Suche Firewall die Programmspezifisch arbeitet

[@lienX]

Hallo,

ich benutze Debian sid und bin gerade auf der Suche nach einer Firewall für meinen PC.
Mein Netzwerk ist schon durch einen IPCop-Rechner geschützt, aber ich hätte gerne noch eine Firewall auf den PC´s selber die programmspezifisch den Zugriff erlauben oder verweigern kann.

Firestarter oder Guarddog habe ich schon ausprobiert, aber da habe ich immer nur Funktionen gefunden um einzelne Ports bzw. Protokolle zu kontrollieren.

Vieleicht kennt jemand so ein Programm

Vielen Danke!

[yeti]

Mir ist nicht ganz klar, wie ein Firewall Deinen Wunsch erfüllen können soll. Es gäbe da zwar noch Filter, die auf Grund des Inhaltes der Pakete Entscheidungen treffen, aber wenn zwei Programme sich exakt an eine Protokolldefinition halten, sollten sie daran nicht unterscheidbar sein.

[@lienX]

Die firewall kann das indem sie sich in den Netztraffic "zwischenschaltet" und als Quelle die einzelnen Programme erkennt.

Ich meine so was in der Art wie die Kerio Firewall für Windows.

Technisch ist das möglich IMHO.
Oder sollte das doch nicht so gehen wie ich mir das vorstelle?

Danke für die Antworten!

[Burner7537]

Ipcop ist ja nichts weiter als eine kleine Linuxdistrie. Die arbeiten mit iptables als Packetfilter. Daher glaube ich nicht das das so geht. Was du eventuell machen kannst, ist herrausfinden auf welchem Port das entprechende Prog horcht und dann diese Ports sperren.

Gruss Burner

[yeti]

Die firewall kann das indem sie sich in den Netztraffic "zwischenschaltet" und als Quelle die einzelnen Programme erkennt.
Ich meine so was in der Art wie die Kerio Firewall für Windows.

Ich ahbe ghar keynä Whindoze...

Also wenn Firewall und Programme auf derselben Kiste laufen, kann das klappen... ich dachte an einen FW auf getrennter Hardware (oder virtuell eigener Hardware) bei der Überlegung, daß das nicht möglich sei... aber das "kann" möchte ich sehr einschränken...

Schau mal in der iptables-Manpage nach "owner"...
Was passiert, wenn Du die PID eines Programmes heraus hast... dann muß immernoch geschaut werden, welches Programm das ist... vielleicht per MD5SUM über das Binary... aber der User kann sich im Zweifel seine LieblingsSchweinkramSaugSoftware (oder was auch immer Du blockieren willst) auch noch mit verschiedensten Compileroptionen selbst übersetzen, so daß selbst die umfangreichste Tabelle schon bekannter Prrogramme beliebig hintergangen werden kann...

Ich denke, das kann nur in einem Kontext funktionieren, in dem der Benutzer radikal eingeschränkt wird. Z.B. nur bekannte Binaries starten darf, auf allen dem User schreibbar zugängigen Filesystemen Noexec-Option benutzen... eventuell sogar massiv eingeschränkte Shell... und eine irre Phantasie, wie der Benutzer vorhandene Programme zu seinen Zwecken dennoch kombiniert bekommen könnte, um auch sowas noch "irgendwie" abzuwürgen...

Ich bin gespannt, ob Andere bessere Ideen haben...

[herrchen]

Ich meine so was in der Art wie die Kerio Firewall für Windows.

so etwas macht unter Linux nicht unbedingt sinn (unter Windows übrigens auch nicht).
sag' doch mal was du vor hast.

herrchen

[@lienX]

Also um mein Szenario klarzustellen:

Mein Netzwerk ist durch einen Extra Rechner geschützt auf dem IPCop läuft.

Ich will ZUSÄTZLICH JEWEILS auf den Rechnern IM NETZWERK eine Firewall laufen lassen, die es mir ermöglicht Programmen den Zugriff auf das Netz zu erlauben oder nicht, da wie ihr ja schon richtig gesagt hat es nicht möglich ist von IPCop aus Programmspezifische Entscheidungen zu treffen.

@jeti: Du hast vollkommen recht was deine vermutung mit Kerio betrifft:MD5SUM
Checksum über die Binary mit Pfadangabe.

Kennt von euch einer Kerio Firewall und weis wie es gemeint ist.

Edit: Geht davon aus, das der User auf den Rechner nicht weiß wie man so was umgehen kann! Das da viel möglich ist ist mir auch klar.
Und unter Windows macht so was ENORM viel Sinn, denkt mal alleine an all die miesen Phone-Home progs die es gibt unter MSWin.

Danke

[nil]

Generell würde ich auf jedem Netzwerk-PC auch iptables laufen lassen, kostet ja nichts.

Ich weiss was gemeint ist:
du willst z.B. wohl Kommunikationen z.B. zum HTTP-Proxy (Server, Port:3128) erlauben, aber dann bitte sehr nur von einem Browser und nicht von einem z.B. TELNET-Prozess.
Unter Windows gibt es sowas z.B. bei Zonealarm, ob es das für Linux gibt? Naja, da die Struktur von Linux um einiges besser ist, kann man vielleicht bei den Überprüfungen etwas Abstriche machen. Klar würde man es z.B. einem Linux-Trojaner damit schwerer machen, da er als Browser agieren müsste, aber bis es so weit ist lebe ich gerne mit einer Sicherheitslücke.

[herrchen]

Ich will ZUSÄTZLICH JEWEILS auf den Rechnern IM NETZWERK eine Firewall laufen lassen, die es mir ermöglicht Programmen den Zugriff auf das Netz zu erlauben oder nicht, da wie ihr ja schon richtig gesagt hat es nicht möglich ist von IPCop aus Programmspezifische Entscheidungen zu treffen.

soweit waren wir schon.
gib' doch mal ein beispiel, *welches* programm *warum* keinen zugriff auf *was* haben soll.

herrchen

[init 0]

HI,

das ist genau dass was AppArmor von Novell kann. Leider gibts kein Package für Debian. Der Kernel muss gepatscht werden. Schau dir mal das Video vom FOSDEM an. Unter Umständen lohnt es sich für dich zu warten bis Packages für debian rauskommen.

[meandtheshell]

@@lienX
Was du suchst reiht sich in die Kategorie application layer firewall ein.
http://tuxguardian.sourceforge.net/

Iptables arbeitet auf den unteren OSI Layern - dem sog. Network Layer.

markus

[gms]

Hier gibt es eine "Application Firewall":
http://tuxguardian.sourceforge.net/#

selbst habe ich die aber noch nie getestet (gebraucht)

Gruß
gms

[edit]Hi meandtheshell!
Dieses Posting hätte ich mir ja wohl sparen können
Gruß
gms
[/edit]

[meandtheshell]

Ich will ZUSÄTZLICH JEWEILS auf den Rechnern IM NETZWERK eine Firewall laufen lassen, die es mir ermöglicht Programmen den Zugriff auf das Netz zu erlauben oder nicht, da wie ihr ja schon richtig gesagt hat es nicht möglich ist von IPCop aus Programmspezifische Entscheidungen zu treffen

Über den administrations Aufwand sprechen wir dabei besser nicht ... ökonomisch ist das nicht haltbar

markus

edit:
hi gms
na da hat der Austria Troop ja volle Kanne zugeschlagen

[@lienX]

@nil:ja genau

@herrchen:
Zum Beispiel: Ich habe ein Programm auf meinen Rechner laufen (nicht open source) und möchte verhindern das es über die Standartports ins Internet kommt.

Edit: Schaue mir mal TuxGuardian an. Danke.

@meandtheshell: Mit wenig Rechnern und sich nicht änderntern Programmen durchaus vertretbar.

[meandtheshell]

chaue mir mal TuxGuardian an. Danke.

Gut - dennoch ich rate dir zu einer zentralen Lösung
- iptables und
- transparenter proxy

Sonst kannst du gleich einen dicken weichen Polster kaufen den mit der Lösung von oben wirst du viel länger als nötig auf deinem Popo sitzen.

@meandtheshell: Mit wenig Rechnern und sich nicht änderntern Programmen durchaus vertretbar.

ok - ist ja dein Hintern

markus

[herrchen]

@herrchen:
Zum Beispiel: Ich habe ein Programm auf meinen Rechner laufen (nicht open source) und möchte verhindern das es über die Standartports ins Internet kommt.

du könntest es z.b. unter einer anderen uid starten und dann mit iptables und "owner" den zugriff verhindern.

herrchen

[@lienX]

@meandtheshell:

Kannst du mir deine Lösung genauer erklären?
Da müsste ich dann ja wohl bei jeder Software den Proxy eintragen oder wie funktioniert das dann.

Und was die IPtables hier sollen ist mir auch nicht klar, die können ja "nur" Protokolle, Ports und Adressen filtern und sind somit für eine Programmkontrolle unbrauchbar (es sei denn ein Programm nutzt spezifische Ports, protokolle für sich alleine).

aber Danke für die Alternative

@herrchen: Das ist auch ein guter Vorschlag!
Dann müsste ich halt mehere User anlegen, aber das wäre ok.

[meandtheshell]

Ich habe ein Programm auf meinen Rechner laufen (nicht open source) und möchte verhindern das es über die Standartports ins Internet kommt.

Also ich würde auf dem Gateway wo Iptables läuft einfach whitelisting machen. Dazu muss man nun wirklich kein Iptables Veteran sein.

Du hast die IP des Rechners wo das vermeindlich "scheiß böse" progi werkelt - das reicht

markus

edit:
Vorschlag du siehst dir in der wikipedia einmal genauer an was
- whitelisting
- stateful inspection usw. ist
- http://iptables-tutorial.frozentux.net/ ... orial.html da ist alles was du brauchst beschrieben

IMHO - brauchst du nicht einmal einen transparenten proxy ...

[@lienX]

@meandtheshell:
Kannst du mir erklären wie dein Whitelisting es schaft Programme auseinaderzuhalten die von der selben Ip kommen?
Wenn das geht mit Iptables wäre es natürlich so am einfachsten.

Edit: danke für die Quellen

[meandtheshell]

@meandtheshell:
Kannst du mir erklären wie dein Whitelisting es schaft Programme auseinaderzuhalten die von der selben Ip kommen?

Einen ausgezeichneten Vorschlag hat herrchen schon genannt
http://iptables-tutorial.frozentux.net/ ... OWNERMATCH

Ansonsten würde ich sagen wäre es nur zu deinem Vorteil wenn du einmal _konkret_ werden würdest - lies aber voher einwenig, damit du geziehlte Fragen stellen kannst.
Grundsätzlich kannst du alle Charakteristika die eine Netzwerkverb. ausmachen auch zum filtern von traffic verwenden.

markus

[@lienX]

Einen ausgezeichneten Vorschlag hat herrchen schon genannt
http://iptables-tutorial.frozentux.net/ ... OWNERMATCH

Ansonsten würde ich sagen wäre es nur zu deinem Vorteil wenn du einmal _konkret_ werden würdest - lies aber voher einwenig, damit du geziehlte Fragen stellen kannst.
Grundsätzlich kannst du alle Charakteristika die eine Netzwerkverb. ausmachen auch zum filtern von traffic verwenden.

markus

Ich habe das mit dem Owner jetzt durchgelesen und finde es eine interessante Alternative zur meiner alten Lösung einer Personal Applikation Firewall.

Dann werde ich mal ein bischen probieren und melde mich wieder wenn alle Programme auf meinen System habe die ich benutzen will. (Bin seit einigen Monaten Linux Neuling und suche mir gerade meine Programme in der Linux welt zusammen.)

Danke an alle!

[meandtheshell]

@@lienX
das was du willst + zentral möglich
http://l7-filter.sourceforge.net/

markus

[Neo_0815]

l7 ist topp - leider noch schwach bei den selteneren Protokollen.

@Proxy: Warum transparent - mach gleich n richtigen Proxy draus - transparent sollte man wenn möglich eh meiden ( google hilft ) und du hast den Vorteil, das die Nachhausapplikation die über die Standard 80 vielleicht will scheitert.

Gruß

[meandtheshell]

transparent sollte man wenn möglich eh meiden

Kannst du das erläutern?

TIA markus

[Neo_0815]

transparent sollte man wenn möglich eh meiden

Kannst du das erläutern?

TIA markus

Ich hab mal gegoogled ( hatte ich doch schon geschrieben oder ;-) ):

http://www.linuxdevcenter.com/pub/a/lin ... proxy.html

Zugegeben vom Datum her älter aber das gibts auch in ner neueren Fassung so ähnlich, wie gesagt googlen, ich bin drauf gestossen als ich den Squid selber eingerichtet habe und die entscheindung treffen musste ob transparent oder nicht, hab mich dagegen entschieden :-).

Gruß