Progetto firewall Open Source

[Draven999]

All'indirizzo http://openfirewall.devil.it/ si sta cercando di mettere in piedi un gruppo di programmazione per un firewall open source..Visitate il forum, sono presenti tutti i dati necessari e una sezione per domande e varie...

[71104]

sei lo stesso Draven che ha postato su Usenet per chiedere come scrivere un network driver di livello 2? hai toppato livello, i firewall vanno messi a livello 3 (NDIS Intermediate).

[Draven999]

Non è detto, se vuoi scrivere un firewall che controlli anche il contenuto dei pacchetti devi andare giù a livello 2

[Blackat]

Scusate la mia presunta ignoranza...ma iptables non vi basta ?

[71104]

Quote:

Originariamente inviato da Draven999

Non è detto, se vuoi scrivere un firewall che controlli anche il contenuto dei pacchetti devi andare giù a livello 2

il livello due non si deve occupare di analizzare il significato del contenuto: secondo il modello OSI ISO deve solo effettuare il framing e correggere gli errori che riesce a correggere. il suo header serve sostanzialmente a fare quelle due cose.

l'header del livello 3 invece include informazioni molto più interessanti per un firewall (routing tanto per cominciare). quindi se parti che devi piazzare un firewall a livello 2 parti già male perché sbagli design. poi fai come vuoi.

[71104]

giusto per chiarezza: con "livello 2" intendiamo il livello Data Link, mentre con "livello 3" intendiamo il livello Network; ho capito bene?

[Draven999]

Il livello 3 è di instradamento e sicuramente è fondamentale per un firewall agire a questo livello ma io voglio arrivare anche al contenuto dei pacchetti percui devo cercare di spingermi + in basso con driver di sistema

[VICIUS]

Se vuoi agire sul payload dei pacchetti devi salire di livello eventualmente fino ad arrivare al 7. Se scendi ti allontani dal contenuto e ti avvicini all'hardware.

ciao

[71104]

Quote:

Originariamente inviato da Draven999

Il livello 3 è di instradamento e sicuramente è fondamentale per un firewall agire a questo livello ma io voglio arrivare anche al contenuto dei pacchetti percui devo cercare di spingermi + in basso con driver di sistema

ma una buona ripassata del corso di Reti 1?

[71104]

Quote:

Originariamente inviato da VICIUS

Se vuoi agire sul payload dei pacchetti devi salire di livello eventualmente fino ad arrivare al 7. Se scendi ti allontani dal contenuto e ti avvicini all'hardware.

aridaje co sto livello 7, ma lo capite o no che Windows non implementa uno stack OSI ISO completo, e che implementa solo i 5 livelli di TCP/IP??

[cj++]

Quote:

Originariamente inviato da 71104

aridaje co sto livello 7, ma lo capite o no che Windows non implementa uno stack OSI ISO completo, e che implementa solo i 5 livelli di TCP/IP??

TCP/IP ha 4 livelli, nn 5... quello che si studia nei corsi di reti è un modello ibrido.

[71104]

Quote:

Originariamente inviato da cj++

TCP/IP ha 4 livelli, nn 5...

si, ma ho detto 5 perché la numerazione parte da 2 visto che l'1 è il livello hardware :P

[giannola]

Quote:

Originariamente inviato da 71104

aridaje co sto livello 7, ma lo capite o no che Windows non implementa uno stack OSI ISO completo, e che implementa solo i 5 livelli di TCP/IP??

cmq bisogna arrivare fino al livello delle applicazioni.

[dupa]

I livelli ISO OSI son una cosa che va giusto bene per i libri di scuola

[jappilas]

Quote:

Originariamente inviato da Blackat

Scusate la mia presunta ignoranza...ma iptables non vi basta ?

vogliono scrivere un firewall per Windows

Quote:

Originariamente inviato da Draven999

Non è detto, se vuoi scrivere un firewall che controlli anche il contenuto dei pacchetti devi andare giù a livello 2

a livello 2 trovi le trame Ethernet...

Quote:

Originariamente inviato da cj++

TCP/IP ha 4 livelli, nn 5... quello che si studia nei corsi di reti è un modello ibrido.

Quote:

Originariamente inviato da dupa

I livelli ISO OSI son una cosa che va giusto bene per i libri di scuola

mah, fino a un certo punto...
TCP è un protocollo di Trasporto, quindi occupa il livello 4
IP è un protocollo di Rete, quindi occupa il livello 3
Ethernet con il Medium Access Control si pone a livello 2 e con il PHY a livello 1
OSI prevede in più una strutturazione gerarchica per i protocolli di scambio dati, autenticazione, e controllo della comunicazione tra gli endpoint
ma gli equivalenti dei livelli Sessione, Presentazione e Applicazione non scompaiono, ... sono inglobati e amalgamati in librerie e applicazioni (che vanno a costituire il "livello 5")

Quote:

Originariamente inviato da 71104

aridaje co sto livello 7, ma lo capite o no che Windows non implementa uno stack OSI ISO completo, e che implementa solo i 5 livelli di TCP/IP??

nemmeno unix per quanto ricordo... però si può parlare di livello 7 per intendere i dati "utili" che costituiscono contenuti che l' applicazione presenta all' utente o file trasferiti (escludendo quei pacchetti relativi a protocolli ancillari)

tanto che la denominazione è ad esempio spesso usata parlando di router e firewall di livello enterprise
L4 switch: router a piena capacità (di solito pari a quella aggregata delle porte ethernet di cui è dotato gigabit) con implementazione dell' ip lookup in HW e spesso port filtering (HW firewall)
L7 filter: spesso come sopra, con in più content filter e possibile blacklisting (accelerato con tabelle HW) per determinati protocolli e applicazioni (http, quindi limitazione/filtro di navigazione, oppure p2p, voip...)

[giannola]

Quote:

Originariamente inviato da jappilas

vogliono scrivere un firewall per Windows

a livello 2 trovi le trame Ethernet...
mah, fino a un certo punto...
TCP è un protocollo di Trasporto, quindi occupa il livello 4
IP è un protocollo di Rete, quindi occupa il livello 3
Ethernet con il Medium Access Control si pone a livello 2 e con il PHY a livello 1
OSI prevede in più una strutturazione gerarchica per i protocolli di scambio dati, autenticazione, e controllo della comunicazione tra gli endpoint
ma gli equivalenti dei livelli Sessione, Presentazione e Applicazione non scompaiono, ... sono inglobati e amalgamati in librerie e applicazioni (che vanno a costituire il "livello 5")
nemmeno unix per quanto ricordo... però si può parlare di livello 7 per intendere i dati "utili" che costituiscono contenuti che l' applicazione presenta all' utente o file trasferiti (escludendo quei pacchetti relativi a protocolli ancillari)

tanto che la denominazione è ad esempio spesso usata parlando di router e firewall di livello enterprise
switch L4: router a piena capacità (di solito pari a quella aggregata delle porte ethernet di cui è dotato gigabit) con implementazione dell' ip lookup in HW e spesso port filtering (HW firewall)
L7 filter: spesso come sopra, con in più content filter e possibile blacklisting (accelerato con tabelle HW) per determinati protocolli e applicazioni (http, quindi limitazione/filtro di navigazione, oppure p2p, voip...)

piccola aggiunta

il modello ISO/OSI ha 7 livelli a partire dall'alto:

Applicazione
Presentazione
Sessione
trasporto
Network
Data Link
Fisico

Mentre l'internet protocol suite, quello usato comunemente ne ha 4:
Applicazione(che include i 3 livelli iso/osi applicazione, presentazione e sessione)
trasporto(dove appunto sta il tcp)
network(qui c'è l'ip)
Host (che ingloba il livello fisico e data link)

Quindi c'è una reale corrispondenza tra Iso/osi e modello reale.

Per quanto riguarda il Mac che è parte del livello 2 esso riguarda non solo ethernet, ma investe tutte le architetture tipo token ring, fddi, ecc.
Fermarsi a quel punto non è sufficiente per fare un firewall, anzi non è nemmeno necessario visto che per quello potrebbero pensarci benissimo switch e router alleggerendo il traffico della rete.
Il problema è che a tali livelli si puo avere al massimo il controllo di errore sui bit con al massimo delle semplici correzioni, per aspettare una correzione più approfondita bisogna aspettare il livello del trasporto.
Ma non si può stabilire se quello che stiamo ricevendo crei codice malevolo oppure no.

[jappilas]

Quote:

Originariamente inviato da giannola

l'internet protocol suite, quello usato comunemente ne ha 4:
Applicazione(che include i 3 livelli iso/osi applicazione, presentazione e sessione)
trasporto(dove appunto sta il tcp)
network(qui c'è l'ip)
Host (che ingloba il livello fisico e data link)

Ah ok... sulle mie dispense erano mostrati MAC/LLC e PHY distinti in luogo del livello host, quindi intendevo 5 layers per quello
mi scuso per non essere stato più preciso

Quote:

Originariamente inviato da jappilas

vogliono scrivere un firewall per Windows

mi autoquoto per riprendere il discorso... potreste iniziare da questi

PKT FIlter (sistema di controllo per il packet filter di Win2000 e successivi)
WIPFW (port dell' ipfw di bsd, non NDIS)
ip filter fw (progetto di firewall con filter hook)
TDIFW
NetDefender ( firewall filter hook apparentemente maturo)
Fil Sec. Lab ( dual license firewall)

[giannola]

Quote:

Originariamente inviato da jappilas

Ah ok... sulle mie dispense erano mostrati MAC/LLC e PHY distinti in luogo del livello host, quindi intendevo 5 layers per quello
mi scuso per non essere stato più preciso

mac e llc condividono il livello data link iso/osi.
il mac si occupa dell'interfacciamento con le diverse tecnologie trasmissive come già detto; un gradino più su ma sempre nel livello data link abbiamo LLC (logical link control) che fornisce una interfaccia unificata delle lan provenienti dal mac verso il livello network.