firewall (ipfw: static, stateful)
Dan Lukes
dan at obluda.cz
Tue Mar 30 21:57:46 CEST 2010
On 03/30/10 21:00, Miroslav Prýmek:
> Jen tak naokraj bych si chtel overit, ze vim, o cem je rec :)
>
> 1. kdyz se mluvi o stateless firewallu, znamena to prakticky proste, ze u pravidel neni uvedeno "keep-state", nebo
> jeste neco navic (jsou i jine dynamicke tabulky, ktere musim vzit v uvahu - ktere muzou byt tercem ddos)?
Krome keep-state take "limit". Ale hlavne - ackoliv tazatel zminil primo
ipfw, ja argumentoval tak, aby to platilo pro firewally obecne (mame
jich na FreeBSD vic). TO co jsem napsal tak povazujuz a platne bez
ohledu na konkretni pouzity firewall.
> 2. kdyz mam na okraji nejake site stateless firewall, znamena to, ze bud A] musim z vnitrni site ven pristupovat
> vzdy pres nejakou moji proxy nebo B] pocitace ve vnitrni siti v podstate nemuzu timhle FW chranit?
>
> Priklad: pocitac A ve vnitrni siti se pripoji z portu XYZ na www.google.cz:80, www.google.cz posle
> odpoved z portu 80 na A:XYZ -> na fw musi byt povolen pristup Z VENKU na vsechny (dejme tomu neprivilegovane) porty
> A.
Ano, i kdyz ne pro kazdy typ paketu - typicky musis povolit nektere ICMP
a pak samozrejme TCP, vyjma ovsem SYN!ACK.
> 3. mam-li na rozhrani site NAT a v siti uzivatele, kterym neverim, tak muzu klidne pouzit statefull, protoze
> kdyz bude uzivatel chtit, stejne mi muze zahltit NAT
Zaprve je otazka, k cemu je vedle NAT, ktery sam z principu funguje jako
stavovy firewall, mit jeste druhy. Asi to v nekterych situacich smysl
mit muze, je to ale treba posoudit individualne.
Pokud se bude stav probihajicich spojeni udrzovat na dvou mistech (misto
jednom nebo nejlepe zadnem) bude mit utocnik utok jedine snazsi.
> Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna (napr. typicky je potreba otevrit
> 10000/100k/1M spojeni)? (tim chci rict, kdyz jde treba o tu tady zminenou sit sesti set neduveryhodnych pocitacu,
> je realne, ze by nekdo provedl dos na NAT, nebo k tomu potrebuje vic pocitacu?)
Pokud mas dostatek pameti a vypocetniho vykonu s ohledem na pocet
prochazejicich paketu za jednotku casu tak neni nebezpecna nikdy.
> 4. mozna by stalo za zminku, ze stateless FW muze byt rychlejsi - znovu, existuji nejake kvalifikovane odhady rozdilu
> nebo tak neco (best practices apod.)?
Specielne u ipfw plati, ze paket "prochazi" pravidlem po pravidlu dokud
nematchne coz urci jeho dalsi osud. Cim vetsi pocet pravidel dokaze
matchnout na co mozna nejdrivejsim pravidle, tim je zatizeni procesoru a
zpozdeni nizsi a pruchodnost vyssi.
Mam tu, napriklad, firewall, ktery ma 50 pravidel, ale je peclive
serazen tak, ze 95% paketu neprojde vic nez deset prvnich.
Prestava, ze mi tam jen-tak vznikne tisic dalsich pravidel a timto, o
dva rady vetsim, poctem pravidel budou vsechny tyto pakety prochazet me
zas az tak moc nelaka. Pohybuju se v tomto konkretnim pripade na hrane
toho, co PC router vubec zvlada a prestoze nemam vycisleno jak hodne by
ho to zpomalilo, ze by ho to zpomalilo je jasne ...
Dan
More information about the Users-l
mailing list