Firewall

Tyman Vladimir vladimir.tyman at i.cz
Fri Feb 20 21:07:11 CET 2004


Zbynek Houska wrote:
> On Tue, Feb 17, 2004 at 06:42:57PM +0100, Dan Lukes wrote:
> 
>>	To, jestli je to optimalni stav by byl namet na peknou flame. Ja
>>osobne nemam stavovost ipfw rad, protoze ji lze velmi snadni zneuzit k DoS
>>utokum na chraneny stroj a dokonce i kdyz nikdo neutoci, pravidel muze byt
>>(v dynamicke casti) pomerne mnoho a vyssi pocet ruli se okamzite promita do
>>snizene pruchodnosti stroje (ale mozna pri zatizeni jake tam nas ty je to
>>fuk).
> 
> Tak tohle by mne opravdu zajimalo. Nechci vyvolat zadnou flame :-)

Uz jste ji vyvolal :-) nebo ja touhle odpovedi.
Jako obvykle u trochu komplikovanejsich otazek na to neni jednoznacna 
odpoved. Zalezi na vasem vyberu a zvazeni co je pro vas ucel nejlepsi.

Protoze o tom jak hodne "stavovy" je ipfw mam sve pochybnosti (zrejme 
opravnene viz vas priklad s nemoznosti pouzit stavove pravidlo pro UDP) 
tak se dal omezim na filter, ktery lepe zohlednuje stav paketu coz je ve 
FreeBSD ipfilter (do 5.x je portovan pf s OpenBSD, ktery ma o neco vice 
moznosti, nez ipfilter, ze ktereho ideove vzesel), ale povidani nize 
plati obecne bez ohledu na konkretni SW.
Ipfilter (ipf/ipnat) je plne stavovy filter a pokud prechazite od 
nestavoveho (napr. stare nestavove ipfw) tak to chce zmenit pohled na 
vec. Muzete mit ke stavove filtraci vyhrady, ale faktem je ze urcite 
veci s nestavovym filtrem proste nejdou udelat vubec. Ohledne toho co tu 
padlo o vetsi nachylnosti proti DoSu ve stavovem filtru je to nazor, 
ktery nikomu nevyvracim, ale osobne bych to neprecenoval. Nic vam 
nebrani napsat si i ve stavovem filtru (ipf) staticka pravidla, ktera 
zamezi provozu, ktery nechcete stejne jako u nestavoveho filtru, ale 
navic pomoci stavovych pravidel mate moznost si privrit zbytek a vyrazne 
tim zvysit jeho bezpecnost. V kostce to vidim nejak takhle: na jedne 
strane je to, ze stavovy filter vi v jakem stavu se TCP/UDP/ICMP spojeni 
nachazi, obrovskou vyhodou, protoze se diky tomu muze lepe rozhodnout 
jestli je to opravdu paket, ktery do prislusneho spojeni patri ci ne a 
tim vam vyrazne zvysi bezpecnost (napr. zadne FIN/xmas skeny, obtiznejsi 
hijacking spojeni). Na druhou stranu si kvuli tomu musi ten stav nekde 
pamatovat a dynamicky vytvaret/rusit doplnkova filtracni pravidla coz 
muze vest k tomu potencialnimu DoS. Podobne se ale napr. pro dynamicky 
se vytvarejici NAT musi nekde pamatovat a vytvaret/rusit zaznamy pro 
tabulku prekladu - toto plati i pro bezestavovy ipfw+natd. Co 
uprednostnite zustane nakonec pouze na vas. Otazka se da polozit takto: 
  co je lepsi - vetsi moznost DoS nebo vetsi zabezpeceni hostu/firewallu 
(vetsi moznosti pri filtraci)? Ja osobne preferuji tu bezpecnost.

Ty paketove filtry jsou pouze jeden dil skladanky druhym nemene 
dulezitym je spravna konfigurace/vyber aplikace pro poskytovani dane 
sluzby (ve vasem pripade zrejme bindu pro DNS).

VT

-- 
Vladimir Tyman
ICZ a.s.




More information about the Users-l mailing list