firewall su iptables con controllo su TCP/IP

[nik600]

ciao

attualmente a monte della mia rete ho un firewall hardware che, oltre a garantire le solite funzionalità (ip pubblici virtuali, NAT, VPN, ecc ecc) fa un controllo diretto sul protocollo TCP/IP e quindi è in grado di fare la scansione su particolari porte e verificare se stanno transitando dei virus
(in questo modo basta monitorare la porta 25 e ho già un antivirus per le email che mi blocca allegati riconosciuti come virus)

ultimamente la casa costruttrice di questo prodotto ha sparato fuori dei prezzi altissimi x l'aggiornamento, stavo pensando se non mi conviene farmi un serverino con iptables e 3 interfacce di rete (LAN/DMZ/WAN) e far fare tutto a lui...

con iptables non dovrei avere problemi, ma vorrei riuscire a fare anche quel filtro antivirus, secondo voi è possibile? e come?

grazie

[stai_tranquillo]

mah, non mi sembra molto utile come tecnica: se tu monitorizzi la 25 e poi gli utenti vanno sulla posta web, quindi usano la 80 tu non becchi un bel niente. poi considera pure che non so quanto può essere legale in termini di tutela della privacy far setacciare il traffico di posta ad un software che, come tutti i software, logga quello che fa...
E non prendo nemmeno in considerazione le connessioni di posta sicure tipo TLS o SSL che non fanno passare le transazioni in chiaro: in quel caso che fa il pezzo di ferro, decripta? naaaaa!

comunque, non conosco software che fanno sta robba: in teoria il software dovrebbe sniffare i pacchetti, tipo con ngrep o ethereal, e attaccarli insieme (ricostruire la sequenza come fa ethereal), vedere se è roba di posta e se ha allegati, copiarsi a parte l'allegato e scansionarlo: al chè, se infetto, dovrebbe bloccare il traffico di tale allegato...

ma qui mi sorge un dubbio: che razzo blocchi se una volta che hai finito quello è già arrivato di là?

sei sicuro che la ferraglia che avevi prima faceva sto lavoro? posta un link al sito del produttore che sono curioso di vedere cosa fa!

[nik600]

mah, non mi sembra molto utile come tecnica: se tu monitorizzi la 25 e poi gli utenti vanno sulla posta web, quindi usano la 80 tu non becchi un bel niente.

è evidente che volendo monitorizzo anche la 80, come la 21, come tutte quelle che voglio

non so quanto può essere legale in termini di tutela della privacy far setacciare il traffico di posta ad un software che, come tutti i software, logga quello che fa...

è la stessa cosa che fanno spamassassin o clamav...

sei sicuro che la ferraglia che avevi prima faceva sto lavoro? posta un link al sito del produttore che sono curioso di vedere cosa fa!

ti assicuro che la "ferraglia" per quanto sappiamo che in termini di sicurezza non sia mai sufficiente, svolge egregiamente il suo lavoro

http://www.fortinet.com/products/

io ho un fortigate 60U

comunque, non conosco software che fanno sta robba: in teoria il software dovrebbe sniffare i pacchetti, tipo con ngrep o ethereal, e attaccarli insieme (ricostruire la sequenza come fa ethereal), vedere se è roba di posta e se ha allegati, copiarsi a parte l'allegato e scansionarlo: al chè, se infetto, dovrebbe bloccare il traffico di tale allegato...

ma qui mi sorge un dubbio: che razzo blocchi se una volta che hai finito quello è già arrivato di là

confesso che questo dubbio è venuto anche a me e sarò grato a qualcuno se melo chiarirà...

ti riporto un esempio di una mail che è stata bloccata stamattina (tipo da mezzanotte a ora mene ha bloccate 20)

codice:

2005-12-20 13:39:12 log_id=0200060101 type=virus subtype=infected pri=warning src=81.120.166.42 dst=10.0.0.128 src_int=wan1 dst_int=dmz service=smtp status=blocked from="hostmaster@seldati.it" to="xxxxxxx@dominio.it" msg="The file reg_pass.zip is infected with W32/Sober.AD-mm."

[billiejoex]

(formattazione della pagina completamente scazzata)
Non ho mai sentito di un antivirus che lavora ad un livello
che non sia quello di applicazione.
Come fa a detectare un virus? Terminato il 3 way handshake
inizia a guardare il payload di ogni pacchetto TCP confrontandolo
con le intestazioni presenti nel suo db interno? In tal
caso il rischio di incappare in falsi positivi è mostruosamente
alto. Oppure PRIMA scarica il file in locale e POI se è
considerato "pulito" lo trasferisce al client?
In tal caso il tutto diventa estremamente più lento.
Senza contare che, come dice stai_tranquillo, un sistema del
genere sarebbe facilmente aggirabile anche semplicemente
applicando una stupidissima cifratura di cesare.
Personalmente non ho mai sentito di un dispositivo simile.
Secondo me è più ragionevole pensare che funga da mail proxy:
riceve la richiesta dal client, scarica la posta dal mail server,
la salva in locale, la scansiona, se pulita la gira al client.
Stesso dicasi per la navigazione.
Una cosa del genere credo tu la possa tranquillamente fare
anche con un server linux.

è la stessa cosa che fanno spamassassin o clamav...

Non proprio. Quelli lavorano a livello applicazione
quando la posta è GIA stata ricevuta. Quello che tu hai
descritto è un controllo a network layer che a me pare
essere fanta informatica.
A me pare molto più probabile l'ipotesi del mail proxy.

[alvinet]

Secondo me non è fa altro che http proxy, smtp proxy, pop3 proxy e ftp proxy.

La cosa è possibile anche con linux. Ci sono prodotti che lo fatto. Se non sbaglio shoothwall, endian firewall ecc..

[nik600]

lo avete letto il pdf?

(ICSA Certified)
Detects and eliminates viruses and worms in real-time. Scans incoming and outgoing email attachments (SMTP, POP3, IMAP) and all FTP and HTTP traffic including web-based email without degrading Web performance

Closes the vulnerability window by stopping viruses and worms before they enter the network

[billiejoex]

Si, e dice pressapoco le stesse cose che hai detto tu ma non
spiega come fa.
PS - Qualche mod non può editare il post di nik600? La
formattazione fa un tantinello pietà.

[nik600]

chiedo scusa hai ragione (per quanto riguarda la formattazione) è che ormai il post è vecchio e non melo lascia cambiare

cmq, al di la di questo io ho provato a studiarmi fuori il sito ma non ho trovato spiegazioni + chiare e dettagliate ... se ho novità in merito vi aggiorno