Filtrovani packetu na urovni aplikacni vrstvy

Pouze blokovat TCP 80 (popř. 3128, 8080...) nestačí? Pokud ne, tak prosím řádně zdůvodněte, ať víme, jak radit dál. Často se totiž některé problémy dají řešit jinak, než původně tazatel předpokládal...

4.3.2004 21:25 trosos
Rozbalit Rozbalit vše Filtrovani packetu na urovni aplikacni vrstvy

Blokovat TCP nestaci. Uplne nejlepsi by bylo, kdybych mel moznost si prichozi paket "prostudovat" v nejakym svym skriptu a nasledne rozhodnout o jeho osudu. Mozna neni potreba pouziti packet filtru, mozna to je mozny az na urovni web serveru (ja o zadnym takovym, o kterym bych to vedel, nevim). Duvod? No, je to zkratka dalsi zpusob, jak zvysit bezpecnost serveru (mozna tady namitnete, ze to jde i jinymi zpusoby - samozrejme, ale zadny neni definitivni, proto nezbyva nez aplikovat co nejvic takovejch blbosti ;-)

4.3.2004 21:48 Michal Marek (twofish) | skóre: 55 | blog: { display: blog; } | Praha
Rozbalit Rozbalit vše Filtrovani packetu na urovni aplikacni vrstvy

Mno, kdyz budete kazdy paket zkoumat v nejakem svem skriptu, tak jednak mate docela sanci, ze bezpecnost spis snizite, druhak ten server nebude vetsinu casu delat nic jineho nez zkoumat pakety :-)

Zkuste napsat presneji, o co vam jde, treba uz nejake hotove reseni existuje nebo se ukaze, ze hledate strasaky kde nejsou, atd.

4.3.2004 22:42 Mirek Nechvátal
Rozbalit Rozbalit vše Filtrovani packetu na urovni aplikacni vrstvy

Nejlépe prosím přímo specifikujte, jaký paket s jakým http obsahem byste např. blokoval a proč...

5.3.2004 11:43 trosos
Rozbalit Rozbalit vše Filtrovani packetu na urovni aplikacni vrstvy

1) posledni dobou se mi zacaly mnozit pozadavky, o kterych mam podezreni, ze by mohly vyuzivat nejake bezpecnostni diry (zatim nevim jake) - toto je docasne opatreni, nezalezi mi tedy tolik na rychlosti

2) no, a pak jsem chtel rozlisit pozadavky na ruzne virtualni servery a posilat je odpovidajicim pocitacum ve vnitrni siti s prekladem IP adres - ale tady bude asi opravdu nejlepsi nakonfigurovat az ty webovy servery, aby si vsimaly pouze svych pozadavku (teda s odpovidajici hlavickou HOST)

no ja mam obavy, ze na aplikacni urovni to nejde.. tedy pokud si pod aplikacni vrstvou predsatvujes to co ja, tj, nejaky demon i kdyz bezici pod rootem. V c knihovne se na cteni zapis ze site pouzivaji normalne read/write tedy neco kde je z jednotlivych paketu uz vyriznuta jen datova cast.

Unix pracuje tak, ze vsechna zarizeni prevadi na v podstate soubory. Takze kdyz prijde packet tak ho nejnizsci vrstva dostane ze sitoky nejspis jako retezec byte, pak to jde do ovladace tcp/ip ktera ty retezce sklada do packetu a pres ovladac virtualniho souboroveho systemu (socket) pak je k tomu pristup. Takze fakt asi neni nejaka jednoducha prima moznost.

Mozna by stacilo si nejak packety logovat a pak to statisticky zpacovavat a to uz se s iptables udelat da...

5.3.2004 13:02 Yeti
Rozbalit Rozbalit vše Filtrovani packetu na urovni aplikacni vrstvy

Mozna by stacilo si nejak packety logovat a pak to statisticky zpacovavat a to uz se s iptables udelat da...

Nicméně k tomu už bych použil spíš snort.

5.3.2004 14:46 trosos
Rozbalit Rozbalit vše Filtrovani packetu na urovni aplikacni vrstvy

Diky za tip, ten snort se jevi jako dobra vec ).

Dotaz: Filtrovani packetu na urovni aplikacni vrstvy

Odpovědi