En este momento estoy buscando alguna forma en Linux para tener una lista blanca de filtros de paquetes, pero basada en parámetros específicos como el contenido del paquete en lugar de parámetros más generales como el tipo de protocolo o la fuente de IP.
Una aplicación de seguridad crítica que se ejecuta en el host con cortafuegos no debe poder ver ni analizar los datos enviados hasta que pase un filtro de cortafuegos que solo permite paquetes con ciertos datos predefinidos (comandos de cadena de texto codificados).
Básicamente,
es un mecanismo "similar a un comp" que estoy buscando, excepto que la fuente de datos es una aplicación potencialmente maliciosa / no confiable que se ejecuta en otra máquina.
Cosas que he visto pero no pude entender si son aplicables a mi caso de uso:
- seccomp
- libpcap
- Linux Socket Filtering también conocido como Berkeley Packet Filter (BPF)
- Snort