Deep Packet Inspection

gm · Beitrag von gm » 07 Jun 2008, 15:04

Hi,

gibt es in der Firewall irgendwie eine Möglichkeit in einzelne Pakete des Datenstroms reinzusehen (richtig die Nettodaten), um dann basierend auf diesen Ergebnissen Firewallregeln aufzusetzen. Mir würde vorschweben, dass das LANCOM alle eingehenden FTP-Verbindungen prüft und bei 5 falschen Logins (per Trigger) dann diese IP-Adresse bzw. diesen Host für einige Zeit sperrt. Nonplusultra wäre natürlich nicht die ganze IP-Adresse sperren, sondern nur einen gewissen IP-Sequenznummernbereich dieser IP, damit bei NAT-Gegenstellen nicht gleich alle ausgesperrt werden, die hinter dem NAT-Router sind? Gibt's so etwas vielleicht schon irgendwo im LCOS und ich finde das nur nicht?

Es wären mit solcher einer deep Paket Inspektion auch noch viele andere Dinge denkbar, die dann alle zentral auf der Firewall des LANCOM's administriert werden könnten. Kenne solche Funktionen von anderen Geräten der Konkurrenzfirmen. Wir benutzen in der Arbeit solche Geräte um z.B. bei einer VPN-Verbindung innerhalb von HTTP-Verbindungen anhand der enthaltenen Daten noch besondere QoS-Regeln machen zu können.

Weil ich gerade bei Featurewünschen bin: Könnte man im LANCOM nicht so etwas wie bei bei Netfilter einbauen, damit man jedes Paket mit einem Zahlenwert taggen kann (MARK), wobei sich dieser Wert bei weiteren Regeln dann wieder auswerten lässt? Dann könnte man mit der Firewall im LANCOM auch etwas mehr anfangen.

Viele Grüße
gm

backslash · Beitrag von **backslash** » 07 Jun 2008, 20:00

Hi gm

gibt es in der Firewall irgendwie eine Möglichkeit in einzelne Pakete des Datenstroms reinzusehen (richtig die Nettodaten), um dann basierend auf diesen Ergebnissen Firewallregeln aufzusetzen. Mir würde vorschweben, dass das LANCOM alle eingehenden FTP-Verbindungen prüft und bei 5 falschen Logins (per Trigger) dann diese IP-Adresse bzw. diesen Host für einige Zeit sperrt.

machst du das nicht besser auf dem Server selbst, zumal jeder Server diese Möglichkeit von Haus aus liefert...

Nonplusultra wäre natürlich nicht die ganze IP-Adresse sperren, sondern nur einen gewissen IP-Sequenznummernbereich dieser IP, damit bei NAT-Gegenstellen nicht gleich alle ausgesperrt werden, die hinter dem NAT-Router sind? Gibt's so etwas vielleicht schon irgendwo im LCOS und ich finde das nur nicht?

Das kann nicht funktionieren, da die Sequenznummern bei jeder TCP-Verbindung per Zufall neu bestimmt werden, d.h. sie sind *NICHT* aufsteigend.

Es wären mit solcher einer deep Paket Inspektion auch noch viele andere Dinge denkbar, die dann alle zentral auf der Firewall des LANCOM's administriert werden könnten.

Ein Beispiel wäre Filesharing zu filtern oder Skype zu blocken...

Wir benutzen in der Arbeit solche Geräte um z.B. bei einer VPN-Verbindung innerhalb von HTTP-Verbindungen anhand der enthaltenen Daten noch besondere QoS-Regeln machen zu können.

was ist das denn für ein VPN, indem Klartext übertragen wird... Oder meinst du ein VPN, daß am LANCOM terminiert wird, in dem du dann eine HTTP-Verbindung machst? Wäre hier nicht ein Proxy sinnvoller, auf dem du dann Kontent-Filterung machen oder einen Virenscanner laufen lassen kannst?

Weil ich gerade bei Featurewünschen bin: Könnte man im LANCOM nicht so etwas wie bei bei Netfilter einbauen, damit man jedes Paket mit einem Zahlenwert taggen kann (MARK), wobei sich dieser Wert bei weiteren Regeln dann wieder auswerten lässt? Dann könnte man mit der Firewall im LANCOM auch etwas mehr anfangen.

Das würde aber nur die Konfiguration vereinfachen, nicht aber die Funktionalität erhöhen, denn die Möglichkeit mehrere Regeln hintereinander anzuwenden hast du ja jetzt schon. Statt eines MARK und einer Regel, die darauf reagiert, mußt du z.Zt halt für jeden Fall die weitere Regel anlegen.

Aber gut, es ist eine nette "Komfort-Idee"...

Gruß
Backslash

cava · Beitrag von **cava** » 07 Jun 2008, 23:00

Vielleicht meint er ein VPN, dass über HTTP getunnelt wird.

gm · Beitrag von gm » 07 Jun 2008, 23:38

Hi backslash,

backslash hat geschrieben: machst du das nicht besser auf dem Server selbst, zumal jeder Server diese Möglichkeit von Haus aus liefert...

Der vsftpd kann genau so etwas leider nicht selbst. Man ist hier auf die Firewall z.B. Netfilter (string mit limit) oder externe Programme wie fail2ban angewiesen. Fail2ban parst die Logfiles des vsftpd und setzt dann letztlich auch nur Netfilterregeln.

backslash hat geschrieben: Das kann nicht funktionieren, da die Sequenznummern bei jeder TCP-Verbindung per Zufall neu bestimmt werden, d.h. sie sind *NICHT* aufsteigend.

Ähm, Windows, Linux und Co. vergeben die Nummern meines Wissens nach einfach fortlaufend. Einzig die verschiedenen BSD-Varianten vergieben diese Nummern per zufälligen Zufall. Aber stimmt dieser Punkt ist eine doofe Idee von mir, da es keine wirkliche Sicherheit bringt.

backslash hat geschrieben: Ein Beispiel wäre Filesharing zu filtern oder Skype zu blocken...

Genau. Es wären viele Szenarien denkbar wo man so etwas brauchen kann.

backslash hat geschrieben: was ist das denn für ein VPN, indem Klartext übertragen wird... Oder meinst du ein VPN, daß am LANCOM terminiert wird, in dem du dann eine HTTP-Verbindung machst? Wäre hier nicht ein Proxy sinnvoller, auf dem du dann Kontent-Filterung machen oder einen Virenscanner laufen lassen kannst?

Das Loadbalancing läuft natürlich vor dem Verschlüsselungsvorgang, wäre sonst etwas schwierig.

backslash hat geschrieben: Das würde aber nur die Konfiguration vereinfachen, nicht aber die Funktionalität erhöhen, denn die Möglichkeit mehrere Regeln hintereinander anzuwenden hast du ja jetzt schon. Statt eines MARK und einer Regel, die darauf reagiert, mußt du z.Zt halt für jeden Fall die weitere Regel anlegen.

Aber gut, es ist eine nette "Komfort-Idee"...

Eine einfachere Konfiguration ist eine sichere Konfiguration. Vor allem bei QoS-Konfigurationen könnte es hilfreich sein, wenn man z.B. erst ab dem 15 Paket eine QoS-Regel ziehen lassen möchte: Eine Regel setzt den Marker und die QoS-Regel zieht bei allen Paketen die markiert sind.

Gruß
gm