image

Expert bouwt firewall voor paranoïde gebruikers

zondag 10 november 2013, 14:52 door Redactie, 4 reacties

Een Amerikaanse beveiligingsexpert heeft een firewall voor paranoïde gebruikers gemaakt waarmee besmette computers kunnen worden onderzocht, zonder bang te hoeven zijn dat het lokale netwerk geïnfecteerd raakt. Isowall, zoals de firewall heet, is een creatie van Robert Graham.

Op verzoek van onderzoeker Dragos Ruiu, de man die de mysterieuze BIOS-malware onderzoekt, besloot hij een eenvoudige firewall te ontwikkelen. Ruiu was op zoek naar "de domste firewall ter wereld". Een apparaat met twee ethernet-aansluitingen die pakketten van de één naar de ander kopiëren als er aan bepaalde criteria wordt voldaan.

De BIOS-malware die hij onderzoekt, en waarvan sommige experts twijfelen of die ook daadwerkelijk bestaat, zou continu alle computers van Ruiu infecteren. Daarom plaatste hij op Google Plus een oproep waarin hij experts om een oplossing vroeg.

Pakketten

Isowall voldoet aan de eisen van Ruiu, want het zorgt ervoor dat een besmette computer alleen pakketten met de router, en dus het internet, kan uitwisselen en niet met andere apparaten op het netwerk. "De security-garantie van Isowall is dat er geen TCP/IP stack aan 'eth1' is gekoppeld. Isowall heeft een eigen TCP/IP. De hedendaagse firewalls falen hierin omdat ze een verlenging van de bestaande netwerkstack van het besturingssysteem zijn", aldus Graham.

Als apparaat voor de firewall koos de beveiligingsexpert een Raspberry Pi. Dit is een kleine computer die op Linux draait, slechts 35 euro kost en zeer weinig stroom verbruikt. Ruiu wilde het apparaat het "ethernet condoom" noemen, maar Graham koos toch voor Isowall.

"Isowall is voor de paranoïde gebruiker. Stel je voor dat je bang bent dat de slimste hackers ter wereld je laptop hebben geïnfecteerd. Je wilt het apparaat op internet aansluiten om te analyseren wat ze doen, maar je wilt niet dat de infectie zich verspreidt. Isowall is dan waarschijnlijk de beste garantie die je krijgt", merkt Graham op.

Image

Reacties (4)
10-11-2013, 20:47 door Anoniem
Tja waarom niet een virtueel LAN in je router maken dan heb je het zelfde bereikt.
10-11-2013, 23:53 door Anoniem
Zo kun je ook je marketing-campagne voeren natuurlijk ;]
11-11-2013, 11:34 door Anoniem
De security-garantie van Isowall is dat er geen TCP/IP stack aan 'eth1' is gekoppeld. Isowall heeft een eigen TCP/IP.

Dan is mijn eerste vraag: "Hoe zit het met eth0?"

Hij heeft geen TCP/IP stack maar eigen TCP/IP. Wat moet ik me daarbij voorstellen? Is die eigen TCP/IP geen stack?

Ik zou in zo'n geval gaan werken met een bridging firewall. Die heeft op het traject dat onderzocht of geblokkeerd moet worden ook geen TCP/IP stack. Hij is dus niet "onderweg" te infecteren. Hij is niet te detecteren, anders dan als je kijkt naar latency.

Peter
12-11-2013, 11:50 door Anoniem
Door Anoniem:
De security-garantie van Isowall is dat er geen TCP/IP stack aan 'eth1' is gekoppeld. Isowall heeft een eigen TCP/IP.

Dan is mijn eerste vraag: "Hoe zit het met eth0?"

Hij heeft geen TCP/IP stack maar eigen TCP/IP. Wat moet ik me daarbij voorstellen? Is die eigen TCP/IP geen stack?

Ik zou in zo'n geval gaan werken met een bridging firewall. Die heeft op het traject dat onderzocht of geblokkeerd moet worden ook geen TCP/IP stack. Hij is dus niet "onderweg" te infecteren. Hij is niet te detecteren, anders dan als je kijkt naar latency.

Peter

Ik heb even snel naar de source gekeken van isowall.

Het is een heel klein stukje code die op basis van een configuratie file bepaalde ethernet frames tussen interfaces heen en weer kopieert.

https://github.com/robertdavidgraham/isowall/blob/master/src/main.c

Op andere interfaces draait 'gewoon' de normale IP stack.
Het is dus een heel basale bridging firewall (zonder de gebruikelijke logica van STP, leren van mac adressen e.d. )
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.