/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
statefull inspection/ikke statefull
Fra : Dennis Pedersen


Dato : 18-12-01 20:21

Hej!
Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
forbindelse er jeg faldet over at de begge kan lave 'statefull inspection'.
Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
inspection mere sikkert end hvis man ikke brugte det?
Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
lige præcis hvad forskellen er så her er det eksperterne må træde til ;)


/Dennis



 
 
Lars Kim Lund (18-12-2001)
Kommentar
Fra : Lars Kim Lund


Dato : 18-12-01 20:29

Hej "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk>

>Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
>forbindelse er jeg faldet over at de begge kan lave 'statefull inspection'.
>Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
>inspection mere sikkert end hvis man ikke brugte det?
>Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
>lige præcis hvad forskellen er så her er det eksperterne må træde til ;)

Stateful er sessionsorienteret og retningsbestemt mens ikke-stateful
er pakkeorienteret.

--
Lars Kim Lund
http://www.net-faq.dk/

Dennis Pedersen (18-12-2001)
Kommentar
Fra : Dennis Pedersen


Dato : 18-12-01 20:44


"Lars Kim Lund" <larskim@mail.com> wrote in message
news:v36v1uo4htpqcemdhoej29alalss3v8kvg@sunsite.auc.dk...
> Hej "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk>
>
> >Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
> >forbindelse er jeg faldet over at de begge kan lave 'statefull
inspection'.
> >Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
> >inspection mere sikkert end hvis man ikke brugte det?
> >Der står noget på man siderne men jeg syntes det forekommer mig noget
uklart
> >lige præcis hvad forskellen er så her er det eksperterne må træde til ;)
>
> Stateful er sessionsorienteret og retningsbestemt mens ikke-stateful
> er pakkeorienteret.

Dvs den holder reelt styr på alt udgående trafik og lukker for gassen hvis
der ikke er noget i dens tabel der stemmer overens med at den pakke skulle
have lov at passere?
Men som jeg har forstået det så indgående trafik har man ikke nogen fordel
ud af at bruge statefull inspection på?

/Dennis



Christian E. Lysel (18-12-2001)
Kommentar
Fra : Christian E. Lysel


Dato : 18-12-01 21:07

Dennis Pedersen wrote:

> Dvs den holder reelt styr på alt udgående trafik og lukker for gassen hvis
> der ikke er noget i dens tabel der stemmer overens med at den pakke skulle
> have lov at passere?
> Men som jeg har forstået det så indgående trafik har man ikke nogen fordel
> ud af at bruge statefull inspection på?


Nu bør der jo ikke være forskel på ind- og udgående traffik!

For at give dig et nemt eksempel:

A vil pinge B. I reglsættet må A sende ICMP pakker til B, men ikke omvendt.

A -> B icmp request (tilladt ifølge reglsættet, nu opdateres statetabelen)

B -> A icmp reply. (tilladt ifølge statetablen).

Dette er tilladt.


Nu vil B sende pakker til A, fx icmp reply.

B -> A icmp reply. (ikke tilladt af hverken reglsættet eller statetablen).

Dette er ikke tilladt.



Hvis regelsættet var implementere på en router med filter regler, ville
reglerne være:

A -> B icmp request

B -> A icmp reply

Derfor kan B til enhver tid sende icmp reply pakker til A.


Christian E. Lysel (18-12-2001)
Kommentar
Fra : Christian E. Lysel


Dato : 18-12-01 20:58

Dennis Pedersen wrote:

> Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
> inspection mere sikkert end hvis man ikke brugte det?
> Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
> lige præcis hvad forskellen er så her er det eksperterne må træde til ;)


Det kommer an på hvilket netværkslag vi snakker om!

Statefull inspection bliver efterhånden brugt i flæng.


Problemet med statefull inspection som jeg ser det, er at hvis pakkerne

matcher statetablen eller

regelsættet, går den igennem firewallen, dvs. det er direkte forbindelse
igennem firewallen, sålænge pakkerne opfylder nogle krav. Disse krav er
desværrer alt for simple og vil ikke kunne forhindre avanceret angreb på
applikationslaget. Endvidere vil dette ej give beskyttelse af svage
TCP/IP stakke hvor sekvensnumre er forudsigelige.

Hvis vi kikker på en applikationsproxy firewall, fortolker den alle
pakker, matche disse op imod reglerne. Herefter bliver de genskrivet af
proxyen, hvilket også betyder at der ikke er direkte forbindelse igennem
firewallen. Endvidere vil man kunne tillade trafik der overholder
RFC'erne op til applikationslaget og ikke indeholder buffer overflows.

Dog mener nogle at de også er sværrer at kode, dvs. at de har flere fejl end mere simple firewalls.


Personligt fortrækker jeg at bygger pakkerfilter i Internet routeren,
for derefter at have en applikationsproxy firewall, på denne måde bruger
jeg fordelene fra begge teknologier.



Der er flere producenter der derfor bygger hybride firewalls, som både
kører statefull inspection og applikationsproxier, Firewall-1 fra
Checkpoint er et udmærket eksempel.


Søg
Reklame
Statistik
Spørgsmål : 177550
Tips : 31968
Nyheder : 719565
Indlæg : 6408823
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste