能预防ARP攻击的MINIFW讨论

aijun

能预防ARP攻击的MINIFW讨论

预备在下一个版本中实现MINIFW启动的时候根据DHCP获取的IP/MAC实现自动绑定
主要是预防ARP攻击.各位以为如何?

                               
登录/注册后可看大图

zhangweizj

看着挺眼熟。。

aijun

在一款专业级硬件防火墙上我见过类似界面,当时很眼热,因为市面上的防火墙基本上都不具备WEB过滤能力
总想某天能自己做一个防火墙也实现WEB过滤  ,现在终于可以做到了.
   希望能多测试反馈,谢谢

fxwlhs

好啊，什么时候出来？

moran321

这不是coyote吗?

aijun

在网络上许多的LRP计划中的路由器可以说都是由LRP路由器发展的,如BBI  COYOTE  FFW  REBING MINIFW等, COYOTE 由LRP发展的,MINIFW由COYOTE发展的,因为按照LRP计划,所有的TGZ都是按照一个标准定制.
我的外壳还是COYOTE,但是内核变化太大,特别是WEB过滤功能,是以上所有的路由器没有的功能.少数硬件级别的防火墙才具备.
    外科是COYOTE,内核功能远远要强大.

hb2k

感觉minifirewall 应为iptables+做一个不缓存的squid（个人猜测）。数据过滤色情过滤离不开netfilter&&squid。
arp干扰这类故障单向绑定是没用的。arp请求是广播形式的，回应才是单向的。
一.讨论过arp干扰的故障解决办法：
1.pppoe接入方式------广泛用于isp，所以你拨号上网不会因为别人而学习到错误的mac。跟子网规划有关，因为全都/32了。
2.隔离广播域，方法有二:a.取消接入交换机的mac地址学习功能，写入只允许通过的ip+对应mac+对应物理端口，(此种交换机相对较贵)b.子网/32位地址或同理vlan隔离每一个ip的广播包不到达"兄弟及表兄"位置计算机。
二.包过滤:
应用范围相对较窄，地市级别二级isp经常采用的方法，以用来砍掉相当的流量接入更多用户来缓解不菲的出口租赁费用。动起来流量一般也要G级别的，首先suuid不能胜任，即使是不cache的。多台作bridge加聚合应该可以。内容过滤最好要l7+正则，毕竟squid不是干内容过滤的。至于squid跨掉时排错比较摸不出头绪。
三.应用场合：
60台以上的单位、学校用户。
呵呵，毕竟是自己做的而且实现了预期功能，大概的确是作者的乐趣吧，佩服佩服。

aijun

版主:
你的猜测水平比较高,的确需要使用透明代理.
不过SQUID是无法探测病毒 木马 和色情内容等.只能使用卡巴斯基或者CLAMD内嵌入MINIFW路由器内才能探测客户机浏览网页中包含的木马或者病毒,然后告诉WEB过滤软件进行拦截.

因此这个过程严格的说需要四个软件支持
数据包->IPTABLES->PROXY->WEB过滤器内容识别->杀毒软件软件**->WEB过滤器通过标记->客户机

我读很多文章后,有下列个人看法,不知道是否正确.

1)SQUID是无法实现色情过滤的,只是一个桥梁PROXY,最多能过滤如SEX等字符而已,可以说非常初级.
2)ARP绑定是双向的,因此我保护的是MINIFW路由器.客户机必须自己使用批处理文件绑定.当然使用克隆版本是最好的方法.ARP攻击一般都是局域网内部病毒或者恶意的人做.
3)L7过滤功能非常弱,不是"真正"的WEB过滤.目前网络世界中可能只有两个软件能实现"true web filtering"
目前国外的商业防火墙很多都购买的这两个WEB过滤器软件.

例如 SQUIDWALL SQUIDGUARD;
ROUTOS也曾经购买过这个WEB过滤器,但没有做好

因此我淘汰TC的流量控制和L7filter,在非ISP的网络中用处不大.
4)我自己使用的过滤300台(包含病毒过滤.色情过滤),还有100台没有做过滤.300台要慢,主要对学生机器.
5)我做ARP绑定主要也是参考过这个论坛的关于ARP的文章,好像就是版主写的.
关于arp_send不能防止ARP攻击的文章,所以仔细考虑并没有把这个程序加入,而是在MINIFW启动的时候根据DHCP服务器的IP/MAC绑定,保证路由器本身不要被攻击.
6)在DHCP服务器中也可以实现VLAN划分!广播风暴很小.对于学校网吧等可以节约一台贵的交换机.

[ 本帖最后由 aijun 于 2006-9-10 12:19 编辑 ]

aijun

你的建议我也很感兴趣.
   我一直用IPT_IPP2P.O过滤P2P软件
   看了l7filter ,的确是使用正则表达式过滤,仔细**确定无法过滤加密网页的内容.其实我使用的WEB过滤器本来也无法过滤.我修改了老外的源代码,让它把.JS 中的加密信息也当HTML文件过滤,总算解决了脚本中的未知木马.
  但IPT_IP2P也有局限.
   刚才下载的最新L7filter, baibo ,kuoo xunlei 等都可以过滤.解决80端口看来很好.我将编译一次L7FILTER.如果能为大家造福,也很好.
   以后希望版主多提建议,你是轻易不发表帖子的.

[ 本帖最后由 aijun 于 2006-9-11 10:28 编辑 ]