Re: Brainstorming: passive firewall

To: Debian german userlist <debian-user-german@lists.debian.org>
Subject: Re: Brainstorming: passive firewall
From: Bjoern Meier <bjoern.meier@gmail.com>
Date: Sun, 16 Jun 2013 15:30:28 +0200
Message-id: <[🔎] CAGMPS54R37b5+BJ9r6_QUKbmmYQUv_c=a1W6rr1GQRuhYGhDDA@mail.gmail.com>
In-reply-to: <[🔎] CAGMPS54MDHznn1WXW+80B2vUoUH8N2DzDqpsz-WD5zYiDev77w@mail.gmail.com>
References: <[🔎] CAGMPS5693GNhMq1rSgFo5=HLMnHNAMC8KoWeYtfOerfcbhM+6A@mail.gmail.com> <[🔎] 20130613173512.GE5707@well-adjusted.de> <[🔎] CAGMPS57Ofkvbm6dC=HoJ2mnqL9s=ep-C1+GGbBMi-b2Eq4u50Q@mail.gmail.com> <[🔎] 20130613210809.GF5707@well-adjusted.de> <[🔎] CAGMPS54MDHznn1WXW+80B2vUoUH8N2DzDqpsz-WD5zYiDev77w@mail.gmail.com>

hi,

Alles in Allem wesentlich einfacher als ich zu erst dachte.

Für die, die es interessiert, hier mein vorgehen:
Eines war klar: der Aufruf von iptables über einen externen Trigger
ist etwas, dass man sich überlegen sollte, ob das so gut ist. Ich
entschied mich für einen Kompromiss.
ich wollte einen Webservice nutzen, der auf Eingaben wartet.
Webservice deswegen, da er auch über http vergügbar ist und ich mich
um das Protokoll nicht kümmern brauche, sehr einfach zu implementieren
ist, mit tomcat security constraints möglich sind und Clients in so
ziemlich jeder Hochsprache ohne Mühen fix geschrieben sind.
Tomcat als root starten kommt nicht in Frage. iptables ist aber nur
durch root aufzurufen. Ok, sudo. Jetzt wollte ich auch nicht alle
Funktionen von iptables tomcat zur Verfügung stellen. Deswegen schrieb
ich ein paar kleine Scripte und stellte die per sudo tomcat zur
Verfügung. Das hat den Funktionsumfang deutlich begrenzt und ich
konnte die Parameter in den Scripten sehr einfach durch regex
überprüfen (man will ja keine Injections, auch wenn man die Clients
selber schreibt.).

Der Webservice war mit dem Invoker vom ProcessBuilder auch kein
Problem. Somit konnte ich nun gelockte IPs in einer bestimmten chain
abrufen, blocken und freigeben.
Wie bekomme ich nun aber mit, wenn eine neue Verbindung besteht, die
mir dann zur Entscheidung zur Verfügung steht, WebService sind
Pull-Services?
Ich entschied mich für die faule Variante.  Ich übergab iptables eine
Regel in der ich diese verbindung mit syslog logge und syslog bekam
die Aufgabe, diese Meldung an meinen Client weiterzureichen. Nun
brauchte ich nur noch auf UDP Port 514 warten und die Pakete nach der
Meldung filtern.

Das ist alles natürlich noch nicht ausgereift. Funktioniert aber schon
ganz gut. Ich überlege mir noch, den Werbservice dahingehend zu
erweitern, dass man syslog  anweisen kann die Clientliste zu
erweitern.
Durch die Security Constraints von Tomcat funktioniert das Ganze auch
mit einer bisher bewerten Authentifizierung.
Natürlich Tomcat und Java sind keine Leichtgewichte, aber als PoC geht
das schon durch.

Folgendes soll dann noch hinzukommen:

- VPN und Routen-Verwaltung
- Snort-Meldungen über Priority 1 Warnungen
- Port-Tunnel-Verwaltung

Meinungen?

Gruß,
Björn

Reply to:

References:
- Brainstorming: passive firewall
  - From: Bjoern Meier <bjoern.meier@gmail.com>
- Re: Brainstorming: passive firewall
  - From: Jochen Spieker <ml@well-adjusted.de>
- Re: Brainstorming: passive firewall
  - From: Bjoern Meier <bjoern.meier@gmail.com>
- Re: Brainstorming: passive firewall
  - From: Jochen Spieker <ml@well-adjusted.de>
- Re: Brainstorming: passive firewall
  - From: Bjoern Meier <bjoern.meier@gmail.com>

Prev by Date: Re: Chauvinist
Next by Date: Re: debian-multimedia.org ist nicht Debian
Previous by thread: Re: Brainstorming: passive firewall
Next by thread: wheezy Samsung SE-208DB
Index(es):
- Date
- Thread