Port-Berechtigungen?

[Bernie]

Wie kann ich Gruppenrechte auf Ports vergeben?
Beispielsweise:

Gruppe A: kriegt gar keinen Port
Gruppe B: kriegt nur Ports in einem Bereich von bis
Gruppe C: kriegt auch horchende Ports
Gruppe D: unbeschränkt
...

Wie geht das?
Wo kann ich mich informieren? (Buch/URL ...)

[ratte]

Das geht gar nicht.

ratte

[Bernie]

Also, wenn Linux keine selektive Portberechtigungen anbietet - ähem, na da bin ich wirklich extrem negativ überrascht - oder einfach nur unwissend, weil es eine andere viel bessere Möglichkeit gibt ... (IP-Filter sind völlig unzureichend)

[Descartes]

Was schwebt dir denn en detail vor?
Vielleicht drückst du dich nur ungeschickt aus?
Falls du mit Gruppen nicht Usergruppen sondern Rechnergruppen meinst, dann ist iptables, netfilter und co. die Ecke die dich interessiert.
Eventuell suchst du auch die falsche Lösung für das richtige Problem <img src="http://www.pl-forum.de/UltraBoard/Images/TooHappy.gif" border="0" align="middle">

Was nicht geht, und da hat ratte schon recht, ist dass du für Usergruppen verschiedene Netzwerkberechtigungen verteilst. Also z.B. Gruppe "users" darf die Ports 2000/tcp...4000/tcp lesend verwenden; Gruppe "staff" darf auf den Ports 5000/tcp...6000/tcp Daemons betreiben; etc. Das geht nicht. Eine solche Berechtigung ist mit Linux (andere UNIXe? Solaris? AIX? IRIX? VMS? ...) AFAIK nicht möglich. Ich lasse mich hier aber gerne anhand von konkreten Informationen (Anleitungen, Howtos, Beschreibungen, Artikel, etc.) eines besseren belehren.

[Bernie]

Descartes schrieb:

> Eventuell suchst du auch die falsche Lösung für das richtige Problem
Das hoffe ich sehr.
Ich möchte ohne großen Aufwand die Netzwerkaktivitäten einiger Anwendungen kontrollieren können und da dachte ich zunächst "Alles ist eine Datei" ... und da ich unsichere Anwendungen immer mit eingeschränkten Userrechten ausführe, lag es nahe nach Möglichkeiten der Netzwerkeinschränkungen für User/Gruppen zu suchen - bisher jedoch ohne wirklichen Erfolg.
Eine andere Möglichkeit wäre ein Application Gateway ... nur habe noch nichts passendes gefunden.

> Was nicht geht, und da hat ratte schon recht, ist dass du für Usergruppen verschiedene
> Netzwerkberechtigungen verteilst. Also z.B. Gruppe "users" darf die Ports 2000/tcp...4000/tcp
> lesend verwenden; Gruppe "staff" darf auf den Ports 5000/tcp...6000/tcp Daemons betreiben;
> etc. Das geht nicht.
Das ist schade, sehr schade, denn IP-Filter sind ja kein wirklicher Schutz für Angriffe von innen,
oder vielleicht doch? Wie kann ich Netzwerkaktivitäten unbekannter Anwendungen effektiv (d. h.
leicht administrierbar!) einschränken?
Die billigsten (pers.) Firewalls unter Winblöd können das ja auch (ZoneAlarm) und ich halte das
für ein sehr sinnvolles Feature...

Irritiert,
Bernd

[Stormbringer]

Hi,

iptables ist keine Firewall!
iptables ist ein packet-filter.

Der Vergleich zu unter MS-Systemen nutzbaren FWs hingt gewaltig ...

Du kannst es eigentlich nur durch eine "lebendige" Filterung machen - sprich, regelmäßige Überprüfung & Anpassung deselben. Oder Du kaufst eine echte Firewall, bspw. von Checkpoint.

Schreibe Dir also für die Nutzung von iptables ein Skript, welches, basierend auf den ip Adressen der Clientsysteme, die Nutzung von Ports erlaubt - da die iptables Skripte von-oben-nach-unten abgearbeitet werden, sollte natürlich ziemlich am Anfang eine Regel á la: "alles ist verboten" stehen ... <img src="http://www.pl-forum.de/UltraBoard/Images/Wilk.gif" border="0" align="middle">
Weitere features kannst Du dann bspw. durch die Verwendung von squid (ggf. inkl. Authentifizierung) und auch unter Nutzung von dansguardian einbinden.

Gruß

[Michael]

<blockquote><pre><font size="1" face="">code:</font><hr><font face="Courier New" size="2">man xinetd</font><hr></pre></blockquote>

Eine Filterung externer Zugriffe über Nutzer/Gruppen kann erst nach einer
Authentifizierung dieser gelingen.

Cheers

Michael

[Bernie]

Stormbringer schrieb:
> iptables ist keine Firewall!
> iptables ist ein packet-filter.
Das weiß ich, ich suche aber nach einer Möglichkeit, die Ports direkt zu beschränken, da TCP-Pakete (IP1,Port1,Ip2,Port2) IMHO keine UID/GUID-Informationen enthalten (oder?).

> Der Vergleich zu unter MS-Systemen nutzbaren FWs hingt gewaltig ...
Na ja, ich verwende kein Windows mehr, aber ich erinnere mich an ZoneAlarm und das war in der Lage entsprechende Einschränkungen für Applikationen einzurichten.

> Schreibe Dir also für die Nutzung von iptables ein Skript, welches, basierend auf den ip Adressen der Clientsysteme,
Sorry, aber es geht nicht um Clients es geht um User/Gruppen auf einem Rechner.

> Weitere features kannst Du dann bspw. durch die Verwendung von squid
Squid ist doch nur für http (Proxy) oder?

> [...] unter Nutzung von dansguardian einbinden.
da muss ich mal nachschauen ...

[Bernie]

Michael ließ aufhorchen:

> code:man xinetd
> Eine Filterung externer Zugriffe über Nutzer/Gruppen kann erst nach einer
> Authentifizierung dieser gelingen.

Oh, das scheint es ja zu sein (aber es scheint auch nicht offensichtlich gewesen zu sein).
(Ich dachte das wäre nur ein TCP-Wrapper)

Danke

[Bernie]

Michael schrieb:

> code:man xinetd
> Eine Filterung externer Zugriffe über Nutzer/Gruppen kann erst nach einer
> Authentifizierung dieser gelingen.

Ähem, also ich finde keine Möglichkeit, nach UID/GID zu filtern oder eine Authentifizierung zu erzwingen, das Feld User gibt nur an in welchem Kontext der Dämon/Server ausgeführt werden soll ...

Kannst Du noch einen klitzekleinen Tipp geben, wie das gehen soll?

Ciao,
Bernd

[Bernie]

Im guten alten Heise-Forum gab mir gummy12 am 24. März 2004 um 19:03 Uhr folgenden Hinweis

> man iptables
> owner
> This module attempts to match various characteristics of
> the packet creator, for locally-generated packets. It is
> only valid in the OUTPUT chain, and even this some packets
> (such as ICMP ping responses) may have no owner, and hence
> never match.
>
> --uid-owner userid
> Matches if the packet was created by a process with
> the given effective user id.

info iptables /gid /pid /sid -> das wäre dann auch geklärt

an ratte: es geht ... (noch viel mehr)

jetzt werde ich noch firewall-builder ausprobieren ...

Vielen Dank
(auch an Herve Eychenne <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">

Bernie

[Michael]

>Eine Filterung externer Zugriffe über Nutzer/Gruppen kann erst nach einer
>Authentifizierung dieser gelingen.

Diese Aussage hatte nichts mit dem xinetd zu tun, der aber filtern kann
(nach IP oder auch für bestimmte Tageszeiten). Um externe Zugriffe auf der
gewünschten Aussage filtern zu können gilt weiterhin obige Aussage.

Cheers

Michael

[Michael]

Shit, der Satz soll natürlich so lauten:

Um externe Zugriffe auf der von der gewünschten Grundlage
filtern zu können, gilt weiterhin obige Aussage.

Cheers

Michael

[Bernie]

Hallo Michael,
ich verstehe leider nicht was Du meinst <img src="http://www.pl-forum.de/UltraBoard/Images/Sad.gif" border="0" align="middle">
Ich wollte nur zum Ausdruck bringen, dass es mit iptables möglich ist u. a. nach UID, GID, PID und SID zu filtern, also kann ich meine Gruppen-Port-Beschränkungen realisieren (im Gegensatz zur Auffassung von Ratte).
So weit ich xinetd verstanden habe (also nur oberflächlich), sieht es so aus, dass xinetd nicht das richtige Werkzeug dafür ist.

Grüße,
Bernd

[Michael]

1. die xinetd-Filter-Funktionalität ohne Kerberos deckt nicht das ab, was Du erreichen willst
2. wird der Zugriff auf den Dienst(Port) erst nach Ticketprüfung erlaubt ist
es doch wieder das <!--http--><a href="http://www.ncsa.uiuc.edu/UserInfo/Resou ... inetd.html" target="_blank">richtige</a><!--url-->
3. die --owner Geschichte für die OUTPUT chain tut es für Dich wohl auch

und schließlich wie schon geschrieben

4. für Filterung extern initiierter Zugriffe brauchst Du eine Authentifizierung,

Fazit: Soweit ich Deine Aufgabenstellung verstanden habe, bist Du mit --owner
ausreichend versorgt.

Cheers

Michael