L7-Linux için uygulama katmanı paket sınıflandırıcı

0
anonim
Takip ettigim mail grupların bir tanesinden gelen mail icinde tanıtımını gorupte asagıdaki netfilter eklentisini farkettim.

l7 - Application Layer Packet Classifier for Linux

Networkunuze girip cıkabilecek paketlerler uzerinde etkinliginizi en ust duzeye cıkartabilecek, kullanıcıların bilgisayarlarına sahip oldukları yerel haklarla yukleyebildikleri ve kullana bildikleri P2P, IM oyun vb. programlarının baglantı/transfer ini, portlara bakmaksızın engelleyebilecek bir yazılım. Desteklenen protokoller ve performans dokumleri burada.

Basit olarak uygulama, paket iceriklerine pattern matching yapıyor. Bu bir supriz degil. Ancak perfomans acısından cok mantıklı olarak bir veri paketi sekansının baslangıc paketlerine bu uygulanıp ara paketlere bakılmayınca gereksiz cpu dongulerinden kacınılmıs oluyor.

Sirketlerin cok paralar vererek aldıkları firewall cozumlerinin ancak port ve ip kısıtlama gibi ilkel yontemlerle kullanılan IM, P2P ve benzerlerini kısıtlamaya calıstıgını dusundukce sasırıyorum. Istenen donanım gereksinimleri ise oldukca makul.

"Zen ve Motorsiklet Bakım sanatı" adlı kitaptaki "pahallı motorsiklet - ucuz tamir yontemi" dilemasının kafalarda asılması gokten elbette inmeyecek.

Görüşler

0
sundance
Zaten Phaedrus ismini gördüğümde şüphelenmem lazımdı ;)

Aslına bakarsanız, paketin içinde bir şeyleri kontrol etme, (porttan bağımsız, protokol bazında) Checkpoint FW-1'ın eklentisi olan Smart Defense'de var. Kazaa, MSN, Edonkey gibi protokolleri hangi porttan gelirlerse gelsin kesebilmekte. Dahası, bünyesinde olmayan protokolleri örnekleme ile tespit edip daha sonra kesmesi bile mümkün.

Öte yandan bu alanda Linux'a bir destek gelmiş olması bence çok daha önemli bir gelişme. Zira sözkonusu ticari güvenlik duvarları/ids'lerin bir müddet çalışınca farkına vardığınız çok önemli bir handikapları var. Bu her kapalı kodlu yazılımdaki handikap aslında, bir yerde ters bir durumda kaldığınızda, sözkonusu yazılım sizin için önemli olan bir işlevle çelişkiye düştüğünde yapacak tek şeyiniz, yazılım üreticisinin bunu düzeltmesini beklemek. Onun dışında eliniz kolunuz bağlı.

İşte bu el kol bağlı olma mevzusu, gerçekten o verilen paralara yazık dedirtiyor. Halbuki bu tarafta, özgür yazılım alanında, belki de zaman zaman belli noktalarda çok daha naif araçlar kullanmak zorunda kalabiliyorsunuz, fakat hiçbir zaman yazılım üreticisine bu kadar muhtaç değilsiniz. Hede ile hödö birlikte çalışmadı mı, altından girip üstünden çıkıp çalıştırmak, belki de bir başka yazılımı daha devreye sokup problemin çevresinden dolaşmak mümkün. Ama alemin kralı gözüyle baktığınız, her sene her bir modülüne eşek yüküyle para ödediğiniz güvenlik duvarınız cluster çalıştığında VPN paketlerine kafasına göre işlem mi yapıyor? Yapacağınız tek şey bir vaka açıp beklemek.

Özgür yazılımın asıl özgür kısmı işte bu. Ve bu alanlar da Ian Murdock'ın tekrar tekrar belirttiği "enabling technologies" (imkan sağlayan teknolojiler) sayesinde gelişmekte. Bu eklenti de oldukça iyi olmuş, artık Linux'da bu alanda bir alternatif olabilecek.
0
honal
0
anonim
Hosuma giden sey artık IT yatırımlarınızı olabildigince dusurup sadece bilgiye ve deneyime yatırım yapabilmeniz. Yani artık checkpoint ve diger teknolojilerin pahallı olusu sizin istediginz kontrollere sahip network kurmak icin bir engel degil. Bahane ise hic degil.

Google da, sourceforge da isini gorebilecek teknolojiyi bulabilen, olan biteni takip eden kisi, kısaca adapte olabilen kisi benim kanımca gercek IT yatırımı. Pahallı Software degil.

Insan kaynagını masraf kapısı olarak goren gorus, artık Ust ve IT yonetimi tarafından yavas yavas bırakılmalı. Secim yaparken gidip MS sistem/yazılım/veritabanı muhendisi sertifakısından cok kisinin ne kadar acık goruslu olduguna adaptasyon kabiliyetine bakmalı.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Kodlama Teorisi, Şifreleme ve Bir Akşam Yemeği

FZ

1984 Nisan ayı. Zurich'teki bir konferansta bir akşam yemeği sonrası, Prof. James Massey'in davetlisi olan John Gordon, kodlama teorisi, şifreleme, iletişim güvenliği üzerine en az, az önce yedikleri yemek kadar leziz bir konuşma yapar.

Konuşmasına güvenlik dünyasının meşhur ve gizemli karakterleri Alice ve Bob'un olası hayat hikayelerini yeniden kurarak başlayan Gordon gayet eğlenceli bir şekilde ve sinsice kodlama teorisi, güvenlik analizi, iletişim güvenliği gibi konulara geçer.

Sonra mı? :-)

Okuyun ve görün. İyi eğlenceler.

Açık Sistemler ve Güvenlik - 3

FZ

"Sana söylemem gereken çok gizli bir şey var: 934FAB9234ASFDGER345ASDF" Anonim

Açık sistemlerde serbestçe kullanabileceğiniz şifreleme yazılımı GnuPG (Gnu Privacy Guard - gpg) isimli özgür güvenlik yazılımını temel alarak anlattığım yazı dizisinin 3. ve son bölümüne hoş geldiniz.

Bu bölüm en kısa ve az detay içeren bölüm ancak burada kısaca ele alacağım konuları ve yazılımları tam olarak kavrayabilmek için 1. ve 2. bölümleri okumuş olmanız gerekiyor.

NetCat, Telnet, Reverse Telnet ve türlü numaralar :)

sundance

Bu yazıda Unix'in efsanevi komutlarından belki de en gençlerinden birine sistem yöneticilerinin ve hackerların daim dostu NetCat'e basitçe değinmeyi amaçladım.

Her ne kadar basitçe değinecek olsam da networkle ilgilenenlerin işe yarar bir şeyler bulacağınıza inanıyorum bu yazıda. Özellikler Reverse Telnet birçok download meraklısının (ve evinden firewall'lu işyeri makinasına bağlanmak isteyen adamın) ilgisini çekecektir ;)

McAfee FBI´ın casus yazılımını görmezden gelecek

anonim

Slashdot'da okuduğum bir habere göre, McAfee, antivirus ürünlerinin, FBI'ın şüphelilerin bilgisayarına sızdırdığı ve tuş vuruşlarını FBI'a gönderen trojanını (Magic Lantern) görmezden geleceğini açıklamış.
Peki virus yazarları Magic Lantern'in modifikasyonlarını çıkarırlarsa? Güvenlik yazılımlarında Amerikan ürünlerine güvenemeyecek miyiz? Güvenlik konularında open-source yaklaşımları gerekliliğini hissettirmeye başladı..