Ola,
O grande problema e que o "endpoint"" dos protocolos sao a camada de
transporte.
Na pilha TCPIP, protocolos de aplicacao, como SMTP, FTP, HTTP, POP3, e etc.,
fazem funcoes desde a camada de aplicacao a sessao (a maioria). Portanto,
provavelmente, um "firewall" ou afim que restrinja o acesso a uma
determinada porta (Camada de transporte - TCP) atraves de uma aplicacao,
tera de possuir uma filosofia baseada em agentes.
Explico: um agente e instalado no computador cliente, e, quando um
determinada aplicacao e aberta, ele leria uma ACL e veria se a aplicacao e
permitida ou nao.
Existem programas que analisam o trafego da rede e interpretam este trafego,
trazendo as informacoes a camada de aplicacao. Um muito bom (para Windows)
que existia no passado era o Abirnet SessionWall.
Ele colocava uma maquina em modo promiscuo (funcionava apenas em ethernet
compartilhado - nada de switches) e "ouvia" o trafego. Dai, se alguem
estivesse jogando Quake, ele daria um relatorio do tipo:
Host XYZW esta jogando quake 1 no servidor ABCD.
Analogamente, para outras aplicacoes:
Host XYZW esta usando o IRC, no servidor ABCD.
E assim por diante, da mesma forma que detectava aplicacoes, digamos, nao
tao amigaveis. Ele podia ser usado para proibir uma determinada aplicacao
baseado na porta/transporte que a mesma estivesse usando, mas nao uma
*aplicacao* especifica.
Infelizmente nao conheco nenhuma aplicacao que faca isso para Linux, mas com
certeza deve existir similar. Se alguem souber, ficarei grato. Era
muuuuuuito util. :-)
Em termos praticos, voltando a premissa inicial:
Bloquear o telnet para porta 25 baseado no trafego de rede seria como poder
bloquear o Outlook Express mas nao o Netscape Messenger baseado no trafego
de rede gerado.
Romulo.
"My God, what have we done ?"
-- Robert Oppenheimer.
PS: O SessionWall nao deve estar mais a venda. Particularmente nao sei. Mas
encontrei a pagina:
http://www.cstl.com/html/info/abirnet/abotseswall.htm
... que podera lhe dar uma ideia de como funcionava.
----- Original Message -----
From: "Henrique W.S. Abreu." <[EMAIL PROTECTED]>
To: "Cholewa, Romulo" <[EMAIL PROTECTED]>
Cc: "Pedro Jos� Dunkel" <[EMAIL PROTECTED]>; "Lista"
<[EMAIL PROTECTED]>; "Seguran�a"
<[EMAIL PROTECTED]>
Sent: Wednesday, August 15, 2001 1:30 PM
Subject: Re: (linux-br) aos gurus do iptables
> "Cholewa, Romulo" wrote:
> >
> > Ola Pedro,
> >
> > Infelizmente, nao acho que isso seja possivel com o iptables / ipchains.
> >
> > Acontece que o cliente de telnet apenas abre um socket com a porta
destino,
> > ou um canal de comunicacao TCP entre uma porta alta em sua maquina (1024
~
> > 65535) e a porta destino mencionada.
> >
> > A diferenca do cliente de telnet para um browser e a aplicacao, e como
ele
> > envia / interpreta comandos enviados pelo socket.
> >
> > Por exemplo: porta 25, smtp.
> >
> > Se voce der um telnet na porta 25, e digitar
> >
> > helo dominio
> > mail from:endereco_email_origem
> > rcpt to: endereco_email_destino
> > data
> > [corpo da mensagem]
> > .<ENTER>
> >
> > A mensagem sera enviada a principio. A diferenca e que um cliente smtp
como
> > seu software de correio eletronico abstrai os comandos do protocolo de
voce,
> > e vc apenas realiza as funcoes de correio, como ler, enviar, responder,
> > encaminhar etc. Mas o cliente smtp estara nada mais do que enviando tais
> > comandos atraves do socket estabelecido.
> >
> > Em termos tecnicos, voce precisaria de uma "filtragem" a nivel de
camanda de
> > apliacacao, enquanto as ferramentas citadas atuam na cada de rede.
> >
> > []'s,
> >
> > Romulo.
> >
> > "If a technology does not seem like magic,
> > that's because it's not good enough."
> >
> > ----- Original Message -----
> > From: "Pedro Jos� Dunkel" <[EMAIL PROTECTED]>
> > To: "Lista" <[EMAIL PROTECTED]>; "Seguran�a"
> > <[EMAIL PROTECTED]>
> > Sent: Wednesday, August 15, 2001 10:41 AM
> > Subject: (linux-br) aos gurus do iptables
> >
>
> se nao me engano pix firewall da cisco interage com as camadas de
> aplicacao http e smtp
>
Assinantes em 15/08/2001: 2266
Mensagens recebidas desde 07/01/1999: 127975
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
