[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Brainstorming: passive firewall

hi,

Am 1. Juli 2013 11:48 schrieb Jochen Spieker <ml@well-adjusted.de>:
> Bjoern Meier:
>>
>> auch wenn es keinen interessiert: das System ist fertig. Ich bin schon
>> ein kleines bisschen stolz drauf.
>
> Glückwunsch!
>
> Bist Du so nett, nochmal zu beschreiben, was es genau tut? Ich habe das
> immer noch nicht ganz verstanden.
>
> J.


Gern. Jetzt wo das System läuft, kann ich es auch besser formulieren.
Ich brauchte ein System, über das ich sämtliche Verbindungen ins
Internet kontrollieren kann.
Ein System, dass zwischen router und allen clients sitzt (also auch
Besucher, etc.).

pfSense hatte mich auf die Idee gebracht. pfSense war schon fast genau
das was ich wollte. Allerdings störten mich ein paar Dinge:

- ich konnte nicht so einfach die aktiven Verbindungen einsehen
- und ich musste jedesmal einen lahmen und umständlichen Web-Zugriff
benutzen und selbst firewall regeln setzen.
- VPNs verwalten ist umständlich
- SSL Tunnel habe ich nicht gefunden
- Routen setzen habe ich auch nicht gefunden. Es war halt alles
umständlich und ich hatte keine Lust länger nachzusehen.

Man sitzt aber nicht gern 10 Min. an der Firewall wenn Besuch da ist.
Jedoch hatte eine Freundin einen Trojaner auf Ihrem Lappi. Ich fand
ihn, keine Frage.
Allerdings hätte ich das gern vorher gewusst. Man ist ja für seinen
Anschluss auch verantwortlich im Sinne von haftbar.
Ich wollte etwas, dass mir - fast - zeitgleich mitteilt, wenn eine
neue Verbindung aufgebaut wird und ich wollte dies möglichst
unkompliziert.
Meine Idee war es dann, mit Tomcat Webservices zu implementieren, die
es mir ermöglichen sämtlichen Verkehr - in welcher Art auch immer -
sehr einfach zu steuern ohne, dass ich mich dafür jedesmal auf der Box
anmelden muss und firewall-regeln oder sonstwas zu konfigurieren.
Zumal wechseln meine routen auch fast täglich, zumindest momentan. Da
hätte ich mit der Verwaltung mehr zu tun als mit dem Rest.

Jetzt kann ich mir aussuchen wie ich das steuern will. Webservices
kann jede Programmiersprache. Sogar mit Powershell ist das ein
Zweizeiler. Als PoC habe ich einen Client kurz formuliert, der von der
Box informiert wird, dass eine neue Verbindung aufgebaut wird und
diese Verbindung kann mit je einem Klick zugelassen oder blockiert
werden. Solange die Entscheidung nicht getroffen ist, wird die
default-policy (entweder DROP oder ACCEPT angewendet).
Einen Android-PoC ist auch in Arbeit, dann müsste ich nicht mal mehr
meinen PC anschalten.

Kurz und knapp: die Box ist quasi eine Mischung aus Fritz!Box (der
Teil wird noch stärker ausgearbeitet) und Forefront Threat Management
Gateway (früher ISA). Mit dem Unterschied, die Box geht mir nicht mit
Tools aufn Sack, die zu klobig sind(Microsofts masochistische Liebe
alles mit großen .NET-Tools zu machen die eh nicht gut funktionieren).
Mehrere Images sind hierbei möglich, da man beim Raspberry Pi die
SD-Karte wechseln kann.

Gruß,
Björn

PS: interessanterweise erzählte mir eine Kollegin ihr Junior hat den
Jugendschutz umgangen Zuhause und ich erzählte ihr von der Box und das
es dort nicht so einfach wäre (er hatte lediglich die IP geändert).
Jedenfalls zeigte sie sich interessiert die Box mal auszuprobieren.
Ist für mich auch prima, denn dann kann ich die GUIs (Für normale
Benutzer wird es wohl eine einfach Weboberfläche werden, die der
Fritz!box ähnelt) noch besser einer bestimmten Zielgruppe anpassen.
Reply to: