Anzeige:
Seite 1 von 3 123 LetzteLetzte
Ergebnis 1 bis 15 von 40

Thema: die einfachste application-layer firewall !!!

  1. #1
    Ein Benutzer
    Registriert seit
    Sep 2001
    Ort
    Heidelberg
    Beiträge
    216

    die einfachste application-layer firewall !!!

    ich bin heute auf eine gute idee gekommen, wie man eine application-layer firewall ohne grossen aufwand realisieren kann. habs ausprobiert: es funktioniert tadellos und ist sicher(keine unsichere paketinspektion mit grep o.ä.).

    der trick dahinter ist einfach: man führt einfach die "bösen" programme, welche sich ungefragt mit dem inet verbinden unter einem speziell für diesen zweck angelegten account aus und filtert dann alle pakete, welche die uid des accounts haben mit iptables raus(dieses owner matching-modul gibts zum glück noch im kernel, im gegensatz zu --cmd-owner). da die uid immer gleich ist, braucht man auch das firewall-script nie ändern.

    beispiel:
    mein spezieller account "boese" hat die uid 501. ein programm wie z.b.
    acrobat reader führe ich dann unter diesem account aus:
    >su boese acrobat
    bzw.
    >su boese acrobat &
    wenn es im hintergrund laufen soll. im firewallscript steht dann folgende zeile:

    iptables -t filter -A OUTPUT -o eth0 -m owner --uid-owner 501 -j DROP

    wichtig: grafische anwendungen müssen sich bei ausführung mit dem xserver verbinden können. durch das wechseln zu einem anderen user mittels su, muss man vorher dem anderen account die erlaubnis dazu geben (ist jedenfalls bei fedora 7 so):
    >xhost + SI:localuser:boese
    das kann man aber automatisieren und es in ein startscript einbinden.

    ist das nicht toll?

  2. #2
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    22.054
    na, dann hoffen wir mal, dass sich sämtliche trojaner und anderen (Schad)-Programme, die ich nicht manuell starte auch an die Regel halten...
    Ich bin root - ich darf das.

  3. #3
    Registrierter Benutzer Avatar von ThorstenHirsch
    Registriert seit
    Nov 2002
    Beiträge
    6.556
    @tenim: äh... wenn du die "bösen" Programme unter einem anderen user ausführen willst, weißt du ja schon, welche Programme böse sind, ja? Wieso führst du sie dann überhaupt aus?
    ¡Nuestro amigo... el Computador!

  4. #4
    Registrierter Benutzer Avatar von derRichard
    Registriert seit
    Nov 2001
    Beiträge
    5.069
    hallo!

    sorry aber wer braucht kack-windows features unter linux?

    //richard
    There are two factions of CS, the ones that hate computers, and the ones that hate science.

  5. #5
    Ein Benutzer
    Registriert seit
    Sep 2001
    Ort
    Heidelberg
    Beiträge
    216
    äh... wenn du die "bösen" Programme unter einem anderen user ausführen willst, weißt du ja schon, welche Programme böse sind, ja? Wieso führst du sie dann überhaupt aus?
    weil ich z.b. vmware workstation brauche um vernünftig gewisse systeme emulieren zu können(qemu mit beschleunigung oder virtualbox können z.b. win98 nicht richtig emulieren, bochs ist zu langsam). und vmware verbindet sich z.b. auch mit dem inet.
    oder realplayer um .rm dateien zu schauen. aber der realplayer enthält auch spyware und das blocke ich damit. mit mplayer hab ich .rm-dateien nicht zum laufen bekommen.

    sorry aber wer braucht kack-windows features unter linux?
    das ist nicht dein ernst, oder? wie kann man so eine ansicht haben?
    application level firewalls sind für desktop rechner heutzutage standart, dieses sicherheitslevel kriegt man mit keinem paketfilter hin. und linux ist doch immer so auf sicherheit bedacht. ich verstehe nicht, wiso eine gute idee/konzept das bei windows-anwendungen eingesetzt wird nicht mehr gut ist nur weil eben windows im spiel ist?

    fedora z.b. benutzt auch einige dieser "kack-windows" features bei sich auf dem desktop wie einge icons: Computer, Persönlicher Ordner(a.k.a eigene dateien), Papierkorb.

  6. #6
    hat nen Vogel Avatar von corax2.05
    Registriert seit
    Aug 2003
    Ort
    Baden
    Beiträge
    757
    Zitat Zitat von tenim Beitrag anzeigen
    das ist nicht dein ernst, oder? wie kann man so eine ansicht haben?
    application level firewalls sind für desktop rechner heutzutage standart, dieses sicherheitslevel kriegt man mit keinem paketfilter hin. und linux ist doch immer so auf sicherheit bedacht. ich verstehe nicht, wiso eine gute idee/konzept das bei windows-anwendungen eingesetzt wird nicht mehr gut ist nur weil eben windows im spiel ist?
    schau dir mal diesen film des CCC an, du wirst sehen wie komplett nutz- und sinnlos solche tools sind.

    http://ulm.ccc.de/ChaosSeminar/2004/...onal_Firewalls

  7. #7
    Registrierter Benutzer Avatar von derRichard
    Registriert seit
    Nov 2001
    Beiträge
    5.069
    hallo!

    das ist auch recht nice:
    http://www.fefe.de/pffaq/

    hth,
    //richard

    p.s: ja, es war mein ernst :P
    There are two factions of CS, the ones that hate computers, and the ones that hate science.

  8. #8
    kleine schwester von root Avatar von corresponder
    Registriert seit
    May 2002
    Ort
    192.67.198.56
    Beiträge
    4.578
    und ich dachte fwbuilder ist der beste...

    schade ;-P
    _______________________________________

    www.audio4linux.de - musik machen mit offenen quellen!

  9. #9
    Ein Benutzer
    Registriert seit
    Sep 2001
    Ort
    Heidelberg
    Beiträge
    216
    also bei dem link von "derRichard" habe ich nach 10s lesen das "totschlagargument" ausgehebelt:

    >"Why don't they improve security?"
    >"You can't improve security of an untrusted system by installing another untrustworthy piece of software. You don't have the source code for the operating system or for the new piece of software, so it is impossible to verify that it does anything at all, let alone improve security."

    ich rede von linux und nutzung von iptables und verschiedenen systembefehlen zum aufbau der firewall deren quellcode offen ist. habe niemals gesagt, das meine firewall-idee aus einer closed-source lösung besteht. sowas wäre allerdings dumm, aber davon rede ich nicht. immer schön die worte verdrehen, was?

    allein schon die einleitung des textes:

    >"Why do so many people install them, then?"
    >"Because those people are all idiots"

    sehr objektiv. hey richard, hast du das eben schnell selbst geschrieben?


    mal davon abgesehen, das ich von linux rede:
    und nach der logik von den leuten könnte man nicht eine einzige closed-source anwendung auf windows/linux installiern, weil diese ja ein schadprogramm sein könnte und alle sicherheit auf dem system aushebelt. auf dieser eben ist
    dann leider kein vernünftiges arbeiten mehr möglich. viele professionelle programme gibt es nunmal nur als closed source.

    ausserdem, welcher normale linux-anwender schaut sich schon vorher den source-code durch, bevor er ein programm kompiliert und installiert?
    die meisten verstehen den code nichtmal. da könnte man genausogut schadsoftware reinstecken.

  10. #10
    Registrierter Benutzer Avatar von derRichard
    Registriert seit
    Nov 2001
    Beiträge
    5.069
    hallo!

    ich lass das jetzt einfach mal so im raum stehen.

    //richard
    There are two factions of CS, the ones that hate computers, and the ones that hate science.

  11. #11
    hat nen Vogel Avatar von corax2.05
    Registriert seit
    Aug 2003
    Ort
    Baden
    Beiträge
    757
    das problem ist aber, das bei dir mindestens eine closed source software im spiel ist die du nicht kontrollieren kannst, da du nie wirklich weisst was sie macht oder machen kann.

    wie man in dem von mir verlinkten film sehen kann ist es ein kinderspiel die ansich funktionstüchtige firewall zu umgehen.
    dabei spielt es keine rolle ob die firewall closed oder opensource ist.

  12. #12
    Registrierter Benutzer Avatar von ThorstenHirsch
    Registriert seit
    Nov 2002
    Beiträge
    6.556
    Zitat Zitat von tenim Beitrag anzeigen
    und nach der logik von den leuten könnte man nicht eine einzige closed-source anwendung auf windows/linux installiern, weil diese ja ein schadprogramm sein könnte
    Das ist korrekt.
    ausserdem, welcher normale linux-anwender schaut sich schon vorher den source-code durch, bevor er ein programm kompiliert und installiert?
    Normalerweise kein Anwender, sondern Entwickler und Distributoren, aber wenn Du ein Programm in Verdacht hast, spyware zu beinhalten, würdest Du das doch auch machen, oder?
    ¡Nuestro amigo... el Computador!

  13. #13
    Ein Benutzer
    Registriert seit
    Sep 2001
    Ort
    Heidelberg
    Beiträge
    216
    also habt ihr auf euren rechnern überhaupt keine firewalls, weils im zweifelsfall sowiso nichts bringt?

  14. #14
    a bug or a feature? Avatar von pfleidi85
    Registriert seit
    Sep 2004
    Beiträge
    458
    Zitat Zitat von tenim Beitrag anzeigen
    also habt ihr auf euren rechnern überhaupt keine firewalls, weils im zweifelsfall sowiso nichts bringt?
    Richtig. *zehnzeichen*

  15. #15
    Registrierter Benutzer Avatar von derRichard
    Registriert seit
    Nov 2001
    Beiträge
    5.069
    Zitat Zitat von tenim Beitrag anzeigen
    also habt ihr auf euren rechnern überhaupt keine firewalls, weils im zweifelsfall sowiso nichts bringt?
    hallo!

    ich hab noch einen link für dich:
    http://www.fefe.de/pffaq/halbesicherheit.txt

    //richard
    There are two factions of CS, the ones that hate computers, and the ones that hate science.

Ähnliche Themen

  1. Firewallprobleme beim internen Routen
    Von daniel-ruehl im Forum Router und Netzaufbau
    Antworten: 1
    Letzter Beitrag: 31.05.07, 17:02
  2. Antworten: 24
    Letzter Beitrag: 18.03.05, 08:22
  3. Antworten: 17
    Letzter Beitrag: 27.04.04, 19:45
  4. Firewall und Emule
    Von FcKoelnUser im Forum Anbindung an die Aussenwelt
    Antworten: 1
    Letzter Beitrag: 01.03.04, 10:46
  5. GQradio 0.6.0 und SuSE 8.1
    Von Athlon_Seth im Forum Anwendungen Allgemein, Software
    Antworten: 1
    Letzter Beitrag: 17.12.02, 09:49

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •