Una manera de crear tu fw mediante código y orientado a objetos. ¿Lo usarías?

Esto consiste en un nuevo proyecto. No consiste en un wrap de firewall más, ni via web, ni via configurador gráfico.

* Es un API para generar firewalls. La librería proporcionará  las funciones y elementos necesarios para que el programador pueda usarlo con cualquier fin. Bien sea crearse un configurador gráfico o web, un programa en consola, un firewall estático o como lo quiera usar.
Trata de ofrecer una capa de abstracción sobre la maquinaria que hay debajo. No es una aplicación para configurar firewalls, es una libreria que nos da funciones para hacerlo y para realizar acciones más o menos complicadas sobre ellos.

*- Estas ultimas líneas la he editado 12:15 am, la anterior explicación creaba dudas – 

Por ejemplo de manera simple, implementando un interface, podemos definir características básicas para la seguridad de la red o de las diferentes redes.

– control de fragmentado de paquetes. -1 línea de código-

– control de conexiones – 2 o 3 líneas por red definida-

– Antispoof -1 línea-

– control de icmp -1 línea de código- si queremos hacer controles de tasa alguna más, pero no mas de 5

Uno de los que creo que son los puntos fuertes. Clases con las que podemos generar objetos contenedores de reglas -RuleSets-. Podemos cargar y descargar reglas por separado, o descargar contenedores enteros. Esto puede facilitar la manera de dotar de automatismo al sistema. P.Ej Un posible ataque contra nuestra web desde una misma dirección. Si nuestro programa tiene la lógica para detectarlo, tenemos funciones que podrían paliar el problema de manera autónoma, sin intervención humana.

fw.unload(ApacheWebRuleSet);

fw.blackListIp.add(ipAtacante);

fw.load(ApacheWebRuleSet);

Esto que cuento es un “boceto”, todavía no tengo escrita la especificación completa. La idea es proporcionar al administrador o a un programador una librería que se encargue de liberarle de tener que escribir scripts, o estar pendiente de actuaciones “manuales”, pudiendo invertir el tiempo en generar un programa que le dote a su fw de cierta automatización o inteligencia. Y en según que operaciones eliminando el factor humano (borrando líneas en un script es fácil meter la pata, y si son diversos scripts que “tiran” de reglas de otros, más).

En los primeros diseños y bocetos estoy contemplando el uso de iptables, sus extensiones de protocolo, extensión mac, limit y el módulo de conntrack. Una vez diseñado, la siguiente fase será generar un módulo para el control de NAT.

Pero necesito opiniones para seguir o no adelante.

Olvidémosnos ahora del lenguaje en el que se desarrolla y para el que se desarrolla el api

  • ¿Crees útil la idea?
  • ¿Conoces a gente a la que le pudiera ser útil?
  • ¿Si tuvieses un api así y te pidieran generar un firewall dinámico o un wrap para alguien, te pondrías a ello?
  • ¿Podría hacer que vieras los fw como algo más cercano a la programación y olvidarte de que no eres sysadmin?