Paketfilter mit User Authentifizierung?

[I.MC]

Original geschrieben von ColdWisdom
bnerft hat einen Link gepostet unter dem du, unter anderem, auch 'ne Menge pber IPsec erfahren kannst.

Hier nochmal der Link (die Homepage davon): http://www.unixscout.de

Ausserdem findest du bei http://www.openbsd.org in der OpenBSD-FAQ eine detaillierte Beschreibung, wie man IPSec unter OpenBSD fährt. Und diese kann man ja bestimmt (Änderungen aber möglich) unter FreeBSD anwenden.

Bestimmt gibt es auch da Anleitungen von dem FreeBSD-Projekt selbst. Ich kann dir aber keine direkt nennen

Gruß

CW

? Häh, watt denn nu los? Ich raffe jetzt ehrlich nicht, was du mir damit sagen willst? Meinst du überhaupt mich?
Ich wollte nur auf den Wireless Lan Kram hinaus und den link habe ich selber gecheckt

 

[CW]

Original geschrieben von incmc
? Häh, watt denn nu los? Ich raffe jetzt ehrlich nicht, was du mir damit sagen willst? Meinst du überhaupt mich?
Ich wollte nur auf den Wireless Lan Kram hinaus und den link habe ich selber gecheckt

Hi, sorry für die Konfusion ...

In einem Posting von dir stand Folgendes:

Mmh, wireless Lan auch hier vorhanden. Damit ich auf den Klo surfen kann, lach :-)
Aber ich würde da eher mit Dingen wie IPSec rangehen, nen Paketfilter macht die Übertagung da nicht gerade sicherer.
Oder meintest du das anders...?

Gruss, incmc

Daher habe ich dir die Links geschickt.

Du kannst mein Posting also vergessen, wenn du schon anderweitig Infos geholt hast.

Außerdem (nur am Rande) ... pf hat nichts mit der Art der Übertragung zu tun.

Das Ding filtert nur

Gruß

CW

 

[I.MC]

Original geschrieben von ColdWisdom

Außerdem (nur am Rande) ... pf hat nichts mit der Art der Übertragung zu tun.

Das Ding filtert nur
[/B]

das sagte ich ja

Gruß, incmc

 

[bnerft]

Original geschrieben von ColdWisdom

Bestimmt gibt es auch da Anleitungen von dem FreeBSD-Projekt selbst. Ich kann dir aber keine direkt nennen

http://www.de.freebsd.org/doc/de_DE.ISO8859-1/books/handbook/ipsec.html


Gruß

bnerft

 

[MrFixit]

Wie sieht es denn nun mit deiner User-Authentifizierung aus? Was willst du denn da genau machen? Da waeren naemlich einige Fragen vorab zu klaeren:

Willst du User oder Client Authentifizierung? Also lokale User, oder Pakete von anderen Rechnern im LAN, die geroutet werden?

IPFW kann auch UIDs filtern. D.h. du kannst Regeln der folgenden Art verwenden

add 1000 allow ip from any to any uid 0
add 1999 fwd 127.0.0.1,80 ip from any to any
add 2000 deny ip from any to any

Das wuerde alle ausser root blockieren und auf den Webserver auf localhost umleiten (da sollte dann ein auth-skript laufen). Hat sich nun User 42 authentifiziert, so fuegt dein auth-skript eine Regel 1100 ein, die dem User 42 alles erlaubt.

Aber ich denke mal du willst eher eine Art Client-Authentifizierung. Dazu solltest du ueberlegen, ob du auf IP- od. MAC-Ebene authentifizieren willst, oder das ganze gleich per IPSec abschottest (bietet sich fuer WLAN an, im normale LAN ist das wohl Overkill).
Na jedenfalls kannst du dann das 'uid' von oben einfach streichen und auf MAC oder IP Eben die Pakete durchlassen, oder auch nicht. Siehe ipfw(8)

Edit: Regel 1999 vergessen

 

[I.MC]

Willst du User oder Client Authentifizierung? Also lokale User, oder Pakete von anderen Rechnern im LAN, die geroutet werden?

Berechtigte Frage: Ich möchte eine Auth. auf dem Router-Paketfilter. Keine auf den lokalen Rechnern.

Dazu solltest du ueberlegen, ob du auf IP- od. MAC-Ebene authentifizieren willst, oder das ganze gleich per IPSec abschottest (bietet sich fuer WLAN an, im normale LAN ist das wohl Overkill).
Na jedenfalls kannst du dann das 'uid' von oben einfach streichen und auf MAC oder IP Eben die Pakete durchlassen, oder auch nicht. Siehe ipfw(8)

Nach IP ist ja einfach, nur halt zu einfach zu umgehen. Mit der Mac Adresse fände ich schon besser. Aber ipf, pf können das anscheinend nicht (grummel). Raff ich nicht, wieso man nich nach MAC Adressen filtern kann. Wusste gar nicht, dass ipfw das kann.
Hier in der Uni musste ich mich allerdings auch erst freischalten lassen mit Angabe meiner MAC Adresse. Vorher kam ich nicht in das LAN. Wie machen die das denn dann? Mit transparenten, allgemein-Proxy (nicht Protokoll spezifisch, mir fällt das Wort gerade nicht ein)?

Zu der "authpf" Geschichte ... ist aber auch nicht so der Hit. Da muss ich mich erst per ssh einloggen, dann werden je nach User die Regeln in des Paketfilters geändert und somit kann ich eine Userabhängige Auth. schaffen. Aber jedenfalls eine Möglichkeit. :-)


Gruss, incmc

 

[CW]

Original geschrieben von incmc

Nach IP ist ja einfach, nur halt zu einfach zu umgehen. Mit der Mac Adresse fände ich schon besser. Aber ipf, pf können das anscheinend nicht (grummel). Raff ich nicht, wieso man nich nach MAC Adressen filtern kann.

Nichts ist einfach. Und lernen ist am schwersten.

Weil pf unf ipf auf den Schichten 2 und 3 angesiedelt sind (IP und TCP) und nicht auf der Schicht 1 (Netzschicht), können sie eben nicht nach MAC-Adressen filtern.

Hier in der Uni musste ich mich allerdings auch erst freischalten lassen mit Angabe meiner MAC Adresse. Vorher kam ich nicht in das LAN. Wie machen die das denn dann?

Jede MAC-Adresse muss eine IP-Adresse zugewiesen bekommen. Man surft ja nicht mit MAC-Adressen, sondern mit IPs. Und ich gehe davon aus, dass deine IP dynamisch per DHCP vergeben wird. Deswegen war es eben nötig zu erfahren, welche MAC du hast.

Frag einfach die Leute in dem Rechnenzentrum, ob sie DHCP fahren.

Mit transparenten, allgemein-Proxy (nicht Protokoll spezifisch, mir fällt das Wort gerade nicht ein)?

Was hat Proxying mit MAC-Adressen zu tun?

Du vermischst Anwendungsschicht mit der Netzschicht.

Zu der "authpf" Geschichte ... ist aber auch nicht so der Hit. Da muss ich mich erst per ssh einloggen, dann werden je nach User die Regeln in des Paketfilters geändert und somit kann ich eine Userabhängige Auth. schaffen. Aber jedenfalls eine Möglichkeit. :-)

So ein Verfahren wird z.B. in meiner Uni angewandt (ich glaube aber nicht, dass unser RZ OpenBSD fährt). Man loggt sich per ssh ein und dann wird der entsprechende Regelsatz geladen, damit man "frei surfen" kann (also ohne den standard-Proxy). Und wenn man exit eingibt, ist es aus. Dann kann man entweder Proxy wieder nehmen (und nur einige freigegebene Ports/Dienste nutzen) oder dumm gucken

Ich empfehle dir auf alle Fälle, erst einmal zu lernen, was einzelne Schichten sind, Paketfilter, Ports usw.

Letztendlich haben sie ja alle Stärken und Schwächen und man kann sie nur dann wirkungsvoll nutzen, wenn man weiß, womit man es zu tun hat. Ansonsten verheddert man sich in immer mehr Fragen.

In diesem Sinne: Gruß und happy learning

CW

 

[I.MC]

Original geschrieben von ColdWisdom

Weil pf unf ipf auf den Schichten 2 und 3 angesiedelt sind (IP und TCP) und nicht auf der Schicht 1 (Netzschicht), können sie eben nicht nach MAC-Adressen filtern.

Das weiss ich. Aber soeben wurde gesagt, ipfw könne das.

Jede MAC-Adresse muss eine IP-Adresse zugewiesen bekommen. Man surft ja nicht mit MAC-Adressen, sondern mit IPs. Und ich gehe davon aus, dass deine IP dynamisch per DHCP vergeben wird. Deswegen war es eben nötig zu erfahren, welche MAC du hast.

Ich weiss wie DHCP funzt, habe selber nen Server. Das ist aber nicht richtig. Wozu brauchen sie meine MAC, wenn sie mir dynamisch ne IP zuweisen. Was den DHCP Server angeht, braucht man dafür nur die MAC Adresse, wenn man immer dieselbe IP (fest) zuweisen möchte.
Das beantwortet nicht die Frage, wie sie es dort gemacht haben. Der DHCP Server hält mich nicht davon ab mir selber einfach manuell eine IP zu geben. Er blockt keine Zugriffe. Das macht die Firewall. Also müssen die irgendwie einen Filter haben der nach MAC Adressen geht, mich also rein lässt in das UNI Lan oder nicht. Daher brauchten sie meine MAC Adresse.

Was hat Proxying mit MAC-Adressen zu tun?
Du vermischst Anwendungsschicht mit der Netzschicht.

Nein, tue ich nicht. Ich fragte das, weil ich nach der Antwort suche, wie sie hier nach MAC Adressen den Zugriff filtern. Da es anscheinend mit (pf, ipf) nicht geht, dachte ich, ok, evtl. kann es ein Proxy. Auch wenn dieser eigentlich auch nicht auf Ethernet Ebene etc. (1) arbeitet.

Ich empfehle dir auf alle Fälle, erst einmal zu lernen, was einzelne Schichten sind, Paketfilter, Ports usw.

Weiss ich gut genug, Missverständnis gewesen :-)
Ich frag die in der Uni mal...

Gruss, incmc

 

[CW]

Original geschrieben von incmc
Das weiss ich. Aber soeben wurde gesagt, ipfw könne das.

ipfw ist aber nicht pf/ipf.

Ich weiss wie DHCP funzt, habe selber nen Server. Das ist aber nicht richtig. Wozu brauchen sie meine MAC, wenn sie mir dynamisch ne IP zuweisen.

Und an wen sollten sie denn die zu vergebende IP zuweisen? An den erstbesten Rechner, den man eben ans Netz gebracht wird. Ich glaube nicht, dass die Leute in eurem RZ so dumm sind, dass die die IPs einfach so in den Äther rausschleudern.

Na ja, sei's mir egal. Ich hielt es halt für möglich, dass sie deswegen die MACs registrieren.

Was den DHCP Server angeht, braucht man dafür nur die MAC Adresse, wenn man immer dieselbe IP (fest) zuweisen möchte.

Warum widersprichst du dir selber. Oben sagst du, sie (die MAC) sei nicht nötig und jetzt sei sie doch notwendig.

Egal ... ich mache weiter

--------------------------------------------------------------------

Da du selber einen fährst musstest du wissen, dass man in der dchpd.conf eben zwei Möglichkeiten hat:

a) Einen Adress-Range aufzubauen, von dem aus alle anfragenden Rechner eine IP zugeweisen bekommen.

b) eine sog. group einzurichten, in der steht, wie der Rechner heißt und was für eine MAC er hat und natürlich auch, welche IP er bekommen soll, wenn er das entsprechende UDP-Anfragepaket an den DHCP-Server abschickt.

Das müsstest du doch wissen?

Das beantwortet nicht die Frage, wie sie es dort gemacht haben. Der DHCP Server hält mich nicht davon ab mir selber einfach manuell eine IP zu geben.

Jeder Rechner auf diesem Planeten kann sich selber eine IP vergeben. Es hängt von den Routern/Switches ab, ob sie diese weiterleiten. Das ist der Knackpunkt

Er blockt keine Zugriffe. Das macht die Firewall. Also müssen die irgendwie einen Filter haben der nach MAC Adressen geht, mich also rein lässt in das UNI Lan oder nicht. Daher brauchten sie meine MAC Adresse.

Ich sehe, dass sich der Thread langsam in Richtung der Wahrscheinlichkeiten wendet und daher kann ich hier nicht weiter machen. Wenn du selber nicht weißt, wie es geht und Vermutungen aufstellst, kann ich dir da nicht weiter helfen.

Nein, tue ich nicht. Ich fragte das, weil ich nach der Antwort suche, wie sie hier nach MAC Adressen den Zugriff filtern.

Bist du eigentlich auf der Suche nach der Erklärung, wie die Leute aus eurem RZ filtern oder willst du selber einen FIlter bauen? Oder willst du beides wissen? Wie wäre es wenn du dich über die Switches informierst? Sie kommen "dazwischen" ... zwischen Dir und dem Server, der dir die IP vergibt. Sie erkennen die MACs z.B.

Da es anscheinend mit (pf, ipf) nicht geht, dachte ich, ok, evtl. kann es ein Proxy. Auch wenn dieser eigentlich auch nicht auf Ethernet Ebene etc. (1) arbeitet.

Schon wieder die Vermischung der unterschiedlichen Sachen.

O.K. das wars für mich. Ich gehe woanders meine Energie verschwenden.

Ließ bitte die FAQs, manpages, Bücher usw.

Aber das habe ich schon gesagt ...

CW

 

[MrFixit]

Original geschrieben von incmc
Nach IP ist ja einfach, nur halt zu einfach zu umgehen. Mit der Mac Adresse fände ich schon besser. Aber ipf, pf können das anscheinend nicht (grummel). Raff ich nicht, wieso man nich nach MAC Adressen filtern kann. Wusste gar nicht, dass ipfw das kann.

Ja ipfw kann nach Layer2 Adressen filtern. Allerdings laesst sich diese genauso leicht faelschen wie eine IP Adresse. Wirkliche authentifizierung kriegst du nur mit IPSec oder VPN-Technik.

Hier in der Uni musste ich mich allerdings auch erst freischalten lassen mit Angabe meiner MAC Adresse. Vorher kam ich nicht in das LAN. Wie machen die das denn dann? Mit transparenten, allgemein-Proxy (nicht Protokoll spezifisch, mir fällt das Wort gerade nicht ein)?

Das scheint wohl inzwischen jede Uni so zu machen (meine ebenfalls). Das funktioniert, indem die Firewall-Regeln http-Anfragen von unbekannten IP/MAC Adressen auf ihren http/https Server umlenken, der dann die Authentifizierung vornimmt. Ist das geschehen wird eine Firewallregel eingefuehrt, die Paket von deiner IP/MAC ungehindert passieren laesst (sie muss also vor der default-Regel stehen). Meldest du dich ab, oder "expired" dein Login, dann wird diese Regel wieder geloescht.

Ganz einfach eigentlich. Wo ist das Problem, dies umzusetzen? Ein bisschen sh-fu und eine Datenbank, die die Zuweisung Regel <-> User uebernimmt sollte genuegen. Ipfw macht es dir sogar sehr leicht, da ein Zaehler mitlaeuft, welcher zeigt wann das letzte Paket gematcht wurde. Ist also ueber 30 Minuten kein Paket mehr ueber die Regel gelaufen, wird sie entfernt.

 

[bnerft]

Kurzer Hinweis am Rande:
Auf OSI Layer 3 (Router) werden die Mac Adressen
weggeschmissen, sie kommen also bei den Application Servern nicht an und können daher direkt dort nicht abgefragt werden. Jede Diskussion darüber, ob Paketfiltering auf Mac Adressen angewandt werden kann ist daher recht überflüssig.Es sei denn, es wäre ein LAN und kein Router hinge dazwischen, aber sobald ich Netze überschreite ist die Mac definitiv weg.

Nix für ungut

Gruß

bnerft (B nerft)

 

[I.MC]

@Mrfixit, danke.
@CW

Ich werfe nichts durcheinander und vermuten tue ich auch nichts. Und alles diesbezügllich des DHCP ist mir sonnenklar und etwas "falsches" wurde hier nicht von mir erwähnt.
Nur irgendwie reden wir da ein wenig aneinander vorbei, oder du liest nicht alles / genau was ich schrieb. Passiert halt bei Schriftverkehr. Aber sowas dann mit ich verschwende meine Engerige wonanders, lern du erst mal etc. zu beantworten finde ich nicht gerade objektiv / neutral, zudem das schlicht auf Vermutungen basiert.

Ich war halt der Frage auf der Spur ob es halt einen Paketfilter gibt der wie auch immer eine Auth. ermöglicht weil ich es laß und kein solches Produkt kenne.
Das man dann auch ein wenig abschweift auf andere Möglichkeiten finde ich durchaus ok, sogar wünschenswert :-)

Wie man sieht, wurden ja ein paar genannt, was mich sehr freut. Danke. Danke auch für deinen Buchtip. Behalte es im Auge.

Gruss, incmc

 

[MrFixit]

Original geschrieben von bnerft
Auf OSI Layer 3 (Router) werden die Mac Adressen
weggeschmissen, sie kommen also bei den Application Servern nicht an und können daher direkt dort nicht abgefragt werden. Jede Diskussion darüber, ob Paketfiltering auf Mac Adressen angewandt werden kann ist daher recht überflüssig.Es sei denn, es wäre ein LAN und kein Router hinge dazwischen, aber sobald ich Netze überschreite ist die Mac definitiv weg.

Ist ja schoen und gut, aber bevor hier wieder jeder mit irgendwelchen Schichten um sich wirft, die sich irgend ein tolles Gremium ausgedacht hat, sollten wir vielleicht die Aufgabenstellung im Auge behalten.

So wie ich das sehe, will incmc seinen Clients im LAN nur selektiven Internet Zugang ueber seinen Router gewaehren. Ich wuerder mich jetzt aber sehr wundern, wenn sein LAN zu Hause (oder wo auch immer) schon geroutet werden wuerde. Die Frameadressen sollten also ziemlich sicher am Router ankommen. Das man keine Authentifizierung auf irgendwelche Netzwerkadressen macht, sollte eigentlich auch klar sein, aber naja.

 

[I.MC]

Original geschrieben von MrFixit
So wie ich das sehe, will incmc seinen Clients im LAN nur selektiven Internet Zugang ueber seinen Router gewaehren.

Yup. Will das nur interessehalber wissen.

Das man keine Authentifizierung auf irgendwelche Netzwerkadressen macht, sollte eigentlich auch klar sein, aber naja.

Um es sicher zu bekommen nicht, ok. Auf MAC Adressen sind ja nicht gerade sicher, hast du natürlich recht. Aber wenn eh nur normale Bürouser da sind etc. könnte man die damit ja schon ein wenig bremsen. Irgendwie bleit ja wirklich nur eine VPN Einwahl über. Wenn man es auf höhere Protokolle eingrenzen will, muss man entweder einen dieser tollen Paketfilter haben, oder Proxies nehmen. Mmh...

Vpn für internes Netz. Wieso eigentlich nicht. Für Funk nimmt man es ja auch. Muss ich im Hinterkopf behalten. Nur bei grösseren Netzen hat der IPSec Server Rechner dann aber gut zu rechnen.


Gruss, incmc