Page 1 of 1
p2p blocken mit OpenBSD
Posted: 2010-05-21 21:21
by papabaer
Moin,
spiele gerade ein wenig mit OpenBSD. Unter Linux gibt es Module für iptables, die p2p-Traffic erkennen und blocken. Gibt es solche Ansätze auch für OpenBSD und pf?
Gibt es andere Möglichkeiten, etwa über Snort? Wie würde das dann in etwa laufen? Gibt es Erfahrungen zu dem Thema?
Stefan
Re: p2p blocken mit OpenBSD
Posted: 2010-05-21 23:28
by daemotron
Grundsätzlich erst mal nein. pf filtert nach interface, source und destination ip sowie sowie source und destination port. Zusätzlich kann pf OS fingerprinting (anhand der SYN-Pakete) und ist auch in der Lage, auf Verbindungshäufigkeiten (Absolutzahl Verbindungen, Anzahl neuer Verbindungen in einem bestimmten Zeitfenster) zu reagieren (siehe "Stateful Tracking Options" in der
pf.conf man page).
Um ein externes Programm am Filterspaß teilhaben zu lassen, kann man pflog über ein Pseudo-Netzwerkdevice protokollieren lassen. Mit tcpdump kann man selbiges auslesen und die Daten entsprechend weiterverarbeiten. Entdeckt man dabei einen Fingerprint, der auf Filesharing hinweist, kann man die betreffende Adresse ja in eine persistente Tabelle eintragen, für die ganz oben im Regelsatz eine block quick rule besteht. Mit
expiretable kann man Einträge dann nach einer bestimmten Quarantänezeit wieder aus der Blacklist-Tabelle werfen.