Firewall
Dan Lukes
dan at obluda.cz
Sat Feb 21 22:07:33 CET 2004
Zbynek Houska wrote:
>> To, jestli je to optimalni stav by byl namet na peknou flame. Ja
>>osobne nemam stavovost ipfw rad, protoze ji lze velmi snadni zneuzit k DoS
>>utokum na chraneny stroj a dokonce i kdyz nikdo neutoci, pravidel muze byt
>>(v dynamicke casti) pomerne mnoho a vyssi pocet ruli se okamzite promita do
>>snizene pruchodnosti stroje (ale mozna pri zatizeni jake tam nas ty je to
>>fuk).
>
> Tak tohle by mne opravdu zajimalo. Nechci vyvolat zadnou flame :-)
> Takze redeji zadne check state rule v ipfw?
Kazdy spravce, ktery se musi starat o zabezpeceni site am trochu jien
zkusenosti, jine oblibene postupy a, zejmena, jine nocni mury.
Urcite se najde zkuseny spravce, ktery bude presvedcen, ze dynamicke
rule jsou vetsinou mensi nebezpeci a riziko nez diry, ktere je nutne
"volne otevrit" v firewallu bezestavovem.
Ja mam vetsinou nazor obraceny. Chran panbu, abych tvrdil, ze ten druhy
nazor je spatny. Me jen pripada horsi.
Krome toho, tuto uvahu je stejne nutne provest vzdy v konkretni situaci
znovu. Asi existuji situace, kdy by me stavovy filtr pripadal lepsi - i
kdyz me ted zrovna zadna pekna nenapada ...
No - a jaky nazor budete vetsinou mit vy - to si musite rozhodnout sam
... ;-)
Dan
More information about the Users-l
mailing list