форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Firewall и пакетные фильтры / Linux)
Изначальное сообщение		[ Отслеживать ]

Сообщения по теме

[Сортировка по времени | RSS]

1. "application level firewall для linux "	+/–
Сообщение от yuuum on 18-Май-08, 21:46
>Привет всем! >кто-нибудь может подсказать, существует ли для линукса фаервол(с gui, для рабочей станции), >к-ый бы оповещал юзера о том что, например, /usr/bin/stardict хочет инициировать >соединение с example.org:80 tcp(разрешить|отклонить),т.е. я ищу фаервол(желательно обучаемый), контролирующий не только >L3, L4, а также и процессы,инициирующие соединение.(аля zonealarm для windows). упс, простите надо было написать в раздел "Открытые системы на рабочей станции".
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "application level firewall для linux "	+/–
Сообщение от angra (ok) on 19-Май-08, 03:22
Можно узнать зачем? Просто потому что "хочу как в винде"? iptables с соответствующим модулем умеет фильтровать по процессу, вот только к игрушкам вроде zonealarm это отношение имеет слабое. Есть конечно ряд графических конфигурялок для iptables, есть nufw для 2.6.18+ ядер, есть прозрачные прокси,  при желании на все это можно подвесить скрипты, вот только вопрос "зачем?" остается открытым.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "application level firewall для linux "	+/–
	Сообщение от yuuum on 19-Май-08, 11:09
	>Можно узнать зачем? Просто потому что "хочу как в винде"? iptables с >соответствующим модулем умеет фильтровать по процессу, вот только к игрушкам вроде >zonealarm это отношение имеет слабое. Есть конечно ряд графических конфигурялок для >iptables, есть nufw для 2.6.18+ ядер, есть прозрачные прокси,  при >желании на все это можно подвесить скрипты, вот только вопрос "зачем?" >остается открытым. ммммм.. Вы думаете что ограничение на L3, L4 - это подлинная безопасность? самое интересное это как раз узнать какой процесс инициирует соединение. я ни в коем случае не защищаю какой-нибудь зоналарм, но это действительно то что нужно на КОНЕЧНОЙ рабочей станции. а гуи просто для удобства. Если /bin/bash побежит куда-то в инет(по стандартному принципу reverse shell), то об этом никто и не узнает, если это не мониторить.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "application level firewall для linux "	+/–
	Сообщение от angra (??) on 20-Май-08, 02:30
	>ммммм.. Вы думаете что ограничение на L3, L4 - это подлинная безопасность? Безопасность это когда изначально все запрещено и определяется список разрешенного, причем определяется он квалифицированным администратором. А не когда в стиле виндовых игрушек вылетают сообщения о том кто и куда пытается коннектится и юзер жмет да/нет по наитию. Кроме того ничто не мешает написать зловредное приложение выдающее себя за другое, причем как в винде так и в линуксе, и пользователь радостно кликнет на accept. Это по вашему безопасность? >самое интересное это как раз узнать какой процесс инициирует соединение. Используйте netstat или возможность логов в iptables >а гуи просто для удобства. Если /bin/bash побежит куда-то в инет(по стандартному >принципу reverse shell), то об этом никто и не узнает, если >это не мониторить. Сам /bin/bash не умеет работать с сетью. Если про произвольный процесс, то он просто никуда не побежит, если ему это не позволено, уткнется в firewall и либо сразу выдаст ошибку(действие REJECT) либо долго будет ждать таймаута(действие DROP). При желании можно написать простенький демон, который на основе логов iptables сообщит пользователю о такой попытке, можно даже дать ему возможность поменять правило и дать доступ приложению. Вот только лично мне на практике такое ни разу не было нужно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "application level firewall для linux "	+/–
	Сообщение от yuuum on 20-Май-08, 09:34
	>>ммммм.. Вы думаете что ограничение на L3, L4 - это подлинная безопасность? > >Безопасность это когда изначально все запрещено и определяется список разрешенного, причем определяется >он квалифицированным администратором. чтобы составить такой список нужна статистика, на основе к-ой я решу что и как. надо будет подумать как её получить. >А не когда в стиле виндовых игрушек вылетают >сообщения о том кто и куда пытается коннектится и юзер жмет >да/нет по наитию. что за отношение к НОРМАЛЬНОЙ работе с ПК?? Я программист и хорошо знаю TCP/IP, но при этом мне *удобнее* работать с гуи, *с приложениями такого типа*. Неужели нужно думать что каждый должен быть как вы, аскетом - "только командная строка"... с таким подходом вы наверное только ed пользуетесь, а vi - это же уже визуализация, да и вообще настоящие профи мыслят в 16ричной системе счисления!;)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "application level firewall для linux "	+/–
	Сообщение от angra (ok) on 22-Май-08, 13:40
	>чтобы составить такой список нужна статистика, на основе к-ой я решу что >и как. надо будет подумать как её получить. Так и надо было изначально задавать вопрос. Вариантов в общем-то несколько 1. trafshow покажет вам в реальном времени что и куда/откуда коннектится, если конечно число коннектов вмешается на страничку, так как предназначена эта утилита для несколько другой задачи. 2. netstat покажет все установленные соединения в данный момент времени 3. tcpdump позволяет прослушивать всю сетевую активность имеет мощные фильтры и возможность писать лог 4. netfilter/iptables тоже умеют логировать все что на их уровне. Ознакомьтесь и выберите по вкусу/задачам. Также если вам удобно поищите графические интерфейсы к этим програмам, по крайней мере к последним двум. >[оверквотинг удален] >>сообщения о том кто и куда пытается коннектится и юзер жмет >>да/нет по наитию. > >что за отношение к НОРМАЛЬНОЙ работе с ПК?? >Я программист и хорошо знаю TCP/IP, но при этом мне *удобнее* работать >с гуи, *с приложениями такого типа*. Неужели нужно думать что каждый >должен быть как вы, аскетом - "только командная строка"... с таким >подходом вы наверное только ed пользуетесь, а vi - это же >уже визуализация, да и вообще настоящие профи мыслят в 16ричной системе >счисления!;) Какое отношение гуи имеет к обсуждаемому вопросу? Откуда вы взяли что я аскет и сижу в консоли? Другое дело, если вам нравится подход к построению фаерволов, используемый в виндовых программах, то используйте винду и эти программы. Никто вас насильно в мир линукса не тащит, но если идете добровольно, то будьте готовы к смене концепций. Вы бы еще для циски попросили "как в outpost" :) P.S. Быстрый поиск по репозитарию дебиана не дал ничего похожего на ваше определение фаервола. Может потому что оно здесь никому не нужно, как не нужен far, tc, thebat и ряд других приложений. P.P.S Почитайте доку по iptables на этом сайте, нестолько ради синтаксиса, сколько для понимания концепции построения firewall в линуксе
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "application level firewall для linux "	+1 +/–
	Сообщение от yuuum on 09-Июн-08, 01:28
	для архива: я нашёл таки, что искал: TuxGuardian и Systrace http://tuxguardian.sourceforge.net/screenshot.png http://www.citi.umich.edu/u/provos/systrace/screenshot-troja... попытка изменить мнение angra: >Так и надо было изначально задавать вопрос. Вариантов в общем-то несколько >1. trafshow покажет вам в реальном времени что и куда/откуда коннектится, если >конечно число коннектов вмешается на страничку, так как предназначена эта утилита >для несколько другой задачи. >2. netstat покажет все установленные соединения в данный момент времени >3. tcpdump позволяет прослушивать всю сетевую активность имеет мощные фильтры и возможность >писать лог >4. netfilter/iptables тоже умеют логировать все что на их уровне. >Ознакомьтесь и выберите по вкусу/задачам. Также если вам удобно поищите графические интерфейсы >к этим програмам, по крайней мере к последним двум. Боюсь что с такими средствами как netstat, tcpdump, trafshow, iftop уйдёт невообразимое количество времени на построение грамотного списка... думаю вы и сами это понимали когда писали пост. > Вы бы еще для циски попросили "как в outpost" :) как оказалось, TuxGuardian и Systrace работают "как outpost" ... :) >Другое дело, если вам нравится подход к построению фаерволов, используемый в виндовых программах, то >используйте винду и эти программы. Боюсь представить что же вы тогда думаете о разработчиках TuxGuardian и Systrace, бедалаги) >Какое отношение гуи имеет к обсуждаемому вопросу? я думаю что практически любой эксперт ИБ предпочтёт ГУИ для решения *именно этой* задачи, в связи с озвученными выше трудностями.(мы говорим про workstation) >Никто вас насильно в мир линукса не тащит, но если идете добровольно, то будьте готовы к смене концепций. ЕЩЕ РАЗ: БЕЗОПАСНОСТЬ ИМЕННО НА 7 УРОВНЕ. Я бы на вашем месте сам пересмотрел концепции. Почему: Вы думаете что троян для линукса, работающий по принципу reverse shell, испугается ваших грозных правил для iptables. Это не так. Почитайте доку по reverse shell на этом сайте - http://freeworld.thc.org/papers/fw-backd.htm, нестолько ради меня, сколько для понимания концепции построения firewall в любых ОС. да и никто вас насильно в мир информационной безопасности не тянет. >P.S. Быстрый поиск по репозитарию дебиана не дал ничего похожего на ваше >определение фаервола. Может потому что оно здесь никому не нужно, как >не нужен far, tc, thebat и ряд других приложений. > far = mc; tc = krusader, gnomecommander; thebat = thunderbird "и ряд других приложений"
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "application level firewall для linux "	+/–
	Сообщение от pupkin_vasya on 22-Янв-10, 18:50
	Понравилась ветка :) Прошло много времени с последнего поста. Если вы все это время работали с *nix, то вы, думаю, уже поняли о какой "концепции" вам пытались сказать. Признайтесь, вы поменяли свою точку зрения?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "application level firewall для linux "	+/–
	Сообщение от Mingan on 14-Июн-10, 18:06
	Спасибо товарищу yuuum за внятный ответ, полностью согласен, и очень жаль что есть ещё недальновидные линуксоиды.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "application level firewall для linux "	+/–
	Сообщение от pupkin_vasya Жольнай Кирилл on 14-Июн-10, 18:28
	>Спасибо товарищу yuuum за внятный ответ, полностью согласен, и очень жаль что >есть ещё недальновидные линуксоиды. Ну как вам сказать :) Вы же не будете на дачный домик ставить биометрические замки, когда у вас дырка в захудалом деревянном заборе. Так и тут. Есть несколько "ступеней безопасности", где переход на слеюующую ступень не имеет смысла, без выполнения требований на предыдущей. Отключаем ненужные серевые сервисы, настраиваем максимально безопасно оставшиейся (chroot, acl и т.п.), поднимаем фаервол (для десктопа уже редко когда необходимо), логируем трафик (ulog, tcdump), настраиваем MAC (SELinux, AppArmor и т.п.), вот теперь можно и за трафиком на 7ом уровне последить (Snort), а последующие ступени уже зависят от степени паранойи.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "application level firewall для linux "	+/–
	Сообщение от Иван (??) on 03-Ноя-10, 23:26
	Уважаемые товарищи ! Выше была упомянута некая 7-ми-уровневая "концепция" безопасности. Хотелось бы почитать на эту тему что-то систематизированное, особенно касательно рабочей станции под линукс. А то, как обычно, изучая информацию в интернет, сталкиваешься с отсутствием системного подхода, т.е. редко где можно встретить подробное изложение базовых основ безопасности, начиная с анализа всех возможных угроз и заканчивая конкретными реализациями решений по защите от этих угроз. Также выше был пост: >Ну как вам сказать :) Вы же не будете на дачный домик ставить биометрические замки, когда у вас дырка в захудалом деревянном заборе. Так и тут. Есть несколько "ступеней безопасности", где переход на слеюующую ступень не имеет смысла, без выполнения требований на предыдущей. Отключаем ненужные серевые сервисы, настраиваем максимально безопасно оставшиейся (chroot, acl и т.п.), поднимаем фаервол (для десктопа уже редко когда необходимо), логируем трафик (ulog, tcdump), настраиваем MAC (SELinux, AppArmor и т.п.), вот теперь можно и за трафиком на 7ом уровне последить (Snort), а последующие ступени уже зависят от степени паранойи. Человек, вроде как знает, о чём пишет )))...правда не очень подробно ((( В общем, хотелось бы знать какие угрозы становятся актуальными при подключении рабочей станции с линуксом к интернет и как с этими угрозами бороться. Т.е. каким образом "злоумышленник" вообще может подключиться к моему компу по сети (удалённый вход в систему, уязвимость в браузере, почтовом кленте, аське и т.п.). Или, например, каким образом "злоумышленник" может просмотреть мои личные данные, которые находятся в /home, опять-таки используя уязвимость в браузере или какой-либо другой программе, при условии, что авторизация через сеть запрещена. Как всего этого избежать ? Конечная цель - построить защищённую рабочую станцию с необходимым минимумом установленных служб и приложений для безопасной работы в интернет: просмотр web-сайтов, общение через icq, scype, совершение покупок в интернет-магазинах и т.д. и т.п. Заранее благодарю за ответы.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "application level firewall для linux "	+/–
	Сообщение от pupkin_vasya Жольнай Кирилл on 04-Ноя-10, 10:02
	> Выше была упомянута некая 7-ми-уровневая "концепция" безопасности. Да нет :) Я говорил, что после всех предварительных процедур можно и за трафиком последить на 7ом уровне модели сетевой модели OSI. > Человек, вроде как знает, о чём пишет )))...правда не очень подробно ((( Я не специализируюсь на безопасности. Но несколько не самых сложных шагов обезопасит ваш ПК. Основные тезисы: угроза может внешняя (интернет) и внутренняя (физический доступ к пк). От внутренней угрозы вас спасет блокировка экрана (через 5 мин простоя), шифрование домашнего каталога. Если уж очень страшно, можно настроить AppArmor (мандатный контроль доступа, который не разрешит программам делать ничего лишнего, таким как skype, firefox и др сетевым приложениям). От внешней - еще проще. Отключаем ненужные сетевые службы, посмотреть их можно sudo netstat -tunpl. Если какие-то службы необходимо оставить, настраиваем их. Например у sshd отключаем возможность логиниться по root. Далее к оставшимся службам можно ограничить доступ по ip c помощью firewall. Ну и общие правила: хорошие пароли, частые обновления системы, не выполняем незнакомых скриптов, ставим софт из репозиториев или проверенных источников, tor для анонимности www-серфинга. Подробности по каждому из "шагов" вы легко найдете в гугле. Стоит отметить, что система (*nix) поставленная со стандартными настройками, и так обеспечит достаточный для домашнего пользователя уровень безопасности.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "application level firewall для linux "	+/–
	Сообщение от Иван (??) on 04-Ноя-10, 12:30
	pupkin_vasya Жольнай Кирилл, спасибо за информацию, буду разбираться дальше )
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема