Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

14.26 Counter Intelligence

Die Files sf_spy.c enthält den Code für die "counter intelligence" Fähigkeiten der Firewall. Diese Funktion kann die Zuverlässigkeit der Firewall steigern.Der Firewall-Dämon überprüft die IP und den DNS-Namen des zugreifenden Hosts. Über diesen "double reverse lookup" kann die Firewall überprüfen, ob ein Host gespoofte (vorgetäuschte IP - Nummern) Adressen benutzt. Diese gespooften Adressen sind typisch für Cracker oder Fehlkonfigurationen. Hierzu kann der Firewall-Dämon weitere Untersuchungen am zugreifenden Host vornehmen. Ein verdächtiger Host wird dann alle SPY_TIMEOUT Minuten untersucht. Dieser Wert wird in sf_custom.h definiert. Die SPY Funktion ist in der Lage, eventuelle Angriffe von UNIX-Servern aus Rechenzentren festzustellen, und den User zu identifizieren. Hierfür sind folgende Methoden implementiert:

Während finger und rusers einfach nur UNIX-Befehle sind, erfordert der identd eine spezielle Anpassung. Der Code befindet sich in der Datei sfidentd.c . Das Programm verbindet sich mit dem Host, der untersucht werden soll, und liefert entsprechend der RFC 1413 Informationen zurück.

Erweiterungen des Firewall-Dämons

Neue Schlüsselworte

Das Hinzufügen neuer Schlüsselworte zu der "notification" Struktur erfordert Änderungen im Parser und ein paar neue Zeilen in der Funktion "execute_notify" im File sf_daemon.c .

Erweiterung der "counter intelligence"

Diese Erweiterungen sind recht einfach zu implementieren. Eine Änderung in der finger Funktion (sf_spy.c) ist notwendig. Um einen Eintrag hinzuzufügen, genügt ein einfaches copy/paste der "rusers" Zeilen und eine Anpassung an die Befehle des verwendeten Programms.

Um weitere Möglichkeiten der Benachrichtigung des Users hinzuzufügen, ist es notwendig, die Größe des Files fdarray anzupassen (neben Logfile und E-Mail), und die num_fd Variable entsprechend anzupassen. Nun muß nur noch ein File - Descriptor geöffnet werden, der auf den Zielhost zeigt. Alles weitere erfolgt dann automatisch. Genaue Details befinden sich im Quellcode der finger Funktion (sf_spy.c)


Weiter Zurück [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING