Firewall
Tyman Vladimir
vladimir.tyman at i.cz
Fri Feb 20 21:07:11 CET 2004
Zbynek Houska wrote:
> On Tue, Feb 17, 2004 at 06:42:57PM +0100, Dan Lukes wrote:
>
>> To, jestli je to optimalni stav by byl namet na peknou flame. Ja
>>osobne nemam stavovost ipfw rad, protoze ji lze velmi snadni zneuzit k DoS
>>utokum na chraneny stroj a dokonce i kdyz nikdo neutoci, pravidel muze byt
>>(v dynamicke casti) pomerne mnoho a vyssi pocet ruli se okamzite promita do
>>snizene pruchodnosti stroje (ale mozna pri zatizeni jake tam nas ty je to
>>fuk).
>
> Tak tohle by mne opravdu zajimalo. Nechci vyvolat zadnou flame :-)
Uz jste ji vyvolal :-) nebo ja touhle odpovedi.
Jako obvykle u trochu komplikovanejsich otazek na to neni jednoznacna
odpoved. Zalezi na vasem vyberu a zvazeni co je pro vas ucel nejlepsi.
Protoze o tom jak hodne "stavovy" je ipfw mam sve pochybnosti (zrejme
opravnene viz vas priklad s nemoznosti pouzit stavove pravidlo pro UDP)
tak se dal omezim na filter, ktery lepe zohlednuje stav paketu coz je ve
FreeBSD ipfilter (do 5.x je portovan pf s OpenBSD, ktery ma o neco vice
moznosti, nez ipfilter, ze ktereho ideove vzesel), ale povidani nize
plati obecne bez ohledu na konkretni SW.
Ipfilter (ipf/ipnat) je plne stavovy filter a pokud prechazite od
nestavoveho (napr. stare nestavove ipfw) tak to chce zmenit pohled na
vec. Muzete mit ke stavove filtraci vyhrady, ale faktem je ze urcite
veci s nestavovym filtrem proste nejdou udelat vubec. Ohledne toho co tu
padlo o vetsi nachylnosti proti DoSu ve stavovem filtru je to nazor,
ktery nikomu nevyvracim, ale osobne bych to neprecenoval. Nic vam
nebrani napsat si i ve stavovem filtru (ipf) staticka pravidla, ktera
zamezi provozu, ktery nechcete stejne jako u nestavoveho filtru, ale
navic pomoci stavovych pravidel mate moznost si privrit zbytek a vyrazne
tim zvysit jeho bezpecnost. V kostce to vidim nejak takhle: na jedne
strane je to, ze stavovy filter vi v jakem stavu se TCP/UDP/ICMP spojeni
nachazi, obrovskou vyhodou, protoze se diky tomu muze lepe rozhodnout
jestli je to opravdu paket, ktery do prislusneho spojeni patri ci ne a
tim vam vyrazne zvysi bezpecnost (napr. zadne FIN/xmas skeny, obtiznejsi
hijacking spojeni). Na druhou stranu si kvuli tomu musi ten stav nekde
pamatovat a dynamicky vytvaret/rusit doplnkova filtracni pravidla coz
muze vest k tomu potencialnimu DoS. Podobne se ale napr. pro dynamicky
se vytvarejici NAT musi nekde pamatovat a vytvaret/rusit zaznamy pro
tabulku prekladu - toto plati i pro bezestavovy ipfw+natd. Co
uprednostnite zustane nakonec pouze na vas. Otazka se da polozit takto:
co je lepsi - vetsi moznost DoS nebo vetsi zabezpeceni hostu/firewallu
(vetsi moznosti pri filtraci)? Ja osobne preferuji tu bezpecnost.
Ty paketove filtry jsou pouze jeden dil skladanky druhym nemene
dulezitym je spravna konfigurace/vyber aplikace pro poskytovani dane
sluzby (ve vasem pripade zrejme bindu pro DNS).
VT
--
Vladimir Tyman
ICZ a.s.
More information about the Users-l
mailing list