Hallo,
verschiedene Hersteller können anhand von den weitergeleiteten Traffic erkennen, um welchen Anwendung es sich handelt und anhanddessen die Anwendung erlauben oder blockieren.
(Wie beispielsweise https://docs.fortinet.com/uploaded/file ... trl-50.pdf)
Fortigate nennt dies "Application Control Sensors", wie zum Beispiel Skype oder Facebook, Teamviewer, ...
Gibt es sowas auch für Linux?
Application Control Firewall möglich?
Re: Application Control Firewall möglich?
Dürfte auf Intrusion Detection / Intrusion Prevention Systems (IDS/IPS) hinauslaufen.
suricata, snort und squid mit Deep Packet Inspection (DPI) wären Kandidaten. Die Pakete an sich gibt es auch für Linux. Pakete mit GUI sind integriert in OPNSense und pfSense als Open-Source-Firewall-Distributionen auf Basis FreeBSD. Evtl. in Firewall-Distribution IPFire auf Linux-Basis.
https://www.kuketz-blog.de/pi-hole-schw ... -pi-teil1/
(Dienste wären durch direkte Eingabe der IP-Adresse im Browser trotzdem erreichbar.)
Heimnetz oder Firma? Zentrale Sperre für wie viele Hosts geplant? Für DPI auf Firewall benötigt man geeignete (Server-) Hardware oder "Appliances" mit entsprechender Rechenleistung. Kannst mal bei Deciso oder Netgate schauen, was so professionell üblich.
Im Heimnetz kann man billiger/gebraucht bauen. Eine APU2C4 dürfte selbst im Heimnetz für DPI ungeeignet sein und hübsch warm werden, DNS-Blocker oder IP-Blocker sind gut möglich. Privatleute greifen dann zu Chinabüchsen von Qotom und Minisys mit Core i3 aufwärts. U-Serie mit 15 Watt TDP z. B. I5-5250U. Oder selber bauen.
suricata, snort und squid mit Deep Packet Inspection (DPI) wären Kandidaten. Die Pakete an sich gibt es auch für Linux. Pakete mit GUI sind integriert in OPNSense und pfSense als Open-Source-Firewall-Distributionen auf Basis FreeBSD. Evtl. in Firewall-Distribution IPFire auf Linux-Basis.
Ohne DPI mit einem DNS-Blocker wie piHole oder URL-Blocker wie squid sperren? Eigene Filterliste für dnsmasq?... wie zum Beispiel Skype oder Facebook, Teamviewer, ...
https://www.kuketz-blog.de/pi-hole-schw ... -pi-teil1/
(Dienste wären durch direkte Eingabe der IP-Adresse im Browser trotzdem erreichbar.)
Heimnetz oder Firma? Zentrale Sperre für wie viele Hosts geplant? Für DPI auf Firewall benötigt man geeignete (Server-) Hardware oder "Appliances" mit entsprechender Rechenleistung. Kannst mal bei Deciso oder Netgate schauen, was so professionell üblich.
Im Heimnetz kann man billiger/gebraucht bauen. Eine APU2C4 dürfte selbst im Heimnetz für DPI ungeeignet sein und hübsch warm werden, DNS-Blocker oder IP-Blocker sind gut möglich. Privatleute greifen dann zu Chinabüchsen von Qotom und Minisys mit Core i3 aufwärts. U-Serie mit 15 Watt TDP z. B. I5-5250U. Oder selber bauen.
Re: Application Control Firewall möglich?
danke für die ausführliche Antwort.
Genau diese Begriffe habe ich gebraucht. Damit habe ich auch noch https://www.ntop.org/products/deep-pack ... tion/ndpi/ gefunden
Für mich ist das jetzt weniger etwas was ich direkt daheim umsetzen will, sondern ich möchte zunächst ein grobes Verständnis dafür haben.
Was ich mir bei Deep Packet Inspection Frage ist, inwieweit dies verschlüsselte Protokolle erkennen kann?
Aktuell wird ja z.B. bei HTTPS der SNI Servername noch unverschlüsselt übertragen, was sich vielleicht in Zukunft verändert.
Wenn alles verschlüsselt ist, wie kann da DPI noch funktionieren?
Genau diese Begriffe habe ich gebraucht. Damit habe ich auch noch https://www.ntop.org/products/deep-pack ... tion/ndpi/ gefunden
Für mich ist das jetzt weniger etwas was ich direkt daheim umsetzen will, sondern ich möchte zunächst ein grobes Verständnis dafür haben.
Was ich mir bei Deep Packet Inspection Frage ist, inwieweit dies verschlüsselte Protokolle erkennen kann?
Aktuell wird ja z.B. bei HTTPS der SNI Servername noch unverschlüsselt übertragen, was sich vielleicht in Zukunft verändert.
Wenn alles verschlüsselt ist, wie kann da DPI noch funktionieren?
Re: Application Control Firewall möglich?
https://wiki.squid-cache.org/SquidFaq/InterceptionProxyuser18 hat geschrieben:22.07.2018 17:23:04Was ich mir bei Deep Packet Inspection Frage ist, inwieweit dies verschlüsselte Protokolle erkennen kann?
https://wiki.squid-cache.org/Features/SslBump
Man in the Middle halt. Wie das die anderen genannten Tools machen, weiß ich nicht. Doku lesen. Interception ist wohl noch ein wichtiges Suchwort. Legal Interception ist der Euphemismus staatlicher Dienste.
Eine weitere Methode für Anwendungsbeschränkungen ohne DPI sind Personal Firewalls auf jedem PC. Diese können dann anwendungsbezogen agieren. Windows Gruppenrichtlinien (GPOs) in Verbindung mit Domaincontroller (DC) vereinfachen die zentrale Einstellungen/Verwaltung für viele PCs.
https://de.wikipedia.org/wiki/Personal_Firewall
Mit iptables ist selbstverständlich auch Desktop-Firewall möglich. Entsprechende Konfigs müssten auf jeden gewünschten PC verteilt werden. K. A. wie man das clever/zentral verwaltet, gerade bei notwendigen Änderungen an vielen Hosts.