By Steffen Ullrich
Date: Thursday, 14 March 2013 09:30
Duration: 40 minutes
Language: Deutsch
Tags: firewall ids proxy
You can find more information on the speaker's site:
IMP ist eine Schnittstelle zur Inspection und Manipulation von Traffic.
Anwendungsgebiete sind IDS/IPS, Firewalls oder Proxies, wo die Technik zur
Analyse und evtl. Manipulation der Daten verwendet werden kann, wie z.B.
Malwareerkennung, Trafficnormalisierung, Adblocking, Sessionlogging).
Eine ähnliche Technologie ist ICAP. IMP bietet jedoch gegenüber ICAP
deutliche Vorteile:
- ICAP ist primär gedacht für HTTP, während IMP universeller für alle
streambasierten Protokolle (d.h. TCP) ist
- ICAP arbeitet auf kompletten Requests bzw. Responses und ist daher für
eine Verarbeitung von streambasierten Inhalten nicht geeignet. IMP
hingegen arbeitet auf Datenchunks - wodurch eine Weitergabe/Manipulation
deutlich früher erfolgen kann - was sich auch in der für den Anwender
spürbaren Performance zeigt.
- IMP hat weitere Massnahmen zur Performanceverbesserung, wie die
Möglichkeit, einen Teil der Daten vor der Analyse weiterzuleiten (bei
latenzkritischen Inhalten oder wenn Analyse nur im Logging besteht)
und auch die Analyse eines Datenstromes für eine bestimmte Byterange
auszusetzen (zB initiale Protokollerkennung, Rest wird ohne Analyse
durchgelassen)
Die IMP Schnittstelle ist z.Z. über ein Perl-Modul Net::IMP implementiert
und spezifiert, es laufen jedoch Arbeiten an einem C-API.
Nutzer der Schnittstelle sind z.Z. die genugate Firewall, sowie einige
Beispielapplikationen in der Net::IMP Distribution.
Für mich persönlich vereinfacht diese Schnittstelle deutlich Experimente
bei der Protokollfilterung.
Der Vortrag stellt Konzept und grundlegende Funktionsweise der Schnittstelle
vor, geht auf Programme und Filter ein, die man sofort zum Experimentieren
nutzen kann und erläutert anhand eines Beispieles, wie einfach das Schreiben
eines IMP-Filters sein kann.