Application Control Firewall möglich?

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

Application Control Firewall möglich?

Beitrag von user18 » 22.07.2018 16:00:54

Hallo,

verschiedene Hersteller können anhand von den weitergeleiteten Traffic erkennen, um welchen Anwendung es sich handelt und anhanddessen die Anwendung erlauben oder blockieren.
(Wie beispielsweise https://docs.fortinet.com/uploaded/file ... trl-50.pdf)

Fortigate nennt dies "Application Control Sensors", wie zum Beispiel Skype oder Facebook, Teamviewer, ...

Gibt es sowas auch für Linux?

BenutzerGa4gooPh

Re: Application Control Firewall möglich?

Beitrag von BenutzerGa4gooPh » 22.07.2018 16:23:07

Dürfte auf Intrusion Detection / Intrusion Prevention Systems (IDS/IPS) hinauslaufen.
Debiansuricata, Debiansnort und Debiansquid mit Deep Packet Inspection (DPI) wären Kandidaten. Die Pakete an sich gibt es auch für Linux. Pakete mit GUI sind integriert in OPNSense und pfSense als Open-Source-Firewall-Distributionen auf Basis FreeBSD. Evtl. in Firewall-Distribution IPFire auf Linux-Basis.
... wie zum Beispiel Skype oder Facebook, Teamviewer, ...
Ohne DPI mit einem DNS-Blocker wie piHole oder URL-Blocker wie squid sperren? Eigene Filterliste für Debiandnsmasq?
https://www.kuketz-blog.de/pi-hole-schw ... -pi-teil1/
(Dienste wären durch direkte Eingabe der IP-Adresse im Browser trotzdem erreichbar.)

Heimnetz oder Firma? Zentrale Sperre für wie viele Hosts geplant? Für DPI auf Firewall benötigt man geeignete (Server-) Hardware oder "Appliances" mit entsprechender Rechenleistung. Kannst mal bei Deciso oder Netgate schauen, was so professionell üblich.

Im Heimnetz kann man billiger/gebraucht bauen. Eine APU2C4 dürfte selbst im Heimnetz für DPI ungeeignet sein und hübsch warm werden, DNS-Blocker oder IP-Blocker sind gut möglich. Privatleute greifen dann zu Chinabüchsen von Qotom und Minisys mit Core i3 aufwärts. U-Serie mit 15 Watt TDP z. B. I5-5250U. Oder selber bauen. :wink:

user18
Beiträge: 24
Registriert: 21.05.2018 21:41:38

Re: Application Control Firewall möglich?

Beitrag von user18 » 22.07.2018 17:23:04

danke für die ausführliche Antwort.

Genau diese Begriffe habe ich gebraucht. Damit habe ich auch noch https://www.ntop.org/products/deep-pack ... tion/ndpi/ gefunden

Für mich ist das jetzt weniger etwas was ich direkt daheim umsetzen will, sondern ich möchte zunächst ein grobes Verständnis dafür haben.
Was ich mir bei Deep Packet Inspection Frage ist, inwieweit dies verschlüsselte Protokolle erkennen kann?
Aktuell wird ja z.B. bei HTTPS der SNI Servername noch unverschlüsselt übertragen, was sich vielleicht in Zukunft verändert.
Wenn alles verschlüsselt ist, wie kann da DPI noch funktionieren?

BenutzerGa4gooPh

Re: Application Control Firewall möglich?

Beitrag von BenutzerGa4gooPh » 22.07.2018 18:04:22

user18 hat geschrieben: ↑ zum Beitrag ↑
22.07.2018 17:23:04
Was ich mir bei Deep Packet Inspection Frage ist, inwieweit dies verschlüsselte Protokolle erkennen kann?
https://wiki.squid-cache.org/SquidFaq/InterceptionProxy
https://wiki.squid-cache.org/Features/SslBump
Man in the Middle halt. Wie das die anderen genannten Tools machen, weiß ich nicht. Doku lesen. Interception ist wohl noch ein wichtiges Suchwort. Legal Interception ist der Euphemismus staatlicher Dienste.

Eine weitere Methode für Anwendungsbeschränkungen ohne DPI sind Personal Firewalls auf jedem PC. Diese können dann anwendungsbezogen agieren. Windows Gruppenrichtlinien (GPOs) in Verbindung mit Domaincontroller (DC) vereinfachen die zentrale Einstellungen/Verwaltung für viele PCs.
https://de.wikipedia.org/wiki/Personal_Firewall
Mit iptables ist selbstverständlich auch Desktop-Firewall möglich. Entsprechende Konfigs müssten auf jeden gewünschten PC verteilt werden. K. A. wie man das clever/zentral verwaltet, gerade bei notwendigen Änderungen an vielen Hosts.

Antworten