Toon posts:

[Linux] Java controlled simple firewall

Pagina: 1
Acties:

zondag 11 mei 2003 22:42

Acties:
  • hobbit_be
  • Registratie: November 2002
  • Laatst online: 04-07-2025

hobbit_be

Topicstarter
Hoi,

we hebben een projectje in elkaar gestoken met wat webservices, maar nu moeten we er wat security tegenaan gooien (wat niet in de de ons gebruikte
software zit).

We hebben wel het geluk de IP's te hebben van iedereen die em mag gebruiken - dez kunnen wel 'runtime' moeten verandered worden, liefst vanuit een servlet of java-based approach (dat ie een script uitvoerd kan natuurlijk ook).

Dit allemaal omdat onze HTTPS support werd ingetrokken. Van firewalls maar vooral van dynamische hebben wij geen kaas gegeten - vandaar eerder een vraag in de richting van welke (gratis!) packetjes zouden ons kunnen helpen?

Dus een simpel firewall voor Linux (8.0) (moet niet super secure zijn, maar genoeg voor het niet te eenvoudig te laten) die in realtime IP's kan toelaten / niet toelaten...

zondag 11 mei 2003 22:47

Acties:
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 19:18

Robtimus

me Robtimus no like you

hobbit_be schreef op 11 May 2003 @ 22:42:
Dus een simpel firewall voor Linux (8.0) (moet niet super secure zijn, maar genoeg voor het niet te eenvoudig te laten) die in realtime IP's kan toelaten / niet toelaten...
Linux 8.0??? De kernel zit toch echt pas op 2.5.x ;)

Waarschijnlijk bedoel je RedHat, Suse of Mandrake. Kijk eerst eens welke, dat helpt erg veel.

More than meets the eye
There is no I in TEAM... but there is ME
system specs

zondag 11 mei 2003 22:53

Acties:
  • jkf
  • Registratie: Oktober 2000
  • Laatst online: 21-06-2025

jkf

Zit standaard bij de meeste linux distro's aangezien het al een tijdje in de kernel zit ipchains (oud) en iptables (nieuw).
Wat je precies wilt bereiken is mij echter niet geheel duidelijk. Ik neem aan dat het om je eigen dynamische ip adres gaat. Zowel ipchains alsook iptables maken het mogelijk regels op de interface te hangen. b.v. ppp0 of eth0, deze regel wordt dan toegepast ongeacht het ip adres wat aan deze interface wordt gehangen.

P II 233 @ begane grond, rip (1997-2007), vervangen door vituele server uptime,

zondag 11 mei 2003 23:24

Acties:
  • Robtimus
  • Registratie: November 2002
  • Laatst online: 19:18

Robtimus

me Robtimus no like you

jkf schreef op 11 May 2003 @ 22:53:
Zit standaard bij de meeste linux distro's aangezien het al een tijdje in de kernel zit ipchains (oud) en iptables (nieuw).
Wat je precies wilt bereiken is mij echter niet geheel duidelijk. Ik neem aan dat het om je eigen dynamische ip adres gaat. Zowel ipchains alsook iptables maken het mogelijk regels op de interface te hangen. b.v. ppp0 of eth0, deze regel wordt dan toegepast ongeacht het ip adres wat aan deze interface wordt gehangen.
Ik denk dat ie juist de connectende machines wil beperken.

More than meets the eye
There is no I in TEAM... but there is ME
system specs

zondag 11 mei 2003 23:40

Acties:
  • jkf
  • Registratie: Oktober 2000
  • Laatst online: 21-06-2025

jkf

Naarmate ik het meer lees snap ik er minder van, wat heeft je firewall met https te maken. https en firewalls zijn verschillende technieken die verschillende problemen oplossen.

https beveiligd een verbinding door middel van encryptie.

firewalls beperken de toegang tot een machine.

Ik kan me niet voorstellen dat je een firewall wilt laten configureren via het internet via een non secure verbinding. (Waarom wil je de firewall dan ueberhaupt.)

Zijn de webservices zelf niet via een password te beveiligen? (b.v. in het geval van web services met een apache server via de .htaccess bestanden?)

Runtime een machine toegang verlenen aan een machine die met iptables of ipchains is beveiligd is overigens geen probleem. In het primitiefste geval moet je even een cgi scriptje schrijven dat het ip-adres vanwaar het wordt aangeroepen toevoegd aan de toegestane binnenkomende pakketten. (maarja iedereen kan het verkeer onderscheppen en zichzelf toevoegen als dat niet via een beveilgde verbinding en een authorisatie gaat)

P II 233 @ begane grond, rip (1997-2007), vervangen door vituele server uptime,

maandag 12 mei 2003 00:19

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 21:59

Wilke

Ik laat dit open omdat het mij inderdaad ook niet duidelijk is wat hier nou precies de bedoeling van is.....dus om te beginnen: wat wil je nou precies, en welke Linux distributie en versie gebruik je :?

En waar heb je zelf al gezocht om uit te vinden hoe en wat je met firewalls kunt doen, en hoe je dat instelt?

[ Voor 46% gewijzigd door Wilke op 12-05-2003 00:20 ]

maandag 12 mei 2003 00:31

Acties:

Verwijderd

Ik denk dat hij een site had met een HTTPS verbinding, alleen dat is blijkbaar niet meer toegestaan. Nu hebben ze zelf iets inelkaar geknutseld, maar willen ze doormiddel van een firewall het voorelkaar krijgen om hackers buiten de deur te houden. en die firewall moet runtime aangepast worden (lees: ik stuur via HTTP een IP, en vervolgens moet ik de applicatie inkunnen).

Niet echt haalbaar lijkt me, om over de (in)security nog maar te zwijgen ...

dinsdag 13 mei 2003 02:28

Acties:
  • hobbit_be
  • Registratie: November 2002
  • Laatst online: 04-07-2025

hobbit_be

Topicstarter
sorry voor de late reply, maar ben echt op van werken (3 dagen, 17uur per dag)

antwoorden:
Redhat Linux 8.0, geen hercompile mogelijk het is een VDS/VPS

We hadden idd een HTTPS voor al ons 'verkeer' dat op 6 verschillende poorten ging (wel allemaal HTTP) (tis nogal tech-intensive). Maar die viel weg dus
werd het ons iets te gemakkelijk om het te hacken.

Qua start-up security: (dus hoe 'veilig' het nu is)

1 ) Basic HTML (dus voor de admin om in te loggen) Auth.
2 ) User/Password op de html form op die pagina
(in Database, gebruik van hardcoded servlet)
3 ) 'Chat' -> dit is een conversatie tussen de twee (vanuit server) om te zien
of client wel 'een echte' is - dus: encoding, en sequential stuff. (een soort minitaaltje (dus een algo, geen U/P))

als dit passed dan nemen we de IP van de user en deze mag dan op alle poorten die relevant zijn full access hebben.

Dit laatste , wat slechts gedeeltelijk is (ie Dynamic User in Database, voor rechtsstreekse database verbinding (met limits natuurlijk)) moeten we ook voor de
andere 'poorten' weten toe te passen, helaas hebben die packet NIETS aan beveiliging (echt schandalig, want het zijn niet de minste jongens).

Ik nam aan dat een 'software' firewall dit deed: hij neemt een request kijkt of ie in een 'ip' table zit en laat em door of niet. En ik neem aan dat die op een niveau lager is dan de paketten (stuk voor stuk Java).

van die iptables/chains ben ik mijn zoektocht wel tegengekomen maar waarschijnlijk iets te snel laten liggen (ie te hardcore, even verduidelijken 1 maand geleden had ik nog nooit van 'vi' gehoord, ben altijd Dos/Win coder geweest, Linux vond en vind ik nog steeds veel te onvriendelijk (ik heb UCI -design gedaan)) maar als het moet dan moet het :) als jfk zegt dat het in RealTime met een 'scriptje' kan dan lijkt me dat best te doen, Ik zal daar dus op verderzoeken maar als jullie me met deze antwoorden nog specifieker kunnen helpen: gladly.

Alvast bedankt...

Ik zit op /13 /14 meestal dus hoop ik dat ik jullie ook eens kan helpen :)
Pagina: 1
Reageer