Suche Firewall die Programmspezifisch arbeitet
-
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
Suche Firewall die Programmspezifisch arbeitet
Hallo,
ich benutze Debian sid und bin gerade auf der Suche nach einer Firewall für meinen PC.
Mein Netzwerk ist schon durch einen IPCop-Rechner geschützt, aber ich hätte gerne noch eine Firewall auf den PC´s selber die programmspezifisch den Zugriff erlauben oder verweigern kann.
Firestarter oder Guarddog habe ich schon ausprobiert, aber da habe ich immer nur Funktionen gefunden um einzelne Ports bzw. Protokolle zu kontrollieren.
Vieleicht kennt jemand so ein Programm
Vielen Danke!
ich benutze Debian sid und bin gerade auf der Suche nach einer Firewall für meinen PC.
Mein Netzwerk ist schon durch einen IPCop-Rechner geschützt, aber ich hätte gerne noch eine Firewall auf den PC´s selber die programmspezifisch den Zugriff erlauben oder verweigern kann.
Firestarter oder Guarddog habe ich schon ausprobiert, aber da habe ich immer nur Funktionen gefunden um einzelne Ports bzw. Protokolle zu kontrollieren.
Vieleicht kennt jemand so ein Programm
Vielen Danke!
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
-
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
analog zu kerio
Die firewall kann das indem sie sich in den Netztraffic "zwischenschaltet" und als Quelle die einzelnen Programme erkennt.
Ich meine so was in der Art wie die Kerio Firewall für Windows.
Technisch ist das möglich IMHO.
Oder sollte das doch nicht so gehen wie ich mir das vorstelle?
Danke für die Antworten!
Ich meine so was in der Art wie die Kerio Firewall für Windows.
Technisch ist das möglich IMHO.
Oder sollte das doch nicht so gehen wie ich mir das vorstelle?
Danke für die Antworten!
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
-
- Beiträge: 207
- Registriert: 13.09.2005 13:45:29
Re: analog zu kerio
Ich ahbe ghar keynä Whindoze...@lienX hat geschrieben:Die firewall kann das indem sie sich in den Netztraffic "zwischenschaltet" und als Quelle die einzelnen Programme erkennt.
Ich meine so was in der Art wie die Kerio Firewall für Windows.
Also wenn Firewall und Programme auf derselben Kiste laufen, kann das klappen... ich dachte an einen FW auf getrennter Hardware (oder virtuell eigener Hardware) bei der Überlegung, daß das nicht möglich sei... aber das "kann" möchte ich sehr einschränken...
Schau mal in der iptables-Manpage nach "owner"...
Was passiert, wenn Du die PID eines Programmes heraus hast... dann muß immernoch geschaut werden, welches Programm das ist... vielleicht per MD5SUM über das Binary... aber der User kann sich im Zweifel seine LieblingsSchweinkramSaugSoftware (oder was auch immer Du blockieren willst) auch noch mit verschiedensten Compileroptionen selbst übersetzen, so daß selbst die umfangreichste Tabelle schon bekannter Prrogramme beliebig hintergangen werden kann...
Ich denke, das kann nur in einem Kontext funktionieren, in dem der Benutzer radikal eingeschränkt wird. Z.B. nur bekannte Binaries starten darf, auf allen dem User schreibbar zugängigen Filesystemen Noexec-Option benutzen... eventuell sogar massiv eingeschränkte Shell... und eine irre Phantasie, wie der Benutzer vorhandene Programme zu seinen Zwecken dennoch kombiniert bekommen könnte, um auch sowas noch "irgendwie" abzuwürgen...
Ich bin gespannt, ob Andere bessere Ideen haben...
- herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
Re: analog zu kerio
so etwas macht unter Linux nicht unbedingt sinn (unter Windows übrigens auch nicht).@lienX hat geschrieben: Ich meine so was in der Art wie die Kerio Firewall für Windows.
sag' doch mal was du vor hast.
herrchen
-
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
Also um mein Szenario klarzustellen:
Mein Netzwerk ist durch einen Extra Rechner geschützt auf dem IPCop läuft.
Ich will ZUSÄTZLICH JEWEILS auf den Rechnern IM NETZWERK eine Firewall laufen lassen, die es mir ermöglicht Programmen den Zugriff auf das Netz zu erlauben oder nicht, da wie ihr ja schon richtig gesagt hat es nicht möglich ist von IPCop aus Programmspezifische Entscheidungen zu treffen.
@jeti: Du hast vollkommen recht was deine vermutung mit Kerio betrifft:MD5SUM
Checksum über die Binary mit Pfadangabe.
Kennt von euch einer Kerio Firewall und weis wie es gemeint ist.
Edit: Geht davon aus, das der User auf den Rechner nicht weiß wie man so was umgehen kann! Das da viel möglich ist ist mir auch klar.
Und unter Windows macht so was ENORM viel Sinn, denkt mal alleine an all die miesen Phone-Home progs die es gibt unter MSWin.
Danke
Mein Netzwerk ist durch einen Extra Rechner geschützt auf dem IPCop läuft.
Ich will ZUSÄTZLICH JEWEILS auf den Rechnern IM NETZWERK eine Firewall laufen lassen, die es mir ermöglicht Programmen den Zugriff auf das Netz zu erlauben oder nicht, da wie ihr ja schon richtig gesagt hat es nicht möglich ist von IPCop aus Programmspezifische Entscheidungen zu treffen.
@jeti: Du hast vollkommen recht was deine vermutung mit Kerio betrifft:MD5SUM
Checksum über die Binary mit Pfadangabe.
Kennt von euch einer Kerio Firewall und weis wie es gemeint ist.
Edit: Geht davon aus, das der User auf den Rechner nicht weiß wie man so was umgehen kann! Das da viel möglich ist ist mir auch klar.
Und unter Windows macht so was ENORM viel Sinn, denkt mal alleine an all die miesen Phone-Home progs die es gibt unter MSWin.
Danke
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Generell würde ich auf jedem Netzwerk-PC auch iptables laufen lassen, kostet ja nichts.
Ich weiss was gemeint ist:
du willst z.B. wohl Kommunikationen z.B. zum HTTP-Proxy (Server, Port:3128) erlauben, aber dann bitte sehr nur von einem Browser und nicht von einem z.B. TELNET-Prozess.
Unter Windows gibt es sowas z.B. bei Zonealarm, ob es das für Linux gibt? Naja, da die Struktur von Linux um einiges besser ist, kann man vielleicht bei den Überprüfungen etwas Abstriche machen. Klar würde man es z.B. einem Linux-Trojaner damit schwerer machen, da er als Browser agieren müsste, aber bis es so weit ist lebe ich gerne mit einer Sicherheitslücke.
Ich weiss was gemeint ist:
du willst z.B. wohl Kommunikationen z.B. zum HTTP-Proxy (Server, Port:3128) erlauben, aber dann bitte sehr nur von einem Browser und nicht von einem z.B. TELNET-Prozess.
Unter Windows gibt es sowas z.B. bei Zonealarm, ob es das für Linux gibt? Naja, da die Struktur von Linux um einiges besser ist, kann man vielleicht bei den Überprüfungen etwas Abstriche machen. Klar würde man es z.B. einem Linux-Trojaner damit schwerer machen, da er als Browser agieren müsste, aber bis es so weit ist lebe ich gerne mit einer Sicherheitslücke.
- herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
soweit waren wir schon.@lienX hat geschrieben: Ich will ZUSÄTZLICH JEWEILS auf den Rechnern IM NETZWERK eine Firewall laufen lassen, die es mir ermöglicht Programmen den Zugriff auf das Netz zu erlauben oder nicht, da wie ihr ja schon richtig gesagt hat es nicht möglich ist von IPCop aus Programmspezifische Entscheidungen zu treffen.
gib' doch mal ein beispiel, *welches* programm *warum* keinen zugriff auf *was* haben soll.
herrchen
HI,
das ist genau dass was AppArmor von Novell kann. Leider gibts kein Package für Debian. Der Kernel muss gepatscht werden. Schau dir mal das Video vom FOSDEM an. Unter Umständen lohnt es sich für dich zu warten bis Packages für debian rauskommen.
das ist genau dass was AppArmor von Novell kann. Leider gibts kein Package für Debian. Der Kernel muss gepatscht werden. Schau dir mal das Video vom FOSDEM an. Unter Umständen lohnt es sich für dich zu warten bis Packages für debian rauskommen.
Ach ja, und nix schrotten.
Ich habe einen schlechten Stil, ich weiss, Danke, wurde mir bereits gesagt.
Ich habe einen schlechten Stil, ich weiss, Danke, wurde mir bereits gesagt.
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
@@lienX
Was du suchst reiht sich in die Kategorie application layer firewall ein.
http://tuxguardian.sourceforge.net/
Iptables arbeitet auf den unteren OSI Layern - dem sog. Network Layer.
markus
Was du suchst reiht sich in die Kategorie application layer firewall ein.
http://tuxguardian.sourceforge.net/
Iptables arbeitet auf den unteren OSI Layern - dem sog. Network Layer.
markus
Hier gibt es eine "Application Firewall":
http://tuxguardian.sourceforge.net/#
selbst habe ich die aber noch nie getestet (gebraucht)
Gruß
gms
[edit]Hi meandtheshell!
Dieses Posting hätte ich mir ja wohl sparen können
Gruß
gms
[/edit]
http://tuxguardian.sourceforge.net/#
selbst habe ich die aber noch nie getestet (gebraucht)
Gruß
gms
[edit]Hi meandtheshell!
Dieses Posting hätte ich mir ja wohl sparen können
Gruß
gms
[/edit]
Zuletzt geändert von gms am 20.03.2006 15:46:46, insgesamt 1-mal geändert.
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Über den administrations Aufwand sprechen wir dabei besser nicht ... ökonomisch ist das nicht haltbar@lienX hat geschrieben: Ich will ZUSÄTZLICH JEWEILS auf den Rechnern IM NETZWERK eine Firewall laufen lassen, die es mir ermöglicht Programmen den Zugriff auf das Netz zu erlauben oder nicht, da wie ihr ja schon richtig gesagt hat es nicht möglich ist von IPCop aus Programmspezifische Entscheidungen zu treffen
markus
edit:
hi gms
na da hat der Austria Troop ja volle Kanne zugeschlagen
Zuletzt geändert von meandtheshell am 20.03.2006 15:47:58, insgesamt 1-mal geändert.
-
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
@nil:ja genau
@herrchen:
Zum Beispiel: Ich habe ein Programm auf meinen Rechner laufen (nicht open source) und möchte verhindern das es über die Standartports ins Internet kommt.
Edit: Schaue mir mal TuxGuardian an. Danke.
@meandtheshell: Mit wenig Rechnern und sich nicht änderntern Programmen durchaus vertretbar.
@herrchen:
Zum Beispiel: Ich habe ein Programm auf meinen Rechner laufen (nicht open source) und möchte verhindern das es über die Standartports ins Internet kommt.
Edit: Schaue mir mal TuxGuardian an. Danke.
@meandtheshell: Mit wenig Rechnern und sich nicht änderntern Programmen durchaus vertretbar.
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Gut - dennoch ich rate dir zu einer zentralen Lösung@lienX hat geschrieben:chaue mir mal TuxGuardian an. Danke.
- iptables und
- transparenter proxy
Sonst kannst du gleich einen dicken weichen Polster kaufen den mit der Lösung von oben wirst du viel länger als nötig auf deinem Popo sitzen.
ok - ist ja dein Hintern@meandtheshell: Mit wenig Rechnern und sich nicht änderntern Programmen durchaus vertretbar.
markus
- herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
du könntest es z.b. unter einer anderen uid starten und dann mit iptables und "owner" den zugriff verhindern.@lienX hat geschrieben: @herrchen:
Zum Beispiel: Ich habe ein Programm auf meinen Rechner laufen (nicht open source) und möchte verhindern das es über die Standartports ins Internet kommt.
herrchen
-
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
@meandtheshell:
Kannst du mir deine Lösung genauer erklären?
Da müsste ich dann ja wohl bei jeder Software den Proxy eintragen oder wie funktioniert das dann.
Und was die IPtables hier sollen ist mir auch nicht klar, die können ja "nur" Protokolle, Ports und Adressen filtern und sind somit für eine Programmkontrolle unbrauchbar (es sei denn ein Programm nutzt spezifische Ports, protokolle für sich alleine).
aber Danke für die Alternative
@herrchen: Das ist auch ein guter Vorschlag!
Dann müsste ich halt mehere User anlegen, aber das wäre ok.
Kannst du mir deine Lösung genauer erklären?
Da müsste ich dann ja wohl bei jeder Software den Proxy eintragen oder wie funktioniert das dann.
Und was die IPtables hier sollen ist mir auch nicht klar, die können ja "nur" Protokolle, Ports und Adressen filtern und sind somit für eine Programmkontrolle unbrauchbar (es sei denn ein Programm nutzt spezifische Ports, protokolle für sich alleine).
aber Danke für die Alternative
@herrchen: Das ist auch ein guter Vorschlag!
Dann müsste ich halt mehere User anlegen, aber das wäre ok.
Zuletzt geändert von @lienX am 20.03.2006 16:08:51, insgesamt 1-mal geändert.
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Also ich würde auf dem Gateway wo Iptables läuft einfach whitelisting machen. Dazu muss man nun wirklich kein Iptables Veteran sein.Ich habe ein Programm auf meinen Rechner laufen (nicht open source) und möchte verhindern das es über die Standartports ins Internet kommt.
Du hast die IP des Rechners wo das vermeindlich "scheiß böse" progi werkelt - das reicht
markus
edit:
Vorschlag du siehst dir in der wikipedia einmal genauer an was
- whitelisting
- stateful inspection usw. ist
- http://iptables-tutorial.frozentux.net/ ... orial.html da ist alles was du brauchst beschrieben
IMHO - brauchst du nicht einmal einen transparenten proxy ...
-
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
@meandtheshell:
Kannst du mir erklären wie dein Whitelisting es schaft Programme auseinaderzuhalten die von der selben Ip kommen?
Wenn das geht mit Iptables wäre es natürlich so am einfachsten.
Edit: danke für die Quellen
Kannst du mir erklären wie dein Whitelisting es schaft Programme auseinaderzuhalten die von der selben Ip kommen?
Wenn das geht mit Iptables wäre es natürlich so am einfachsten.
Edit: danke für die Quellen
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Einen ausgezeichneten Vorschlag hat herrchen schon genannt@lienX hat geschrieben:@meandtheshell:
Kannst du mir erklären wie dein Whitelisting es schaft Programme auseinaderzuhalten die von der selben Ip kommen?
http://iptables-tutorial.frozentux.net/ ... OWNERMATCH
Ansonsten würde ich sagen wäre es nur zu deinem Vorteil wenn du einmal _konkret_ werden würdest - lies aber voher einwenig, damit du geziehlte Fragen stellen kannst.
Grundsätzlich kannst du alle Charakteristika die eine Netzwerkverb. ausmachen auch zum filtern von traffic verwenden.
markus
-
- Beiträge: 24
- Registriert: 15.03.2006 10:48:57
- Lizenz eigener Beiträge: GNU General Public License
Ich habe das mit dem Owner jetzt durchgelesen und finde es eine interessante Alternative zur meiner alten Lösung einer Personal Applikation Firewall.meandtheshell hat geschrieben: Einen ausgezeichneten Vorschlag hat herrchen schon genannt
http://iptables-tutorial.frozentux.net/ ... OWNERMATCH
Ansonsten würde ich sagen wäre es nur zu deinem Vorteil wenn du einmal _konkret_ werden würdest - lies aber voher einwenig, damit du geziehlte Fragen stellen kannst.
Grundsätzlich kannst du alle Charakteristika die eine Netzwerkverb. ausmachen auch zum filtern von traffic verwenden.
markus
Dann werde ich mal ein bischen probieren und melde mich wieder wenn alle Programme auf meinen System habe die ich benutzen will. (Bin seit einigen Monaten Linux Neuling und suche mir gerade meine Programme in der Linux welt zusammen.)
Danke an alle!
Der Kampf zwischen Natur und Technik wird nie enden:
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
Die Technik erfindet immer idiotensichere Systeme und die Natur immer bessere Idioten.
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
l7 ist topp - leider noch schwach bei den selteneren Protokollen.
@Proxy: Warum transparent - mach gleich n richtigen Proxy draus - transparent sollte man wenn möglich eh meiden ( google hilft ) und du hast den Vorteil, das die Nachhausapplikation die über die Standard 80 vielleicht will scheitert.
Gruß
@Proxy: Warum transparent - mach gleich n richtigen Proxy draus - transparent sollte man wenn möglich eh meiden ( google hilft ) und du hast den Vorteil, das die Nachhausapplikation die über die Standard 80 vielleicht will scheitert.
Gruß
Selfmade Debs:
http://fachschaft.imn.htwk-leipzig.de/~tkrah/sarge/
http://fachschaft.imn.htwk-leipzig.de/~tkrah/sarge/
- meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Ich hab mal gegoogled ( hatte ich doch schon geschrieben oder ;-) ):meandtheshell hat geschrieben:Kannst du das erläutern?Neo_0815 hat geschrieben:transparent sollte man wenn möglich eh meiden
TIA markus
http://www.linuxdevcenter.com/pub/a/lin ... proxy.html
Zugegeben vom Datum her älter aber das gibts auch in ner neueren Fassung so ähnlich, wie gesagt googlen, ich bin drauf gestossen als ich den Squid selber eingerichtet habe und die entscheindung treffen musste ob transparent oder nicht, hab mich dagegen entschieden :-).
Gruß
Selfmade Debs:
http://fachschaft.imn.htwk-leipzig.de/~tkrah/sarge/
http://fachschaft.imn.htwk-leipzig.de/~tkrah/sarge/