Come posso implementare una lista bianca basata sul contenuto del pacchetto?

0

Al momento sto cercando in qualche modo su Linux di fare il whitelist dei filtri di pacchetto, ma basato su parametri a grana fine come il contenuto dei pacchetti piuttosto che su parametri più generali come il tipo di protocollo o la sorgente IP.

Un'applicazione di sicurezza fondamentale in esecuzione sull'host firewall non deve essere in grado di vedere o analizzare i dati inviati finché non passa un filtro firewall che consente solo i pacchetti con determinati dati predefiniti (comandi stringa di testo hardcoded).

In sostanza è un meccanismo "simile a seccomp" che sto cercando, tranne che l'origine dati è un'applicazione potenzialmente malevole / non attendibile in esecuzione su un'altra macchina.

Cose che ho guardato ma non sono riuscito a capire se applicabile al mio caso d'uso:

  • seccomp
  • libpcap
  • Linux Socket Filtering aka Berkeley Packet Filter (BPF)
  • Snort
posta guestbond 26.09.2014 - 18:21
fonte

1 risposta

1

link

E che tesoro è. IPTables ha un modulo stringa che può farlo cercando le stringhe definite nel set di regole e passandole sopra.

link

Kernels from 2.6 include support for matching strings present in IP packets, inspecting the entire packet data. Earlier kernels supported matching at the IP header level only, which was a limitation as the rules can only be formed based on header values like IP addresses, ports, packet state etc. The netfilter iptables firewall system has undergone great advancements in the latest kernels, with the modified string matching option being more interesting among them for server administrators. The rules, based on string matching functions, are very easy to implement.

    
risposta data 26.09.2014 - 19:12
fonte

Leggi altre domande sui tag