|
| statefull inspection/ikke statefull Fra : Dennis Pedersen |
Dato : 18-12-01 20:21 |
|
Hej!
Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
forbindelse er jeg faldet over at de begge kan lave 'statefull inspection'.
Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
inspection mere sikkert end hvis man ikke brugte det?
Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
lige præcis hvad forskellen er så her er det eksperterne må træde til ;)
/Dennis
| |
Lars Kim Lund (18-12-2001)
| Kommentar Fra : Lars Kim Lund |
Dato : 18-12-01 20:29 |
|
Hej "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk>
>Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
>forbindelse er jeg faldet over at de begge kan lave 'statefull inspection'.
>Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
>inspection mere sikkert end hvis man ikke brugte det?
>Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
>lige præcis hvad forskellen er så her er det eksperterne må træde til ;)
Stateful er sessionsorienteret og retningsbestemt mens ikke-stateful
er pakkeorienteret.
--
Lars Kim Lund
http://www.net-faq.dk/
| |
Dennis Pedersen (18-12-2001)
| Kommentar Fra : Dennis Pedersen |
Dato : 18-12-01 20:44 |
|
"Lars Kim Lund" <larskim@mail.com> wrote in message
news:v36v1uo4htpqcemdhoej29alalss3v8kvg@sunsite.auc.dk...
> Hej "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk>
>
> >Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
> >forbindelse er jeg faldet over at de begge kan lave 'statefull
inspection'.
> >Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
> >inspection mere sikkert end hvis man ikke brugte det?
> >Der står noget på man siderne men jeg syntes det forekommer mig noget
uklart
> >lige præcis hvad forskellen er så her er det eksperterne må træde til ;)
>
> Stateful er sessionsorienteret og retningsbestemt mens ikke-stateful
> er pakkeorienteret.
Dvs den holder reelt styr på alt udgående trafik og lukker for gassen hvis
der ikke er noget i dens tabel der stemmer overens med at den pakke skulle
have lov at passere?
Men som jeg har forstået det så indgående trafik har man ikke nogen fordel
ud af at bruge statefull inspection på?
/Dennis
| |
Christian E. Lysel (18-12-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 18-12-01 21:07 |
|
Dennis Pedersen wrote:
> Dvs den holder reelt styr på alt udgående trafik og lukker for gassen hvis
> der ikke er noget i dens tabel der stemmer overens med at den pakke skulle
> have lov at passere?
> Men som jeg har forstået det så indgående trafik har man ikke nogen fordel
> ud af at bruge statefull inspection på?
Nu bør der jo ikke være forskel på ind- og udgående traffik!
For at give dig et nemt eksempel:
A vil pinge B. I reglsættet må A sende ICMP pakker til B, men ikke omvendt.
A -> B icmp request (tilladt ifølge reglsættet, nu opdateres statetabelen)
B -> A icmp reply. (tilladt ifølge statetablen).
Dette er tilladt.
Nu vil B sende pakker til A, fx icmp reply.
B -> A icmp reply. (ikke tilladt af hverken reglsættet eller statetablen).
Dette er ikke tilladt.
Hvis regelsættet var implementere på en router med filter regler, ville
reglerne være:
A -> B icmp request
B -> A icmp reply
Derfor kan B til enhver tid sende icmp reply pakker til A.
| |
Christian E. Lysel (18-12-2001)
| Kommentar Fra : Christian E. Lysel |
Dato : 18-12-01 20:58 |
|
Dennis Pedersen wrote:
> Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
> inspection mere sikkert end hvis man ikke brugte det?
> Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
> lige præcis hvad forskellen er så her er det eksperterne må træde til ;)
Det kommer an på hvilket netværkslag vi snakker om!
Statefull inspection bliver efterhånden brugt i flæng.
Problemet med statefull inspection som jeg ser det, er at hvis pakkerne
matcher statetablen eller
regelsættet, går den igennem firewallen, dvs. det er direkte forbindelse
igennem firewallen, sålænge pakkerne opfylder nogle krav. Disse krav er
desværrer alt for simple og vil ikke kunne forhindre avanceret angreb på
applikationslaget. Endvidere vil dette ej give beskyttelse af svage
TCP/IP stakke hvor sekvensnumre er forudsigelige.
Hvis vi kikker på en applikationsproxy firewall, fortolker den alle
pakker, matche disse op imod reglerne. Herefter bliver de genskrivet af
proxyen, hvilket også betyder at der ikke er direkte forbindelse igennem
firewallen. Endvidere vil man kunne tillade trafik der overholder
RFC'erne op til applikationslaget og ikke indeholder buffer overflows.
Dog mener nogle at de også er sværrer at kode, dvs. at de har flere fejl end mere simple firewalls.
Personligt fortrækker jeg at bygger pakkerfilter i Internet routeren,
for derefter at have en applikationsproxy firewall, på denne måde bruger
jeg fordelene fra begge teknologier.
Der er flere producenter der derfor bygger hybride firewalls, som både
kører statefull inspection og applikationsproxier, Firewall-1 fra
Checkpoint er et udmærket eksempel.
| |
|
|