firewall (ipfw: static, stateful)
Dan Lukes
dan at obluda.cz
Tue Mar 30 14:52:34 CEST 2010
Josef Hrabec wrote:
> Nic mene tedy pak uz me napada pouze jedina otazka. V jakem priblizne
> pripade by tedy melo podstatny smysl uziti stavoveho firewallu? Z dnesni
> diskuse spise plyne, ze pro stavovy firewall neni prilis mnoho pripadu,
> kdy by jeho uziti bylo radove uzitecnejsi v porovnani s nestavovym.
O tom by mohla nastat plamenna diskuse, protoze stavove firewally maji
sve zarputile zastance ;-)
Stavovy firewall obecne neposuzuje kazdy paket samostatne, ale do
rozhodovaciho algoritmu take vstupuji "predchozi udalosti".
Stavovy firewall se typicky pouziva tehdy, kdyz mas strost, aby z venku
dovnitr nemohly pronikat pakety pokud nejdriv nenastane komunikace
zevnitr ven.
Predstav si takove DNS - to posila sve dotazy nejmene z jednoho
(defaultne a take kvuli bezpecnostnim duvodum vsak z mnoha ruznych)
portu nekam do sveta na port 53. Pokud tuto komunikaci dovolis na
nestavovem firewallu, pak to znamena, ze kdokoliv ze sveta muze z portu
53 poslat do tve site paket.
Na stavem firewallu bys nastavil, ze paket dovnitr muze proniknout jen v
pripade, ze jde o odpoved na drive prosedsi paket jdouci ven. Soucasne
musis predpokladat, ze zevnitr site utocnik nepusobi (a tudiz ti stavovy
firewall nezahlti).
To je asi tak nejlepe zvoleny priklad hovorici ve prospech stavoveho
firewallu.
Ja ovsem mam v siti vlastni DNS resolver, takze vsechny vnitrni stanice
komunikuji s nim - a do sveta komunikuje jen on sam. A FreeBSD, ktere
jsem si sam nakonfiguroval verim natolik, ze se paketu se zdrojovym
portem 53 prichazejicim z celeho sveta na tento stroj (na jine to
dovoleno neni) neobavam. Proto stavovy firewall nepotrebuji.
Obdobne by ti mohlo vadit,ze pri povolene komunikaci na portu 80 mohou
"dovnitr" posilat pakety odkudkoliv z portu 80 - tady jde o vsem o TCP a
pokud zakazes dovnitr pruchod SYN!ACK paketu, pak z venku nejde navazat
regulerni TCP spojeni a muze jit pouze o pakety nenavazanych spojeni.
Dokonce i mnou spravovanym Windowsum verim natolik, ze se takovych
paketu prilis neobavam.
Ano, nekdo by se mohl paketem s padelanou zdrojovou adresou a dobre
odhadnutym stream-counterem "strefit" do probihajici komunikace (a
napriklad tak uzivateli propasovat do WWW stranky nejaka vlastni data) -
jenze - zaprve, potreben predpoklady ej obtizne splnit a jejich nahodne
spoleni je pomerne nepravdepodobne a druhak - bud' jde o komunikaci
nedulezitou, kde pozmeneni nevadi zasadne, nebo je komunikace sifrovana
(na urovni HTTP jde o SSL) a do te takto vstoupit nelze. Navic, v
pripade siti, kde jsou "nahodne konfigurovane pocitace" (ruzne ty
vesnicke ISP site, kde se o pocitac stara kde kdo, ale taky moje kolej,
kde se o kazdy pocitac stara prislusny student) tam neni primarnim
ukolem firewallu ochranovat tyto koncove stanice ale prvky sitove
infrastruktury.
Takze - neni pravda, ze stavovy firewall je uplne k nicemu. Pokud mas
uvnitr stroje, ktere komunikuji ven a pritom jejich nastaveni nebo OS
nemuzes prilsi verit (ale presto jsi povinen zarucit jejich ochranu)
muze byt stavovy firewall odpovedi. A pak take vzdy, kdyz mas hranici
mezi ochranou bezpecnosti a mezi spolehlivou funkcnosti site nastavenou
smerem "doleva" o hodne vic nez ja (nebo treba jen o malo, ale o hodne
vic neveris instalovanym zarizenim).
Rozhodnout s emusis sam - tohle je o mire paranoie (a taky o jejim typu)
a to je ciste individualni zalezitost. Ja se vic bojim, ze mi sikovne
organizovany utok an stavovy firewall sit znefunkcni nez ze mi nekdo
nejakym nevhodnym paketem rozstreli chraneny pocitac uvnitr.
Dan
More information about the Users-l
mailing list