[Rika]

Zitat

nehmen wir mal ich lass das hostsystem gar nicht ans netz (ergo: kein eth konfiguriert) sondern die karten werden einzig von den firewalls der virtuellen maschine genutzt (weiss nicht ob das geht, zu testen!)

Es geht nicht. Das Gastsystem bedient sich der Ressourcen des Hostsystems, wenn dieses sie nicht bereitstellt, dann kann das Gastsystem sie auch nicht nutzen. Alles, was das Gastsystem von außen erreicht, geht grundsätzlich durch das Hostsystem.

Zitat

zum IDS system pro client: gibt es da verträgliche open-source systeme die schwache CPUs nicht plätten (ich googelte nicht)...abgesehen von snort.

Snare, da bedient sich größtenteils am syslogd bzw. Windows-Systemlog.

Zitat

stealth activity sind telnet zugriffe (wie erwähnt) für wirklich alte applikationen die noch betrieben werden.

Allerdings warum wird das als "stealth activity" bezeichnet? Macht IMHO keinen Sinn.

[jerrison]

Zitat

Es geht nicht. Das Gastsystem bedient sich der Ressourcen des Hostsystems, wenn dieses sie nicht bereitstellt, dann kann das Gastsystem sie auch nicht nutzen. Alles, was das Gastsystem von außen erreicht, geht grundsätzlich durch das Hostsystem.

und das ist eine sache bei der ich bei XEN nicht ganz sicher bin...und selbst wenn die netzwerkkarte durch das hostsystem läuft aber die ganze layer 2 und 3 kommunikation eigentlich nur über die virtuelle maschine läuft, wie kann ich dann an das hostsystem rankommen, sagen wir mal auch das das hostsystem jegliche kommunikation sperrt!
hast du das mal getestet?

snare check ich ab, mal schauen ob es was ist...gerade geschaut, gut, das ist zwar kein IDS im herkömmlichen sinne, aber als ersatz für die GFI lösungen denkbar, werde ich mir merken.

zu den stealthy ding (ein hit), ich vermute das da eine regel nicht sauber läuft bzw. der trigger falsch ausschlägt...wenn ich´s mir nochmal genauer anschaue: könnte auch ne SAP session gewesen sein...ist eigentlich auch egal, da beides rechner aus der domaine sind.

[Rika]

Zitat

und selbst wenn die netzwerkkarte durch das hostsystem läuft aber die ganze layer 2 und 3 kommunikation eigentlich nur über die virtuelle maschine läuft

Das Hostsystem muss mindestens alles bis Layer 2 interpretieren, und wenn es als Firewall läuft, dann logischerweise auch alles mindestens bis Layer 4 - ob nun vor oder hinter der Verarbeitung in der VM.

Zitat

wie kann ich dann an das hostsystem rankommen, sagen wir mal auch das das hostsystem jegliche kommunikation sperrt!

Wenn es das tun würde, dann wäre auch das Gastsystem unerreichbar.

Zitat

hast du das mal getestet?

Weak Host Model ist überall gleich. ARP ebenfalls.

Zitat

snare check ich ab, mal schauen ob es was ist...gerade geschaut, gut, das ist zwar kein IDS im herkömmlichen sinne, aber als ersatz für die GFI lösungen denkbar, werde ich mir merken.

Es ist ein IDS mit Hostsensoren, Netzwerksensoren, Logsystem und Auswertung.

[jerrison]

Zitat

Das Hostsystem muss mindestens alles bis Layer 2 interpretieren, und wenn es als Firewall läuft, dann logischerweise auch alles mindestens bis Layer 4 - ob nun vor oder hinter der Verarbeitung in der VM.

das hostsystem soll nur XEN am laufen haben, kann sogar als liveCD starten mit minimalen diensten...
die frage ist für mich, wie komm ich an das hostsystem ran wenn alle kommunikation von aussen nur über die virtuellen domains läuft? also: wie kann ich das hostsystem ansteuern und eventuelle schwächen nutzen ohnen das der host verbindungen von aussen akzeptiert? woher weiss jemand von aussen das er gerade eine firewall in ner virtuellen domaine hackt?
was ich noch nicht probiert habe: muss der host in einem netz mit einer IP versehen sein damit die VM läuft? oder reicht es einfach in einem netz zu stecken und hauptsache die IP der VM ist "korrekt"?
anschaulicher (für mich gedacht!):
-LAN: 192.168.0.0
-host: 192.168.100.1 (oder was auch immer)
-VM1: 192.168.0.1
-VM2: 192.168.0.2 (etc.)

wie würde ich dann an den host kommen? das kann ich ja eigentlich auch mit VMware testen...so long

[Rika]

Wenn du's so denkst, dann kannst du auch gleich auf XEN verzichten und die Firewall im Hostsystem einrichten... erfordert weniger AUfwand und weniger potentiell fehlerhaften Code...

[jerrison]

nun, die idee ist ja ZWEI firewalls auf der gleichen maschine einzurichten.
XEN ist ja nur das tool dazu.
idee des ganzen: sparen...naja, und vor allem schauen ob´s möglich und praktikabel ist!
hab ausserdem gelesen, dass XEN vielleicht sogar in die nächste kernel version integriert werden soll, wäre auch spannend...

[Rika]

Zitat

nun, die idee ist ja ZWEI firewalls auf der gleichen maschine einzurichten.

Nein, du betreibst zwei Paketfilter auf einer Maschine als eine Firewall. Da kannst du genausogut auch nur einen Paketfilter nehmen und hast wenger Ärger.

[jerrison]

Zitat

Nein, du betreibst zwei Paketfilter auf einer Maschine als eine Firewall. Da kannst du genausogut auch nur einen Paketfilter nehmen und hast wenger Ärger.

eh...wo ist denn da der unterschied ob ich 2 maschinen nehme mit jeweils einer firewall oder 2 virtuelle maschinen (die unabhängig voneinander laufen, sogar hardwaremässig sich nicht überschneiden dank xen)?

desweiteren kann ich auch gut 2 unterschiedliche paketfilter nehmen, iptables und pf...
geht ja nicht um den "ärger" sondern um die umsetzbarkeit. wenn ich keinen ärger will lasse ich meine rechner aus dem netz oder nehme einmal-aufsetz-dummy-systeme.

[Rika]

Zitat

eh...wo ist denn da der unterschied ob ich 2 maschinen nehme mit jeweils einer firewall oder 2 virtuelle maschinen (die unabhängig voneinander laufen, sogar hardwaremässig sich nicht überschneiden dank xen)?

Wird das Hostsystem geknackt, sind beide geknackt.

Zitat

desweiteren kann ich auch gut 2 unterschiedliche paketfilter nehmen, iptables und pf...

Was soll das bringen, außer mehr Angriffsfläche und Administrationsaufwand? Also ich würde pf nehmen, oder halt ein Linux from the scratch mit iptables (weil auf Minimalität und Vertrauenswürdigkeit getrimmt, was mit OpenBSD nicht so einfach ist).

[jerrison]

Zitat

Wird das Hostsystem geknackt, sind beide geknackt.

ah well, das hatten wir ja schon. hostsystem soll gar nicht ansprechbar sein oder in nem anderen netz hängen (wir djetzt gleich getestet ob die VM´s dann noch auf das vorhandene Netz rauf können).

Zitat

Was soll das bringen, außer mehr Angriffsfläche und Administrationsaufwand?

naja, was halt 2 firewalls in der regel bringen...ob nun appliance systeme für intranet und internet oder einfach für eine DMZ mit webservern, etc...die möglichkeiten sind Endlos :).

[jerrison]

so, gerade getestet. ich kann den host in einem komplett anderen netz betreiben und die VM´s bleiben immer noch verbunden, beispiel wie auch vorher angegeben.
würde also heissen, dass ein angriff auf den host echte schwierigkeiten machen würde,
wenn ich mich nicht irre.
da weiss ich allerdings auch zu wenig von netzattacken gegen geräte die nicht im netzwerk sind!

[Rika]

Zitat

ah well, das hatten wir ja schon. hostsystem soll gar nicht ansprechbar sein oder in nem anderen netz hängen (wir djetzt gleich getestet ob die VM´s dann noch auf das vorhandene Netz rauf können).

Das Hostsystem ist fast genauso gut ansprechbar wie die Firewall selbst. Beides sollte relativ unknackbar sein, aber du musst auch mal überlegen, was denn alles passieren kann.

Zitat

naja, was halt 2 firewalls in der regel bringen...ob nun appliance systeme für intranet und internet oder einfach für eine DMZ mit webservern, etc...die möglichkeiten sind Endlos .

Dafür reicht eine Routing-Firewall mit 3 Interfaces, auch wenn das nicht ganz schön ist; es ist auf jeden Fall besser als Firewall und Server nicht strikt trennen, dein Vorschlag ist hochgradig gefährlich.

Zitat

da weiss ich allerdings auch zu wenig von netzattacken gegen geräte die nicht im netzwerk sind!

man Weak Host Model
man Bridging

[jerrison]

Zitat

Dafür reicht eine Routing-Firewall mit 3 Interfaces, auch wenn das nicht ganz schön ist; es ist auf jeden Fall besser als Firewall und Server nicht strikt trennen, dein Vorschlag ist hochgradig gefährlich.

moment, das firewall konzept umfasst nur einen aufgestzten pc der nichts anderes tut als "firewallen". oder verstehe ich dich da jetzt falsch in punkto "server" und "firewall" strikt trennen? wie gesagt, die idee ist: hostsystem für XEN (und nur dafür!), 2 virtuelle maschinen mit jeweils z.b. smoothwall und openBSD...
und dann noch eine bitte...kannst du mich auf was gutes zum thema weak host model verlinken (nur wenn du was fix parat hast, ich fand nichts neueres als 1999er sachen!),
und mir ist immer noch schleierhaft wie ich "einfach" auf das hostsystem gelangen soll. im grunde würde das die idee des VLAN ja auch anfällig machen.
immer gerne lernbereit :).

edit:
was ich doch gerade gefunden habe:

Zitat

Source route verification means that packets are discarded if they don't
arrive via the expected interface -- in other words, Linux isn't restricted
to the "weak end host" model, and Fedora doesn't use it.

Dieser Beitrag wurde von jerrison bearbeitet: 19. März 2005 - 09:30

[Rika]

Zitat

nd dann noch eine bitte...kannst du mich auf was gutes zum thema weak host model verlinken (nur wenn du was fix parat hast, ich fand nichts neueres als 1999er sachen!),

Lies RFC1122, Seite 62.

Zitat

und mir ist immer noch schleierhaft wie ich "einfach" auf das hostsystem gelangen soll.

Das Hostsystem muss mindestens alles bis Layer 2 interpretieren, meist sogar bis Layer 4, um es überhaupt in die virtueller Maschinen weiterleiten zu können. Außerdem kann es halt vorkommen, daß es einfach gar nicht erst in die VMs gelangt, sondern einfach geforwardet wird.

Zitat

Source route verification means that packets are discarded if they don't
arrive via the expected interface -- in other words, Linux isn't restricted
to the "weak end host" model, and Fedora doesn't use it.

Nah... weak ES model hat mehr was mit impliziten Erlauben als mit expliziten Filtern (bei Fedora halt mit netfilter+impliziter Regel für SRV) zu tun. Eigentlich ist es eine Kernel-Option, die einem das make config nicht anbietet, aber bei 2.6er-Kernel standardmäßig entsprechend gesetzt ist.

[jerrison]

Zitat

Lies RFC1122, Seite 62.

hab ich tatsächlich auch schon gemacht, muss es jetzt nur noch verstehen :).
aber mal angenommen ich nehme einen strong host (openBSD wäre da nach meinem Verständnis ein Kanditat), würde das nicht den host "aussen vor" lassen und das gedachte system sicher aufsetzen?
naja, wenn ich mir mittlerweile den aufwand anschaue bleibt das ganze eh theorie, aber immerhin lernt man ja was dazu.
ausserdem sind double-nat lösungen in der praxis durchaus gängig.