Transparentni ochrana

Stepan Cirkl cirkl na ccu.cz
Sobota Prosinec 15 13:41:17 CET 2007


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
 
Zdravim,

podle meho narazite oproti temto komercnim produktum (je jich vice,
viz. treba take FortiGate) na problem definic. Pokud to budete chtit
resit samostatne, tak IMHO nebudete schopen je ziskat stejne efektivne
jako nakupem od danych spolecnosti. Antivir a antispam jako problem
nevidim, ale nevim, kde chcete ziskat kvalitni a rozsahlou databazi
klasifikaci stranek do kategorii a pro jejich blokovani. (zakazt porno
a pod.). Jestli vite, kde takovou DB efktivne sehnat, rad se poucim.

Zasifrovane veci z principu nezkontrolujete, takze IMHO je stejne
potreba mit nakou ochranu i na stanicich. Dale se Vam muze na stanici
dostat neco nepekneho napriklad ne mediich, ktere si uzivatele prinesou...

Proc necete poridit neco komercniho a hotoveho, ale chcete si to
slozite a s mensi efektivitou delat sam?

Abych se pokusil byt i trochu konstruktivni.

Jak na to?

Stavovay firewall - iptables, netfilter + prislusne moduly od nej.
Klasifikace p2p provozu a pod pomoci techto modulu. Pak ho muzete
zakazovat. A upravy modulu + psani novych na klasifikaci dalsich typu
nechteneho provozu. Omezovani provozu - prikaz tc. Viz.
http://lartc.org/ .

Antispam+Antivir: Pokud Vam jde jen o SMTP provoz, nainstalujte si
treba postfix+amavis+spamassassin+clamd a zkonfigurujte si to do
rezimu "filtru". Prichozi SMTP veme na FW tento SMTP server a po
zpracovani pak preda cilovemu SMTP serveru ve vnitrni siti. Odchozi
SMTP muzete natvrdo zakazat s vyjimkou legalnioho SMTP serveru a ten
pres smartrelay mit poveseny na tento fitlracni SMTP servr. Druha
moznost je veskery odchozi SMTP trafic predmerovat na tento server a
prohnat filtry. Tady asi narazite na problem, pokud klient odesila
pred SMTP server s autorizaci umisteny mimo sit. Mam pocit, ze pri
tvrdem presmerovani na Vas "SMTP proxy" autorizace neprojde. Nicmene,
to by asi slo vyresit modifikaci Vaseho SMTP serveru a bude to IMHO
jedna z tech jednodusich uprav.

POP3 a IMAP bude asi problem. Tady zadny hotovy nastroj neznam. Prvni
moznost je zakazat POP3 a IMAP z venku. Druha moznost je napast
aplikacni proxy SW, na ktery tento provoz presmerujete a ktery pak
provede kontrolu antispam a antivir kontrolu. Teprve pak je preda
klientovy. Principelne viz. treba "Obecny e-mailovy scanner" v AVG.
IMAPs a POP3s asi nevyresite, pokud v komuikaci nebudete vystupovat
jako opravdova aplikacni proxy a nebudete rozsifrovavat a
zasifrovavat. Ale to uz je defakto utok M-in-M a pri sparvne
implementaci na klientovi tak bude vyhodnocen a spojeni nebude
vyuzito. Takze pri zachovani funkcnosti IMAPs a POP3s, jedine misto,
kde pak muzete realne provest konrolu je az v emailovem klientovy
pomoci pluginu anviru a pod. O poste sifrovane napriklad pomoci PGP
plati jedno a to same. Nektere slaboucke sifry mozna rozsifrujete za
ucelem kontroly, ale ty zase nikdo, kd je pri smyslech, nebude pouzivat.

HTTP - transparentni HTTP proxy server naveseny na antivirovou
kontrolu + ACLy. Kde chcete brat data pro ACLy (kategorizace porna,
her a pod.) ? IMHO nikde zadarmo nesezenete a je nerealne, aby jste je
byl schopen delat sam. HTTP provoz pak musite na tuto transparentni
porxy nak dostat. Nemuzete to delat jen na zaklade TCP portu, takze
budete potrebovat naky modul do netfiltru, ktery HTTP provoz pozna a
presmeruje. Pro HTTPS plati defakto to same co pro sifrovane maily.
Zde tedy znate IP serveru. Na jeho zaklade urcitou filtraci provest
muzete. Staci nekde venku sehnat HTTPS proxy kterou nezklasifikujete a
uz mam cestu, jak dostat i zakaznay a NEZKONTROLOVANY obsah az na
stanici. Takze si ty viry pekne stahnu. A tem se to bude libit. Zadny
antivit na stanici a co vic i na okolnich pocitacich...  Nechtel bych
pak byt ve Vasi kuzi...

VPN - IPSec - standardni implementce v Linux, SSL tunelovani = OpenVPN.

SSL webovy portal pro pristup k vnitrnim strankam: Tady by to asi slo
resit kombinaci HTTPS severu a proxyny. Mozna je i elegantnejsi
reseni. A nebo si to cele napsat sam. Jine nez HTTP zdroje se vetsinou
resi pomoci pluginu do prohlizece, activex nebo java apletu. Tady IMHO
vlastni vyvoj.

Reporty pomoci logu a nastroje na jejich zpracovani uz si jiste snadno
zvladnete udelat.


Vysledek:

1) Bez alespon zakladniho zabezpeceni proti kodlivemu SW na stanicich
se neobejdete. Antivir/Antispy/Antiadware tam je potreba. Jsou veci,
ktere jinde z principu nenazkontrolujete a jeste je potreba myslet na
to, co se stane, kdyz treba nekdo prinese napadeny notebook a zapoji
ho do uz defakto nechranene site. Nebudu uvazovat o tom, ze by dokonce
chtel poskodit sit nekdo z vlastnich uzivatelu.

2) Jestli Vam jde o usetreni penez, tak si ten system kupte. Resit to
ve vlastni rezii Vas IMHO prijde na vic penez, pokud to nebudete
replikovat na hodne mist. Mimo to mam z Vaseho dotazu pocit, ze se
nejedna o oblast, ve ktere se prilis vyznate.

- --

s pozdravem

Stepan Cirkl
IT consultant
CC unLimited, v.o.s.



Cramer wrote:
> Tak abych to trochu upresnil.
>
> Rad bych si postavil neco na zpusob tohoto produktu
>
> http://www.zyxel.cz/web/product_family_detail.php?PC1indexflag=20040908175941&CategoryGroupNo=4327696E-D248-4212-9CC7-97A5725A2764
>
>
> Nejake napady?
>
> Pravda je, to co tu uz nekdo rikal, ze asi bude dost slozite (ne-li
>  nemozne) prohanet prez filtry (at uz antivirove,antispamove nebo
> jine) SSL, SSH a podobna spojeni. To zatim netusim vubec, jak to
> udelat.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.5 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
 
iD8DBQFHY8tszf6Y1Rt92UwRAqrMAKC6PiXFdfbdykm+l7yr8U7d8rWtYACgsoav
8rmbzcM5R//6tEG2PvkVda4=
=kcxx
-----END PGP SIGNATURE-----




Další informace o konferenci Linux