Контент-фильтр на свитче или рутере - вообще возможно ли?
 

На управляемых свитчах можно делать пакетную фильтрацию. Где-то точнее, где-то нет, но в принципе возможно. А, интересно, контент фильтрация возможна?
Сделать некое подобие не только пакетного, но и контент файервола на свитче/рутере, чтоб процесс происходил до компа с его возможными уязвимостями.
Возможно? Имеется в виду, локально, а не посылая весь траф как через прокси на облако кого-то там еще.
И если да, то требуется некая готовая железяка, или это можно настроить на обычном управляемом?
порылся в хламе - есть какие-то старые сиськи, убигути.. Навскидку порылся по сети, 2 - ничего не вижу похожего.

Роутер с антивирусом это не то? Например, в TP-Link AX73 есть родительский контроль и антивирус. Правда за них надо помесячно платить.

bredych, разве что pfSense, opnSense, со специфическими плагинами (я не использовал, просто слышал), также и в OpenWRT вроде плагинами решается.
Вот, например, для pfSense

нет, это облачные фичи. А я про встроенный в железо или настраиваемый в нем функционал

почитал страницу - там только пакетная фильтрация. Или я чего-то не вижу?

Что вы имеете ввиду под контент-фильтром?

проверка содержимого. По сигнатурам, строкам кода, или поведению.. Да хоть stateful inspection..
словом, что-то помимо классического "пакет на такой-то порт, по такому-то протоколу, с такого-то ипа" в условиях фильтрации.

как я понимаю, вам нужен Level 7 Firewall. pfSense работает на уровне 3, зато есть DNSBL (DNS BlockLists) - списки сайтов (доменов), которые блокируются полностью (т.е. анализ каждого пакета не производится, блокируется любой трафик с заблокированного домена или к нему). Может, это вас устроит?

1) (Stateful Packet Inspection — инспекция пакетов с хранением состояния) - это по прежнему пакетный фильтр с точки зрения основных параметров фильтрации.
Но добавлено сохранение истории/состояния сессии. Это важно для TCP-based протоколов, но работает далеко не для всех UDP-протоколов.

2) Сигнатурный анализ, оно же NGFW есть только в продвинутых фаерволах.
Даже в тяжелых коммутаторах Cisco типа 6500X продвинутый фаервол реализовывался отдельной платой, а не средствами основной платы.

3) Сигнатурный анализ хреновенько реализуется на процессорах общего назначения. Нужны либо ASIC как у Fortinet, либо специализированные потоковые процессоры как у PaloAlto.

4) Основная ценность таких устройств это обновляемая база Сигнатур, а т. к. , сильно упрощая, Сигнатура просто накладывается на "поток трафика", то устройству фиолетово что ловить: "хошь протокол, хошь атаку, хощь - вредонос", собственно многие это делают одновременно или в паралель.
А базу редких сигнатур пополняют в первую очередь пользователи, через запросы в сервис (у той же плоальты есть утилита записи трафика, формирования пакета и отправки его в сервис для формирования сигнатуры).
Дык вот, кто в опен-сорсе эти бесплатно заниматься будет?

Ну, SNORT же пилят, например, чего бы нет?

Snort is a free open source network intrusion detection system (IDS) and intrusion prevention system (IPS) created in 1998 by Martin Roesch, founder and former CTO of Sourcefire.
Snort is now developed by Cisco, which purchased Sourcefire in 2013.
In 2009, Snort entered InfoWorld's Open Source Hall of Fame as one of the "greatest [pieces of] open source software of all time"

"Open" и "Free" не значит, что никто не платит.

я знаю. Но нам, как конечному потребителю, неважно, кто платит вместо нас ;)

У снорта есть платная подписка на сигнатуры. Бесплатная тоже есть, но она отстаёт на 30 дней.
В принципе для сохо есть недорогие решения с DPI, например UIPS EdgeRouter. Есть даже полностью софтверные, вроде ntop nEdge. Не знаю, насколько оно производительно, не пробовал. В любом случае, поскольку нынче львиная доля трафика шифруется TLS, для полноценного DPI нужно делать митм подмену сертификата, следовательно установку в траст клиентов своей CA, что не везде возможно. На оборудовании предприятия например да, а в личные телефоны сотрудников уже не залезешь. Без этого можно разве что по SNI фильтровать, да и то в TLS 1.3 это может быть прикрыто, а также есть такая штука как DNS over HTTPS, что тоже делает фильтрацию по SNI невозможной.

я знаю. спросил по принципу "если нет на пОльта белок - ну хотя бы дайте кошку". Если нельзя контент, то хоть фичу дропать пакеты по сессиям, открытым не мною.
огорчён.
Как понимаю, если валяются какие-то древние сиськи, вероятность найти там что-то подобное приближается к нулю? А вероятность заставить работать по хоть сколько-то актуальным сигнатурам - и того меньше?

рутеры - имеются в виду общее назначение?

то есть, никаких анализов поведения в принципе не бывает?
А кстати, пусть и чисто теоретически, базы сигнатур от стороннего источника, к примеру, бесплатного антивирь-сканера, использовать таким макаром невозможно?
Подозреваю, что против таких хитрых заранее предусмотрены грабли, но интересно, а вдруг нет? :)

ну, в принципе, понятно, что премиум-поддержка по сигнатурам от сиськи идёт по подписке, а бесплатно только сигнатуры от комьюнити.
https://snort.org/
Но это вот добро пашет только с машины под линем, или с свитч/рутера тоже?

да я рассматривал для начала для личного пользования. Но, как понимаю, тут всё равно надо покупать специализированное железо, софтом здесь не обойтись?

если туда сможете снорт вкарячить, то да. Те же программные рутеры на *NIX позволяют это сделать. С OpenWrt придется повозиться, но, как пишут, решаемо

Имеются в виду процессоры общего назначения, универсальные - архитектур x86, arm, mips - которые используются в маршрутизаторах начального уровня, в противовес специализированным (ASIC), которые способны выполнять специализированный ограниченный набор инструкций, зато делают это значительно быстрее, чем универсальные.
Как правило да, и ещё подписку. Есть софтверные решения вроде уже упомянутого nEdge, можно поставить и в виртуалку с passthrough интерфейсами, но чёт не нашёл в документации функционала подмены сертификата. Ну может плохо смотрел, а так DPI там выходит не совсем полноценный.

не, хотел именно развязаться с компом, чтоб отдельная ступень была, не висящий на компе сервис.

bredych, ставьте второй комп в роли рутера ;)

Или в роли фильтрующего бриджа.

не, это уже иллюстрация анекдота про едущие сзади скорую и пожарную в роли огнетушителя и аптечки..

bredych, у вас что, комп в семье один? Если да, то, пожалуй, смысла мало, разве что есть какая-нибудь древность, которая все равно без дела лежит. Если нет - он же может раздавать интернет всем, с фильтрацией, и без преферансов и куртизанок :up

Ничем не лучше подхода "у меня есть кучка списанного железа, про функционал которого ничего толком не знаю, но хочу из этого слепить контент-фильтр". Ну я так понял пассаж Вариант собрать из пекарни контент-фильтр хоть и сомнительный, но рабочий.

ну что ж, *sense, работающие хоть на древнем "четвертом пне", позволяют установить snort "в пару кликов", на крайняк, можно установить наиболее знакомый дистрибутив линукса, но тут я уж совсем не помощник :search:

dmitryst, во-первых, снорт это не DPI.
Во-вторых, хоть и можно воткнуть бриджем инспектора на L2, но это точка отказа.
И тут думать и решать надо, возможно с резервированием, что заставит дублировать сетевые узлы.

да, но для примера сойдет. Не обязательно ставить сервер Enterprise-уровня.
Во-вторых, любое железо и софт - потенциальные точки отказа, но для дома что-то как-то никто модемы, WiFi AP , и прочее сетевое оборудование не дублирует ;)

Но там и DPI никто не втыкает вроде... Вообще такое нужно хрен зачем, ну может для отслеживания сетевой активности сотрудников... Мне например пофиг.

для этого выделяются средства и ставится проверенное решение, официально. А не ищется по форумам, типа этого, это разве что для дома/дачи. Кстати, что там у нас с бесплатным софтом для DPI? ;)

Даже не знаю... Вроде всё рассказал, ну кроме собственно цен на железки-лицензии-подписки.... оставим этот вопрос исследовать ТС в качестве дз, если любознателен, то пусть фалломорфирует сам, ггг.