Hallo!
Ich suche ein paar Leute für folgendes Projekt:
iptables-Firewall - bis Layer 7 (mit ev. netfilter)
IDS (Intrusion Detection System) und
IRS (Intrusion Response Systems)
Also das die Firewall intelligent wird, Angriffe erkennt und Gegenmaßnahmen einleitet.
Die Iptables-Firewall ist ja kein Problem, Snort um Angriffe zu erkennen auch nicht, doch ein funktonierendes, aktuelles IDS und IRS zu bauen - ist eine Herausforderung.
Diese Firewall soll als erstes für Server gedacht sein, ist aber dann für Workstations natürlich auch anwendbar.
Erklärung: Die Layer 7 Firewall soll zB dafür sorgen das am Port 80 auch nur http drüber geht und nichts anderes.
Ich habe schon einige Ansätze gefunden (snort2iptables zB).
Falls jemand Literatur dazu kennt, bitte posten. Ich bräuchte noch einige Leute, die sich mit dieser Thematik schon auseinandergesetzt haben und ev. Mitarbeiten wollen - soll ein GNU-Projet werden.
Resourcen kann ich zur Verfügung stellen.
Arbeitsgruppe: Firewall mit IDS und IRS
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
Hallo,
ganz schlau werde ich aus dem Posting nicht - eine Auflistung mit klarer Trennung der Semantik und Beschreibung der einzelnen angedachten Komponenten würde das ändern
Siehe BBCode in meiner Signatur (die Auflistung mit ansteigenden Zahlen - damit kannst du Stuktur in die Köpfe der Leser bringen was dazu führt das die Response viel besser ist als bei willkührlichem Fließtext)
Zur Layer 7 Firewall:
http://l7-filter.sourceforge.net/
markus
ganz schlau werde ich aus dem Posting nicht - eine Auflistung mit klarer Trennung der Semantik und Beschreibung der einzelnen angedachten Komponenten würde das ändern
Siehe BBCode in meiner Signatur (die Auflistung mit ansteigenden Zahlen - damit kannst du Stuktur in die Köpfe der Leser bringen was dazu führt das die Response viel besser ist als bei willkührlichem Fließtext)
Zur Layer 7 Firewall:
http://l7-filter.sourceforge.net/
markus
Ich weiß 
Ich habe klare Vorstellungen was man braucht und wie es schlussendlich laufen soll, aber da fehlen noch so viele Ansätze, die erst nach und nach daherkommen.
zB Redundanz des ganzen, dann ein Webinterface um die definierten Regeln zu sehen (kein Konfiguarationstool),...
Ich habe mich nur um eine Firewalllösung umgesehen und festgestellt das es zwar "normale" Firewalls gibt, aber eigentlich keine Firewalls mit IDS und mit IRS schon überhaupt nicht. Genauso ist das mit dem Layer 7 Filter, da findet majn auch nichts wirklich brauchbares.
Deshalb ja hier mein Aufruf um Hilfe, damit man da etwas gescheites zusammenstellen kann.
Danke übrigends für den Link, ist schon ein weiterer Schritt.
Ich habe klare Vorstellungen was man braucht und wie es schlussendlich laufen soll, aber da fehlen noch so viele Ansätze, die erst nach und nach daherkommen.
zB Redundanz des ganzen, dann ein Webinterface um die definierten Regeln zu sehen (kein Konfiguarationstool),...
Ich habe mich nur um eine Firewalllösung umgesehen und festgestellt das es zwar "normale" Firewalls gibt, aber eigentlich keine Firewalls mit IDS und mit IRS schon überhaupt nicht. Genauso ist das mit dem Layer 7 Filter, da findet majn auch nichts wirklich brauchbares.
Deshalb ja hier mein Aufruf um Hilfe, damit man da etwas gescheites zusammenstellen kann.
Danke übrigends für den Link, ist schon ein weiterer Schritt.
-
lobo
- Beiträge: 180
- Registriert: 27.01.2002 21:48:08
- Lizenz eigener Beiträge: GNU General Public License
Hi,
ist sicher eine nette Aufgabe so etwas zu erstellen, aber für meinen Geschmack ist ein IRS keine wirklich tolle Idee. Wie willst du sicherstellen, dass die IP wirklich der Angreifer ist und nicht eine gefälschte IP. Am Ende greift dein IRS dann andere Hosts im Internet an, weil der Angreifer deren Absenderadresse in seinen Paketen verwendet hat.
Das Problem mit IP Spoofing könnte man vermeiden, wenn man nur eine Reaktion auf verbindungsorientierte Protokolle wie TCP oder auf Sessions in Verbindung mit z.B. HTTP anwendet und dann immer erstmal den Handshake vervolständigen lässt.
Wenn man das IP Spoofing Problem gelöst hat, ist die Frage wie man mit Proxy Servern oder gecrackten Servern umgeht. Es wäre ja möglich, dass der Angreifer wenn wir beim Beispiel HTTP bleiben einen öffentlichen HTTP Proxy (mit deaktiviertem "via" Header ) verwendet, dann würde der Response den Proxy treffen. Oder wenn TOR verwendet wird, trifft der Gegenangriff die "Tor exit node".
Was man auch nicht ausser Acht lassen sollte, sind "false positives". Erkennt das IDS einen Angriff der keiner ist, dann greift das IRS auch wieder den Flaschen an.
Und was versprichst du dir davon, wenn den IRS wirklich Erfolg hat und einen erfolgreichen Gegenangriff durchführt. Willst du die Identität des Anderen wissen, den Rechner rebooten oder ein Backdoor installieren? Mir ist nicht ganz klar, was so ein Gegenangriff bringen soll und rechtliche Fragen wirft das natürlich auch auf. Ist es überhaupt erlaubt, in den anderen Rechner einzubrechen, auch wenn er das auf den Server eines Anderen vor hatte.
Wenn wir die ganzen Risiken weglassen, lassen sich aber sicher mit Nessus, STIF und Metasploit automatisierte Angriffe fahren. Ob die Angriffe den Richtigen treffen ist wohl eher unklar
Das ist nur meine Meinung, es soll kein >>Angriff<< auf deine Idee an sich sein. Man kann sicher auch viel dabei lernen, wenn man versucht so etwas zu konzipieren.
Gruss
Jochen
ist sicher eine nette Aufgabe so etwas zu erstellen, aber für meinen Geschmack ist ein IRS keine wirklich tolle Idee. Wie willst du sicherstellen, dass die IP wirklich der Angreifer ist und nicht eine gefälschte IP. Am Ende greift dein IRS dann andere Hosts im Internet an, weil der Angreifer deren Absenderadresse in seinen Paketen verwendet hat.
Das Problem mit IP Spoofing könnte man vermeiden, wenn man nur eine Reaktion auf verbindungsorientierte Protokolle wie TCP oder auf Sessions in Verbindung mit z.B. HTTP anwendet und dann immer erstmal den Handshake vervolständigen lässt.
Wenn man das IP Spoofing Problem gelöst hat, ist die Frage wie man mit Proxy Servern oder gecrackten Servern umgeht. Es wäre ja möglich, dass der Angreifer wenn wir beim Beispiel HTTP bleiben einen öffentlichen HTTP Proxy (mit deaktiviertem "via" Header
) verwendet, dann würde der Response den Proxy treffen. Oder wenn TOR verwendet wird, trifft der Gegenangriff die "Tor exit node".Was man auch nicht ausser Acht lassen sollte, sind "false positives". Erkennt das IDS einen Angriff der keiner ist, dann greift das IRS auch wieder den Flaschen an.
Und was versprichst du dir davon, wenn den IRS wirklich Erfolg hat und einen erfolgreichen Gegenangriff durchführt. Willst du die Identität des Anderen wissen, den Rechner rebooten oder ein Backdoor installieren? Mir ist nicht ganz klar, was so ein Gegenangriff bringen soll und rechtliche Fragen wirft das natürlich auch auf. Ist es überhaupt erlaubt, in den anderen Rechner einzubrechen, auch wenn er das auf den Server eines Anderen vor hatte.
Wenn wir die ganzen Risiken weglassen, lassen sich aber sicher mit Nessus, STIF und Metasploit automatisierte Angriffe fahren. Ob die Angriffe den Richtigen treffen ist wohl eher unklar
Das ist nur meine Meinung, es soll kein >>Angriff<< auf deine Idee an sich sein. Man kann sicher auch viel dabei lernen, wenn man versucht so etwas zu konzipieren.
Gruss
Jochen