Folge dem Video um zu sehen, wie unsere Website als Web-App auf dem Startbildschirm installiert werden kann.
Anmerkung: Diese Funktion ist in einigen Browsern möglicherweise nicht verfügbar.
Original geschrieben von incmc
Hi!
Ich habe gelesen, dass es Paketfilter gibt, die Userauthentifizierung ermöglichen, so wie es Proxies tun.
Also z.B. wenn du http nutzen willst, bitte erst authentifizieren.
Jedoch sind die selten und ich kenne keinen solchen.
Kennt ihr einen?
Gruss, Jochen
Original geschrieben von buebo
Moin,
von reinen Paketfiltern mit Authetifizierung habe ich noch nie gehört und meines Wissens bieten weder ipfw noch pf dieses Feature, wie schon im anderen Threat erwähnt kenne ich das nur von transparenten Proxys.
Mal ganz abgesehen davon wie soll man sich auf TCP/IP Basis authetifizieren? Gibt's da einen Header für?
buebo
Original geschrieben von incmc
Das wird eben nicht detailliert beschrieben. Glaube es war in einem Buch dass mir hier vor kurzen empfohlen wurde von kith (Building Internet Firewalls. Internet and Web Security)
Habe es jetzt nicht mehr genau nachgeschlagen, viel mir aber gerade ein, dass dort kurz davon geredet wurde. Da bin ich mir fast absolut sicher. Seitdem bin ich scharf drauf, da ich bis jetzt nicht so der fan von Proxies bin :-)
Wie das exakt funktionieren solll, mmh, könnte ich nur spekulieren. Muss erst noch den link zu authpf lesen, aber vermute dass es doch gehen sollte Verbindungen eine Userzugehörigkeit zu verpassen.
Dann kann ich auch nach Protokollen Rechte vergeben, du darfst das, aber nicht das Protokoll nutzen. Würde es gar nicht an TCP knüpfen.
Müsste doch allgemeiner gehen. Z.B. ganz stumpf ohne auf die eigentliche Verbindungsanfrage zu gucken, erst einmal auf mac Adresse und IP des Clienten gucken.
Wenn ok, darf er das, was ich ihm erlaubt habe in den Rechten. Kein perfekter Schutz, sind Passwörter aber auch nicht.
Mit Applikationspezifischen Protokollen hat das für mich nichts zu tun bzw. so tiefgehend meinte ich es nicht.
Wobei in dem Buch auch davon die Rede ist, dass es Paketfilter gäbe, die z.B. beim ftp Protokoll den usernamen testen können und z.B. alle Verbindungen mit username "doener" blocken. Ich weiss nicht, ob es hier noch um frei erhältliche Produkte geht. I'm just curious ;-)
Ein Paketfilter kann ja wenn er nicht zu den dümmsten gehört immerhin die mainstream Protokolle erkennen und auch deren Status überwachen, (mehr oder weniger) also sollte er doch auch in gewissem Maße diese Verbindungen mit weiteren Aktionen belegen können.
Evtl. irre ich ja auch :-) aber das Buch redet davon.
Gruss, incmc [/B]
Was du jetzt mit "applikationsspezifisch" gemeint hast, ist mir unklar. Ausserdem kannst du keine Applikationen filtern, sondern nur nach IP-Adresse, Protokoll & Interface.
Ohne dieses Hintergrundwissen, würde ich mich nicht trauen, solch komplexe Sachen zu machen. Es ist nicht bloß das stupide Verbieten & Erlauben. Es ist wirklich viel, viel mehr.
Das habe ich auch schon früh feststellen müssen, als ich anfing, mich mit solchen Sachen zu beschäftigen
Original geschrieben von incmc
Stimmt, etwas unglücklich ausgedrückt. Ich meinte damit höhere Protokolle, wie ftp, http, ssh, alles dieser Klasse halt.
Ich weiss doch bereits einiges, also so als den blutigen Anfänger bezeichne ich mich diesbezüglich nicht mehr so.
Anfangs zig Monate zurück, erinnere mich noch, fast irre geworden, weil natürlich alles sofort hätte gehen sollen. Was mich dann aber doch zig Tage gekostet hat und viel viel lesen *g*.
Es gibt aber noch verammt vieles zu lesen, da hasse recht.
Interessiert mich aber brennend, hehe.
Zu den dummen und schlauen Paketfiltern. Richtig, stateful etc., aber ich dachte da mehr an die, die angeblich auch in der Lage sind höhere Protokolle zu "durchschnüffeln".
Aber nachdem ich nochmal drüber nachdachte, musste ich doch einsehen, dass in dem Posting, was ich danach ein wenig korrigiert, doch einiges nicht sooo korrekt war.
Erst denken, dann posten :-)
Was gibt es so an weiterführenden Büchern, die praktischer auf Unix Firewalls eingehen, wie ipf, pf? Finde da nicht so DAS Buch :-(
Gruss, incmc [/B]
Original geschrieben von incmc
Sch... kennt denn keiner einen Paketfilter von dem da geredet wird? Muss doch einer wissen.
Was ist eigentlich mit ipf Version 4, kommt die irgendwann, oder ist da nichts mehr?
Der Entwickler hat ja vor "geraumer" Zeit in der Openbsd mailinglist dickt auf die Ka... gehauen, dass in der Version 4 Features wären, die einfach genial wären. Mmh...
Zu den Büchern, mal gucken. Ich sitze eher auf der FreeBSD Schiene. Aber wenn es überwiegend um pf geht, sollte das ja ok sein. Mal gucken, kostet ja auch alles Kohle.
Rechtschreibfehler beherrsche ich auch sehr gut :-)
Gruss, incmc [/B]
Wobei in dem Buch auch davon die Rede ist, dass es Paketfilter gäbe, die z.B. beim ftp Protokoll den usernamen testen können und z.B. alle Verbindungen mit username "doener" blocken. Ich weiss nicht, ob es hier noch um frei erhältliche Produkte geht. I'm just curious ;-)
bekommen. Eines davon beschäftigt sich sogar nur mit dem Entwurf von Firewalls.
Original geschrieben von current
Das nennt sich "stateful inspection" und ist in kommerziellen Produkten wie Checkpoint FW-1 implementiert. Die haben intern eine richtige state-machine die die Pakete reassembliert und dann z.B. das ftp-Protokoll entschlüsseln kann und z.B. automatisch ports freigeben kann (für nicht-passives ftp) oder eben auch Benutzer aussperrt.
Dazu noch ein Link: http://www.sofaware.com/html/tech_stateful.shtm
Original geschrieben von incmc
? Wo?
http://www.amazon.com/exec/obidos/s...enbsd&search-type=ss&bq=1/103-7465283-1575065
sehe da nichts über ein openbsd Buch was bald rauskommt und sich nur mit pf beschäftigt... oder zu blind?
@current
Mmh, also nix mit freier Software.... bis jetzt.
Gruss, incmc
Stateful inspection ist auch mit pf möglich.
Original geschrieben von current
Sagen wir mal so: in der pf Dokumentation findet sich auch das Stichwort "stateful inspection". Allerdings findest Du bei FW-1 weit mehr Funktionalität als bei pf. Ein Beispiel ist z.B. die Analyse des ftp-Protokolls "im Kernel" über die interne state machine. Du kannst das als Kombination von paket filter und application level firewall verstehen. Soweit ist pf (noch?) nicht.
Original geschrieben von bnerft
Eigentlich ist ja pf für die Absicherung von Wireless LAN
bestimmt, aber es interessiert die Firewall sicherlich nicht,
ob der traffic über Funkt oder Cat5 kommt :-)
Gruss
bnerft
Und die Sache mit der Analyse des ftp-Protokolls kann mit einer IDS-Software genauso gut (oder genauso schlecht) erledigt werden. Snort ist so ein Beispiel für die Analyse des übertragenen Traffics.
Es geht mir einfach darum, incmc, so gut ich kann, zu helfen, die Lösung seiner Probleme zu finden
Original geschrieben von incmc
Mmh, wireless Lan auch hier vorhanden. Damit ich auf den Klo surfen kann, lach :-)
Aber ich würde da eher mit Dingen wie IPSec rangehen, nen Paketfilter macht die Übertagung da nicht gerade sicherer.
Oder meintest du das anders...?
Gruss, incmc
Original geschrieben von current
Ja klar - nur der snort meckert erst wenn es zu spät ist :-)
Aber die Analogie ist gut, ich denke snort macht es so ähnlich wie die tolle FW-1 engine...
Gutes Schlusswort :-) [/B]
Wir verwenden essentielle Cookies, damit diese Website funktioniert, und optionale Cookies, um den Komfort bei der Nutzung zu verbessern.
Siehe weitere Informationen und konfiguriere deine Einstellungen