(linux-br) Re: [seguranca] Re: (linux-br) aos gurus do iptables

[Michel A. S. Pereira - KIDMumU|ResolveBucha]

        Ol�.
        Eu estava pensando com os meus bot�es e acho que tenho uma id�ia para
alguma futura aplica��o ou aprimora��o de uma existente.
        Por exemplo, na porta 110 (POP3) voc� somente vai rodar comandos
atribuidos ao servi�o que a pertence 'HELO, USER, PASS, STAT, RETR'. Mas
nunca ir� executar um 'GET HTTP1.0/' ou 'GET arquivo.txt PUT
arquivo.txt'.
        Se fosse encontrado alguma anormalia neste estilo, j� seria alguma
coisa para nos preocupar, e verificar pq est� ocorrendo isso, pq 'isso
n�o � normal'.
        Mas ser� que � poss�vel um software fazer esse tipo de an�lise? Teria
que ter um �timo hardware? Funcionaria/assemelha-se a um IDS?

t+


"Cholewa, Romulo" wrote:
> 
> Ola,
> 
> O grande problema e que o "endpoint""  dos protocolos sao a camada de
> transporte.
> 
> Na pilha TCPIP, protocolos de aplicacao, como SMTP, FTP, HTTP, POP3, e etc.,
> fazem funcoes desde a camada de aplicacao a sessao (a maioria). Portanto,
> provavelmente, um "firewall" ou afim que restrinja o acesso a uma
> determinada porta (Camada de transporte - TCP) atraves de uma aplicacao,
> tera de possuir uma filosofia baseada em agentes.
> 
> Explico: um agente e instalado no computador cliente, e, quando um
> determinada aplicacao e aberta, ele leria uma ACL e veria se a aplicacao e
> permitida ou nao.
> 
> Existem programas que analisam o trafego da rede e interpretam este trafego,
> trazendo as informacoes a camada de aplicacao. Um muito bom (para Windows)
> que existia no passado era o Abirnet SessionWall.
> 
> Ele colocava uma maquina em modo promiscuo (funcionava apenas em ethernet
> compartilhado - nada de switches) e "ouvia" o trafego. Dai, se alguem
> estivesse jogando Quake, ele daria um relatorio do tipo:
> 
> Host XYZW esta jogando quake 1 no servidor ABCD.
> 
> Analogamente, para outras aplicacoes:
> 
> Host XYZW esta usando o IRC, no servidor ABCD.
> 
> E assim por diante, da mesma forma que detectava aplicacoes, digamos, nao
> tao amigaveis. Ele podia ser usado para proibir uma determinada aplicacao
> baseado na porta/transporte que a mesma estivesse usando, mas nao uma
> *aplicacao* especifica.
> 
> Infelizmente nao conheco nenhuma aplicacao que faca isso para Linux, mas com
> certeza deve existir similar. Se alguem souber, ficarei grato. Era
> muuuuuuito util. :-)
> 
> Em termos praticos, voltando a premissa inicial:
> 
> Bloquear o telnet para porta 25 baseado no trafego de rede seria como poder
> bloquear o Outlook Express mas nao o Netscape Messenger baseado no trafego
> de rede gerado.
> 
> Romulo.
> 
> "My God, what have we done ?"
>        -- Robert Oppenheimer.
> 
> PS: O SessionWall nao deve estar mais a venda. Particularmente nao sei. Mas
> encontrei a pagina:
> 
> http://www.cstl.com/html/info/abirnet/abotseswall.htm
> 
> ... que podera lhe dar uma ideia de como funcionava.
> 
> ----- Original Message -----
> From: "Henrique W.S. Abreu." <[EMAIL PROTECTED]>
> To: "Cholewa, Romulo" <[EMAIL PROTECTED]>
> Cc: "Pedro Jos� Dunkel" <[EMAIL PROTECTED]>; "Lista"
> <[EMAIL PROTECTED]>; "Seguran�a"
> <[EMAIL PROTECTED]>
> Sent: Wednesday, August 15, 2001 1:30 PM
> Subject: Re: (linux-br) aos gurus do iptables
> 
> > "Cholewa, Romulo" wrote:
> > >
> > > Ola Pedro,
> > >
> > > Infelizmente, nao acho que isso seja possivel com o iptables / ipchains.
> > >
> > > Acontece que o cliente de telnet apenas abre um socket com a porta
> destino,
> > > ou um canal de comunicacao TCP entre uma porta alta em sua maquina (1024
> ~
> > > 65535) e a porta destino mencionada.
> > >
> > > A diferenca do cliente de telnet para um browser e a aplicacao, e como
> ele
> > > envia / interpreta comandos enviados pelo socket.
> > >
> > > Por exemplo: porta 25, smtp.
> > >
> > > Se voce der um telnet na porta 25, e digitar
> > >
> > > helo dominio
> > > mail from:endereco_email_origem
> > > rcpt to: endereco_email_destino
> > > data
> > > [corpo da mensagem]
> > > .<ENTER>
> > >
> > > A mensagem sera enviada a principio. A diferenca e que um cliente smtp
> como
> > > seu software de correio eletronico abstrai os comandos do protocolo de
> voce,
> > > e vc apenas realiza as funcoes de correio, como ler, enviar, responder,
> > > encaminhar etc. Mas o cliente smtp estara nada mais do que enviando tais
> > > comandos atraves do socket estabelecido.
> > >
> > > Em termos tecnicos, voce precisaria de uma "filtragem" a nivel de
> camanda de
> > > apliacacao, enquanto as ferramentas citadas atuam na cada de rede.
> > >
> > > []'s,
> > >
> > > Romulo.
> > >
> > > "If a technology does not seem like magic,
> > >  that's because it's not good enough."
> > >
> > > ----- Original Message -----
> > > From: "Pedro Jos� Dunkel" <[EMAIL PROTECTED]>
> > > To: "Lista" <[EMAIL PROTECTED]>; "Seguran�a"
> > > <[EMAIL PROTECTED]>
> > > Sent: Wednesday, August 15, 2001 10:41 AM
> > > Subject: (linux-br) aos gurus do iptables
> > >
> >
> > se nao me engano pix firewall da cisco interage com as camadas de
> > aplicacao http e smtp
> >
> 
> _______________________________________________
> Lista seguranca
> [EMAIL PROTECTED]
> http://distro.conectiva.com.br/mailman/listinfo/seguranca

-- 
============================================
|PIII 500MHz - 96MB RAM - HD 8.2GB - Savage4 
|USR Sportster 56K Int Voice - Sb AWE 64
|CL 6.0 - Kernel 2.4.5 - Snort 1.8
|www.kidmumu.net - UIN 4553082 - LC 83522
|Powered by Fanta Uva e suco de Acerola
============================================

Assinantes em 16/08/2001: 2272
Mensagens recebidas desde 07/01/1999: 128150
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
            mailto:[EMAIL PROTECTED]