). Или, например, каким образом "злоумышленник" может просмотреть мои личные данные, которые находятся в /home, опять-таки используя уязвимость в браузере или какой-либо другой программе, при условии, что авторизация через сеть запрещена. Как всего этого избежать ? Конечная цель - построить защищённую рабочую станцию с необходимым минимумом установленных служб и приложений для безопасной работы в интернет: просмотр web-сайтов, общение через icq, scype, совершение покупок в интернет-магазинах и т.д. и т.п. Заранее благодарю за ответы.


"application level firewall для linux "
Отправлено pupkin_vasya Жольнай Кирилл , 04-Ноя-10 10:02 
> Выше была упомянута некая 7-ми-уровневая "концепция" безопасности.

Да нет :) Я говорил, что после всех предварительных процедур можно и за трафиком последить на 7ом уровне модели сетевой модели OSI.

> Человек, вроде как знает, о чём пишет )))...правда не очень подробно (((

Я не специализируюсь на безопасности. Но несколько не самых сложных шагов обезопасит ваш ПК. Основные тезисы: угроза может внешняя (интернет) и внутренняя (физический доступ к пк). От внутренней угрозы вас спасет блокировка экрана (через 5 мин простоя), шифрование домашнего каталога. Если уж очень страшно, можно настроить AppArmor (мандатный контроль доступа, который не разрешит программам делать ничего лишнего, таким как skype, firefox и др сетевым приложениям).
От внешней - еще проще. Отключаем ненужные сетевые службы, посмотреть их можно sudo netstat -tunpl. Если какие-то службы необходимо оставить, настраиваем их. Например у sshd отключаем возможность логиниться по root. Далее к оставшимся службам можно ограничить доступ по ip c помощью firewall.
Ну и общие правила: хорошие пароли, частые обновления системы, не выполняем незнакомых скриптов, ставим софт из репозиториев или проверенных источников, tor для анонимности www-серфинга. Подробности по каждому из "шагов" вы легко найдете в гугле.
Стоит отметить, что система (*nix) поставленная со стандартными настройками, и так обеспечит достаточный для домашнего пользователя уровень безопасности.


"application level firewall для linux "
Отправлено Иван , 04-Ноя-10 12:30 
pupkin_vasya Жольнай Кирилл, спасибо за информацию, буду разбираться дальше )