firewall (ipfw: static, stateful)
Dan Lukes
dan at obluda.cz
Tue Apr 6 15:29:52 CEST 2010
Richard Willmann wrote:
> cely problem o ktorom ste diskutovali spociva v moznosti nekontrolovaneho
> narastu poctu zaznamov v stavovej tabulke. Spravne?
Ano - aniz by statovy firewall prinasel tak nepstradatelnou
funkcionalitu, ze "to za to stoji".
> * dostatocne vykonnom stroji,
To ovsem neni jen o procesoru a u gigabitove linky se dostavas na
hranice toho, co zvladnou sbernice. A u tech mas vyber, a zejmena vyber
z podporovanych karet docela omezeny.
> prinos moze vyvazit a vo vacsine pripadov aj vyvazi
> Okrem lepsieho pocitu
V tomto hodnoceni se neshodujeme. Ja si "lepsiho pocitu" asi nevazim
dostatecne a trvam na trochu hmatatelnejsich pozitivech, kdyz uz mi maji
omluvit nevyhody ;-)
> je spracovanie paketov stavovym firewallom (ale opat, nie vzdy ale obvykle)
> rychlejsie nez tym nestavovym (z casti overene v praxi a aj v
> manualovych strankach je napisane, ze vyhladavanie v tabulke stavov je
> rychlejsie nez v tabulke firewallovych pravidiel).
No tak to v zadnem pripade. A nebo se nebavime o stejnem firewallu.
ipfw je implementovano tak, ze stavy uklada jako uplne normalni pravidla
- jen je neuklada do tabulky X, ale do tabulky Y, pricemz pravidla z
tabulky Y se uplatnuji jako "include" v okamziku, kdy nastane urcita
podminka v tabulce X.
Uz jsem tu psal, ze v mem nestavovem firewallu projde 90% paketu nejvyse
10 pravidel. Az bude v tabulce Y dalsich 100 pravidel vygenerovanych
dynamicky (a to jsem velmi umirneny v odhadu poctu) tak jsem v poctu
prochazenych pravidel proste o rad jinde.
A, a to zas mam ozkouseno ja, se projevi na latenci tech prochazejicich
pakety (a proto obcas prehazuju poradi pravidel ve firewallu abych co
nejvice paketu vyridil co nejdrive)
Nicmene, nerad bych tu zabrednul do diskuse, nakolik je latence 50ms
misto 5ms problem. Hlavni potiz se stavovymi firewally je jinde - a to v
miste, ktere nevyresis ani vetsi pameti, ani nakupem silnejsiho
procesoru, ani toleranci vuci vetsi latenci.
Uz to tu padlo - kazdy stavovy firewall ma nejaky limit na pocet
vytvorenych pravidel. Tento limit je az prilis snadne vycerpat a proti
takovemu vycerpani se prakticky nelze branit.
Pokud k nemu dojde, a to z jakehokoliv duvodu, nastanou problemy s
beznym uzivanim te chranene site. A v mem pripade plati, ze za tuto cenu
o "lepsi pocit" nestojim.
Zabezpeceni site je komplexni problem - ne vsechno musi resit centralni
router/firewall a me pripada, ze zrovna tohle je vec, u ktere za reseni
v tomto miste zaplatim neprijatelnou cenu - zatimco kdyz ji nebudu resit
tady, tak se mi vyresi velmi lacino, prakticky sama.
Zabezpeceni site je nedeterministicky problem - souvisi se zvazovanim
rizik a s odhady skod a to je samo o sobe vic loterie nez veda. Takze je
samozrejme, ze co clovek, to jiny nazor, jake skody a jaka rizika hrozi
a jak je to-ktere ochranen opatreni omezi - a tudiz - co clovek to jiny
nazor na efekt konkretniho opatreni v konrketni siti ...
Stavovy firewall nektera rizika eliminuje, uplne jina nove vytvari. Muj
nazor je, ze ve vysledku je jeho dlouhodoby efekt s ohledem na sumu
vzniklych skod typicky zaporny, i kdyz jiste lze najit situace, kdy to
tak neni.
To ale neni jediny, tim mene jediny spravny, nazor ... ;-)
Dan
More information about the Users-l
mailing list