Yoggie Pico: linux-os tűzfal a windows-os gépek védelmére

Linux

A Yoggie Security Systems egy teljes, Windows operácós rendszert futtatók számára kifejlesztett, Linux-alapú hardveres tűzfalat préselt bele egy USB pendrive méretű cuccba. A Yoggie Pico 2.6-os Linux kernelt, és további 13 biztonsági alkalmazást futtat 520MHz-es PXA270 Intel processzoron a Windows felhasználók biztonságáért. A Yoggie Pico egy miniatűrizált verziója a cég Yoggie Gatekeeper termékének, amely szintén erre a processzorra épül.

A cég vezérigazgatója, Schlomo Touboul, az alábbi véleményen van: A Windows-on futó internetes biztonsági szoftverek egy csomó időt vesznek igénybe az elinduláskor, és a szkenneléshez sok CPU időt fogyasztanak. Minden egyes frissítéskor kövérebbek és kövérebbek lesznek, és ennek eredményeképpen a windowsos gép egyre lassabb és lassabb lesz. A Yoggie mögött álló elgondolás nem más, mint az, hogy legyen egy "második számítógépünk", amely átvilágítja a hálózati forgalmat még azelőtt, hogy az elérné a PC-nket.

Az eredeti Gatekeeper-rel ellentétben - amelynek két RJ45-ös port-ja van, és hasonlóan működik, mint a klasszikus tűzfalak, amelyek beékelődnek a hálózat és a PC közé - a Pico nagysebességű USB (480Mbps) porton kapcsolódik a gépre. A Pico alacsonyszintű windowsos driver-ei beépülnek a Windows-ba, és layer 2-3-on eltérítve a hálózati forgalmat, beleirányítják az USB eszközbe. Ez a megoldás (USB + host driver) nem csak a vezetékes hálózat csatolófelületén alkalmazható, hanem gyakorlatilag bármely interfész, például dial-up, vagy éppen a wireless hálózat monitorozására is használható.

A cég képviselője szerint készülnek a Mac OS X és Linux driver-ek is.

A cucc ára 180 dollár. Az egy éves előfizetés 30 dollár.

Képek és egyéb infók a stuffról itt.

( lac18 | 2007. 05. 30., sze – 11:50 )

Nem lehet rossz,de ha van otthon 3 gép,egy kicsit már drága...

( mofli | 2007. 05. 30., sze – 13:00 )

5 percenként lekérdezi a gyártót az újabb beállításokért. Aztán meg nyitogatja a gépemet a külvilág felé?

( gee v | 2007. 05. 30., sze – 13:54 )

Vajon mi lehet az a 13 biztonsági alkalmazás, amivel a forgalmat nézi?

Feltételezem vírusszűrő egynek. Talán spamszűrő másodiknak, bár azt nem tennék én rá.

És a többi?

Nekem komoly problemam van azzal az allitassal is, hogy "USB". Mivel jellemzoen divat a gyartoknal, hogy ezer 10Mb-es HUB van a gepben, addig USB2-es variansbol csak egy. Arra kotik - jo ez most jellemzoen mekes pelda - pl. az iSight-ot, mint nagy savszelesseg igenyu eszkozt. Es egy ismerosomnel visszatero problema, hogy az USB-s kulso TV tuner csak a 2.0-as HUB-on mukodik rendesen (lasd 480Mb), de ha valami belekavar a folyam mukodesebe (es egy USB2.0-ra kotott monitorozo cucc, ha van benne feregkereses is velemenyem szerint tud ilyet okozni, foleg, hogy az altala monitorozni kepes savszelesseg csak maximalisan 240Mb:), akkor fagy az egesz kutyuje.

Nem azt mondom, hogy ez egy altalanos pelda, de ha epp kifogod... eleg idegesito. Viszont az alapotlet jo. Tetszik.

---
pontscho / fresh!mindworkz

Benne van a linkelt cikkben:

Like the original Yoggie, both are said to offer "13-layer" security, including:

* Anti-Spam
* Anti-phishing
* Antispyware
* Antivirus
* Parent control system
* Transparent email proxies (POP3; SMTP)
* Transparent web proxies (HTTP; FTP)
* Intrusion detection system
* Intrusion prevention system
* Firewall
* Adaptive security policy
* Multi-layer security agent (Patent pending)
* Layer-8 security engine (Patent pending)

--
trey @ gépház

( Kuvik | 2007. 05. 30., sze – 14:05 )

Tetszik a koncepció annak alapján, hogy ez valószínűleg alig eszi a rendszert, de valahogy idegenkedek tőle, hogy kvázi külön egy vasat kell ilyenre beállítani. Erről kb az jut eszembe, hogy

"Ellenben láttam egy Solaris munkaállomást, amin egy webkamera volt, és az volt a feladata, hogy a gépteremben levő hagyományos hőmérőt figyelte. Nemtom' megvan-e még..." (http://hup.hu/node/33801)

Má' nem a flémért, de inkább egy JÓ oprendszert kellene tudni készíteni...

"egy JÓ oprendszert kellene tudni készíteni"
az alpha-ra írt Windows NT-re nem kell vírusírtó, mert nem futnak rajta a vírusok. Az egyetlen Windows, ami "immunis" a vírusokra ^^

---------
WARNING: Linux requires you to type! After rebooted to Windows, you can safely unplug your keyboard.
szerény blogom

Hát az igen. De akinek alpha-ja van szerinted winnt-t rak rá? Ez az én szememben kb. olyan, mint amikor a "színesfémgyűjtők" hozzájutnak (khm..) pl. egy bronzszoborhoz, és feldarabolják/beolvasztják. Hasznosítani hasznosították így is, de hogyan... Ráadásul, ha jól tudom az MS már nem támogatja, és se előtte se utána nem nagyon támogatott, vagy támogat az x86-on kívül más architektúrát.

"és se előtte se utána nem nagyon támogatott, vagy támogat az x86-on kívül más architektúrát."

Nem vagyok nagy arch guru, de szerény tudomásom szerint az IA64 elég más arch, mint az x86/x86_64. És saját értelmezésem szerint az előző post az x86-ról szólt.

---
A Linux nem Windows, de a Windows se Linux.

( arpi_esp v | 2007. 05. 30., sze – 16:53 )

Az egesz onnantol kezdve ertelmetlen, hogy a windozon mulik a halozati forgalom beleiranyitasa. Aztan jon egy uj worm, kikapcsolja ezt a windozban es onnantol felejtheto...

Ugy lenne ertelme, ha ez USB-s halokartyakent funkcionalna (akar meg wifi is beleferne), es tenyleg ott szurne a forgalmat mielott meg eleri fizikailag is a pc-t. Ez igy most csak akkor szuri ha a pc-n futo os is akarja...

A masik meg a spamszures... hatekony szurok nagyon eros gepeken (ertsd 2-3ghz p4) is max 50-100 levelet tudnak atnezni percenkent (teljes tartalomszures, bayes, virus ellenorzes etc). Ezt berakni egy 500mhz-s pxa-ba...

Sokkal erdekesebb lenne a netfiltert portolni windozra akkor mar :)

A'rpi

"Az egesz onnantol kezdve ertelmetlen, hogy a windozon mulik a halozati forgalom beleiranyitasa. Aztan jon egy uj worm, kikapcsolja ezt a windozban es onnantol felejtheto.."

<itsatrap>Ez megtörténhet minden más szoftveres dologgal, ami Windows alatt fut? Ez azt jelenti, hogy a Windows alatt futó szoftveres biztonsági eszközöknek a haszna zéró?</itsatrap>

--
trey @ gépház

Hát pont ez az. Akkor vagy

- elfogadjuk, hogy ez sem rosszabb (mármint a cikkben levő megoldás), mint mondjuk az OpenBSD pf-je, hiszen azt is kikapcsolhatja egy worm

- kijelentjük, hogy ez is szar, a pf is szar, az MS ISA szerver is szar, a Windows beépített "tűzfala" is szar, az iptables is szar, a szoftveres tűzfalak is szarok, és minden szar, ami biztonsági és szoftverből van

- kijelentjük, hogy csak Windows alatt szarok a biztonsági szoftveres megoldások

Melyik legyen, illetve mi maradt ki?

--
trey @ gépház

Nem, a win !vista fos, hogy nem használható limited fiókkal normálisan out-of-the-box. Meg a 3rdparty appok nagy része, mert minden indok nélkül az appmappában tárolják a beállításaikat.
Én mondtam, hogy kész vagyok elismerni, ha valami nem tetszik a Winben, YHBT.
--
'Please, just tell people to use Windows.' - Linus Torvalds on KDE and GNOME
Registered M$funboy #006 (vigyázat: memetikai dágvány!!!11)

Hmmm... Az OpenBSD PF -jéről jut eszembe egy részét? annak is portolták Windowsra a Core Force nevű biztonsági alkalmazásban. Különben ez az applikáció is egy saját köztes hálózati drivert applikál a windowsba.

http://force.coresecurity.com/index.php?module=articles&func=display&ca…

The firewall is a Windows port of OpenBSD’s Packet Filter (PF), which has been trimmed and tailored to make it suitable for desktop systems and to minimize complexity. There are two kernel-mode drivers that implement CORE FORCE's firewall, the core functionality of the firewall is performed by a miniport driver (croxy.sys) that uses the standard NDIS (Network Driver Interface Specification) API to wrap all communications between the network card drivers and the Operating System application layer. This driver intercepts all outgoing and incoming network packets, and because it's placed at the bottom of the networking stack, it additionally protects attacks to the Operating System's stack itself.

Üdv
Godot

Itten online elvileg nem, csak a megfelelő " init.d szkriptek :-) " fájl módosításával és újraindítás után már elméletben lehetséges. A "login" megjelenésének pillanatában a root elveszíti minden hálózatkezelési jogát.Csak "lokális üzemmódban" működik. Így pl. iptables-t sem tud módosítani, lekérni, ping se megy, semmi. így kikapcsolni sem. 


oscon@osconsfortress:~$ su
Password:
su: Authentication failure
Bocs.
oscon@osconsfortress:~$ su
Password:
osconsfortress:/home/oscon# iptables -L
iptables v1.3.6: can't initialize iptables table `filter': Permission denied
Perhaps iptables or your kernel needs to be upgraded.
osconsfortress:/home/oscon# exit
exit
oscon@osconsfortress:~$

A worm meg jó eséllyel nem indul el, ugye előszőr valahogy el kéne indítani:

mondjuk ls a worm a felh. könyvtárban. mondjuk letöltöm ls néven a wormot :-)) 


oscon@osconsfortress:~$ cp /../ls /home/oscon
oscon@osconsfortress:~$ /home/oscon/ls
bash: /home/oscon/ls: Hozzáférés megtagadva

Szerkeztve: a ls elől a bin-t kivettem mert ugye szűrve vannak a hozzászólások binls-re.

szerkeztve 1.1: ja meg első körben a jelszót is elgépeltem. :)))

---------

Nem a zsömle kicsi, a pofátok nagy...

Akkor múlik az OS-en a hálózati forgalom átzavarása az eszközön, ha egy dróton lógatja rá a gépére a delikvens, ha normálisan, fizikailag közbeiktatva teszi be, akkor nem.

Az 500-as CPU IMHO még mindig gyorsabb, mint amit a SOHO router-tűzfal "csodákba" raknak, és úgy gondolom, hogy egy usernek ha nagyon sok levele felgyűlt a szerveren (legyen mondjuk 2000, ahogy lentebb szó volt róla), akkor igen, sokáig fog szöszmötölni a levelek letöltésével a cucc. DE ez mehet a háttérben, és lehet közben mást csinálni, hiszen a gép prociját/memóriáját nem "fogja" a vizsgálat/szűrés, ráadásul a lassúsága miatt még az internet-kapcsolat sávszélességéből is "jut" a többi alkalmazásnak. Mielőtt szóvá tennéd, hogy a kis kütyüben ahhoz is kell CPU-idő, szólok, hogy nem felejtettem el, de --mint azt a SOHO router/fw dobozoknál is látjuk-- erre jóval kisebb teljesítmény is elegendő szokott lenni.

( zoli78 | 2007. 05. 30., sze – 23:51 )

Vigyázzatok, mert az ábra csalóka. Maga a processzor elég nagy méretre (itt van a kezemben egy nyákon: 35 x 35 mm), tehát a pendrive méretet nagyon kétlem, hacsak valaki nem rohangál 4cm széles pendrive-val...