firewall

Ich liebe meine Firewall. Wirklich ich mache das, sie ist immer weiter gewachsen, Gut dokumentiert und im Gegensatz zu anderen Produkten vertraue ich Ihr Voll und Ganz. Dies liegt nicht an den anderen Produkten, ich meine es gibt viele Firewalls, welche wirklich für mich, auch von der Evaluation her, eine super Sache sind, vor allem wenn man nur Grundkenntnisse besitzt und mehr möchte als ein ISP-Router bietet. Für mich ist dies leider nichts, da ich so eine Distribution, sei es ein *BSD/oder Linux, erst einmal ReverseEngineere um zu Wissen wie sie funktionieren und dann ist auch nicht das vorhanden, welches ich vielleicht möchte und durch massive Abänderung ist es dann nicht mehr das Original und somit kann ich es gleich selbst machen.
Also 0mypfw.deveth.hq  filtert mir Werbung mit automatischen Shalla-List updates und natürlich Squid und SquidGuard, nutzt Snort-Regeln mit positives to iptables, cached deb-Files für 40 Tage, hostapd und und und. Das ganze hat ein RAID und begnügt sich mit netten 768MB RAM, wovon in maximalen Fall 500ebbes mal genutzt wurden. Auch werde ich per Mail über Angriffe, Hitzeprobleme, Updates, usw informiert. Alles erkläre ich nicht, der geneigte Leser weiß warum;)
Somit, mypfw ( War ein kleiner Witz für mich der $HOSTNAME bedeutet My personal firewall *g*) und ich haben einen mehr als tollen Kommunikationsfluss und ist auch nicht gerade wenig frequentiert bei einem 1 Familienhaus mit 5 surfenden Mitgliedern.
So, dies als vorhergehende Erklärung, kommen wir nun zu der Zensur durch/über die Firewall.

Es ist klar, dass ich zensiere. Sei es die Werbung, bestimmte Seiten mit nicht positiven Inhalten, oder auch das blocken von bestimmten Dateiendungen. Sprich Domains werden vorgefiltert, welches jedem schon durch die Werbung klar ist. Hier habe ich eine gewollte Zensur.
Die ungewollte Zensur ist, wenn ich einen vermeintlichen Angreifer blocke, bei mir befindet sich nur freenode auf der Whitelist, damit ich diese nette Mail nicht mehr bekomme:
——— SCHNIPP ———
Scanned TCP ports: [40-65506: 163 packets]
TCP flags: [SYN: 163 packets, Nmap: -sT or -sS]
iptables chain: INPUT (prefix "Firewall BlockFw — DENY"), 163 packets
Source: 85.190.0.3
DNS: proxyscan.freenode.net
MAC: 00:30:b8:ca:69:31
OS guess: Linux (2.4.x kernel)
Destination: XXXXXXXXXXXXXXXXXXXX
DNS: XXXXXXXXXXXXXXX
MAC: XXXXXXXXXXXXXXX
Overall scan start: Tue Apr 20 19:32:37 2010
Total email alerts: 1
Complete TCP range: [40-65506]
Syslog hostname: mpfw
Global stats: chain:   interface:   TCP:   UDP:   ICMP:
INPUT    eth0         163    0      0
[+] TCP scan signatures:
"BACKDOOR GateCrasher Connection attempt"
dst port:  6969 (no server bound to local port)
flags:     SYN
sid:       147
chain:     INPUT
packets:   1
classtype: misc-activity
usw und sofort
——— SCHNIPP ———
Einer der vielen kleinen Dienste, welche dort laufen, psad mit fwsnort, aber wie gesagt, nicht der einzige.
Was mir klar ist, dass viele Angreifer aus bestimmten Ländern kommen und ich nun mit Hilfe von GeoIP und einem neukompilierten iptables diese Länder sperren könnte, ein reject ist da die nette Art und nicht ein drop btw.
Nun stelle ich mir die Frage, ist dies Fair?
Ich bin für ein freies Netz und gegen eine Zensur, wo ich natürlich schon für die Zensur von bestimmten Inhalten und Ihrer drakonischen Bestrafung der Täter bin, dies ist aber nicht das Thema gerade. Wenn ich mich nun hinsetze und genau diese Funktion mit in meine Firewall setze befinde ich mich meiner Meinung nach auf einer Ebene, auf welcher ich mich definitiv nicht befinden möchte/will. Ich watsche ein Land mit meiner Firewall ab, nur weil sich dort ein paar Idioten befinden. Auch stellt sich in dem Moment die Frage, ist die IP wirklich die Echte, oder haben wir hier einen netten Fall von Spoofing. Eine Idee, welche ich Gestern mit sqall besprach, ist die Kunst eines Gegenangriffes bzw die Rückleitung des Verkehrs zu dem Angreifer. Nur auch hier haben wir das Problem eines IP-Spoofing und ich mache mich in dem Moment strafbar, weil ich einen Host angreife, welcher nicht wirklich der Angreifer ist. Meine Antwort darauf ist im Grunde mal wieder ein HoneyNet, nur verursacht ein kleines Honigtöpfchen mir die Kosten (Strom/HW/Audit/etc.) und dies Alles nur damit ein Scriptkiddie spielen kann?
Stellt sich langsam die Frage und dies nicht nur mir, wie sollen wir auf Länder reagieren, welche in diesem Zuge sich nicht wirklich bemühen, dass dies nicht geschieht? Mir kann keiner mit einer Aussage kommen, dass diese Länder es nicht nicht mitbekommen. Ich nehme als Beispiel China, weil jeder Person dort die Zensur durch die Medien wirklich klar ist. China zensiert, China schaut sich den Netzwerkverkehr wirklich sehr stark an und ich muss schon zuegeben, dass ich auf die Hardware neidisch bin;) Nun, wenn China wirklich den ganzen Netzwerkverkehr in Realzeit observiert und ich gehe nun nicht auf die Netzwerkschichten ein, wie kann es sein, dass aus diesem Land so viel Spam und Angriffe kommen. Vor allem Angriffe auf die IP-Ranges welche von einem ISP für das Kundensubnetting(simpel ausgedrückt) benutzt wird. Auch das werkeln an BGP kommt aus diesem Land verstärkt vor und natürlich haben die Überwacher dies nicht mitbekommen.  Soll ich mich nun hinstellen und wirklich das ganze Land abwatschen? Natürlich kann ich noch Seiten aus diesem Land abrufen und die Daten kommen auch bei mir an, wer sich mit iptables auskennt weiss wie. Nur im Grunde müsste ich dies doch mit allen Ländern machen, ich bekomme ja auch Angriffe aus dem SubNet meines ISP, anderen ISPs in Deutschland, aus Europa, aus Nordamerika etc etc etc.
Wo ist denn da genau Seraphyns Problem, er filtert mit GeoIP einfach nur vor, aber er hat ein freies Netz, ist doch eine tolle Erweiterung seiner heissgeliebten Firewall?
Eigentlich ist jeder Verkehr, welcher nicht von mir ausgeht und ankommt schon einmal Falsch, außer ich habe ein forwarding. Somit ist GeoIP in dem Punkt obsolet. Ich könnte mir das Mail senden sparen bei Angriffen, nur hilft es mir nicht Securityfehler oder Angriffe aufzudecken. Für mich fängt genau das Problem damit an, dass ich mich hinsetze und ein Land als Security-Enemy einsetze. Mein neuer Klassenfeind wird erschaffen. Im Moment pushen wir in der Realität schon China als neuen "Wir-brauchen-für-den-kalten-Krieg-ähnlichen-Zustand-ein-neues-Russland-Amerika-bla-bla" hoch und viele im Netz nutzen schon GeoIP und blocken gerade mal China und schreiben auch Anleitungen dazu.
Terrorismusparanoia, damn, der Chinese kommt, es ist nicht nur Einer, Millionen, Milliarden,Fantastilliarden… wir werden alle gehaaaaaackt!!!!
So etwas frisst sich für mich schon meiner Meinung nach durch die Fontanelle und wird nett in das Unterbewusstsein geparsed. Ich kann es mir nicht anders erklären, sonst hätte ich die Woche nicht die Frage eines iPhone-Besitzers nach einer Firewall gehabt mit welcher man China blocken kann, weil damit kann man ja surfen.
Ich denke nun versteht man die Überschrift und die Antwort habe ich dazu auch gegeben. Ich werde ein Land nicht komplett rejecten und wehre mich auch gegen einen Schubladenlapsus gegen Länder, Menschen, oder deren Kultur. Ich möchte dies auch nicht mir gegenüber, somit, ich wünsche weiterhin viel Spaß beim Angreifen, nur lasst mir etwas mehr Bandbreite übrig, denn einen QoS für Angriffe ist mir leider, vielleicht noch nicht, möglich.
Vielleicht liege ich ja mit diesem Denken falsch und habe GeoIP nicht wirklich verstanden, doch ich sehe GeoIP in anderen Dingen als ein gutes Werkzeug an, nur in dem Punkt, ich bin von meiner Meinung nicht dafür und lasse mich aber auch gerne eines anderen belehren…