Quantcast

Packet Filter

Previous Topic Next Topic
 
classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Packet Filter

Marco Spiga-2
Ciao a tutti della ml!!

Mi interessa mettere su una macchina che faccia traffic shaping.
Senza usare lo stateful packet inspection, esiste un modo che distingua
il traffico https 'semplicemente' verificando in tempo reale se un
l'indirizzo ip di destinazione è realmente registrato a livello di DNS.

Mi spiego meglio:
Ho una lan con alcune centinaia di computers.
Questi pc fanno traffico p2p su delle porte non consentite, vedi porta
80, 443, 25 ecc..
Io vorrei redirigere il traffico http (porta 80) verso un proxy
trasparente, in modo che questi in modo autonomo selezioni il reale
traffico http.
Per il traffico https (porta 443) non avendo la possibilità di fare
nessun tipo di stateful packet inspection, vorrei autorizzare il
passaggio dei pacchetti solo se questi provengono/vanno effettivamente
da/verso siti regolarmente registrati sui DNS.


Esiste un programma che possa fare ciò, possibilmente appoggiandosi
sul packet filter di OpenBSD?


Sono conscio che l'idea può essere stupida e assurda, ma non riesco
a trovare altre soluzioni per risolvere tale problema.

Grazie lo stesso per aver avuto la pazienza di leggere!!

Saluti Marco
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Packet Filter

fausto napolitano

Il giorno 16/mar/08, alle ore 13:12, Marco ha scritto:

> Per il traffico https (porta 443) non avendo la possibilità di fare
> nessun tipo di stateful packet inspection, vorrei autorizzare il
> passaggio dei pacchetti solo se questi provengono/vanno effettivamente
> da/verso siti regolarmente registrati sui DNS.

E se un sito non è "regolarmente registrato" che fai?
Secondo me dovresti mettere su squid e lavorare sui filtri, basandoti su
user-agent e mime-type, e bloccando eventualmente i client che non
riesci ad identificare se non come browser.

Per la 25 e la 110, magari falli uscire solo su server conosciuti,
fai un bel listone con gmail, yahoo, e quelli che usano di solito.

ciao
f________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|  
Report Content as Inappropriate

Re: Packet Filter

Enrico Sirola
In reply to this post by Marco Spiga-2
Ciao,

Il giorno 16/mar/08, alle ore 13:12, Marco ha scritto:
>
>
> Sono conscio che l'idea può essere stupida e assurda, ma non riesco
> a trovare altre soluzioni per risolvere tale problema.

puoi risolvere il problema usando snort: quando riconosce un pkt di  
tipo p2p, o gli fai mettere una regola che blocca il canale, oppure  
gli fai direttamente mandare un RST a entrambi i peer che chiudono la  
comunicazione
Ciao,
e.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Loading...