---

Jeg har en diskution ang. Stateful Packet Inspection vs. Port Address
Translation. Se evt. tråd på news:dk.edb.netvaerk "firewall til opgang" fra
d. 7-04-2003.

Er jeg helt forkert på den når jeg siger at SPI intet har med PAT at gøre?
Den ene er ikke afhændig af den anden?

VH
Brian Bjerg
København


*Remove NOSPAM in my mail address for personal mail.*
Norton AntiVirus is sending my email.

---

Den Wed, 9 Apr 2003 18:39:22 +0200 skrev BB:
>Jeg har en diskution ang. Stateful Packet Inspection vs. Port Address
>Translation. Se evt. tråd på news:dk.edb.netvaerk "firewall til opgang" fra
>d. 7-04-2003.
>
>Er jeg helt forkert på den når jeg siger at SPI intet har med PAT at gøre?
>Den ene er ikke afhændig af den anden?

De har ikke noget med hinanden at gøre, og er ikke afhængige af
hinanden.

Stateful inspection er en generel betegnelse for firewalls der laver
mere end blot packet filtering. Det kan diskuteres hvor meget der skal
til, om det er nok med connection tracking, eller man skal helt op på
application-level, og køre (transparent) proxy. Det findes i alle
"rigtige" firewalls, men generelt ikke i ADSL-routere og lignende
hjemme-udstyr.

Port address translation(tm) er en Cisco(R) betegnelse for N:1 NAT,
altså Network Address Translation hvor mange PC'er gemmer sig bag
et ip-nummer. Navnet skyldes at man udover at oversætte ip-nummeret
også er nødt til at oversætte port-nummeret, da flere PC'er kan
bruge samme port. N:1 NAT findes i praktisk taget alle bilka-routere,
og rigtige firewalls der supporterer NAT (de fleste), kan naturligvis
også klare N:1 NAT.

De to ting har dog så meget med hinanden at gøre at begge er nødt til
at holde styr på connections, og hvis de er sat op til det, kan
forhindrer connections udefra. Den ene fordi connections udefra ikke er
tilladt i regelsættet, den anden fordi den ikke ved hvor den skal
sende pakken hen.

Mvh
Kent
--
Journalist: En der har forstand på at skrive artikler, men typisk
ikke på det artiklerne handler om.

---

leeloo@phreaker.net (Kent Friis) wrote:

>De har ikke noget med hinanden at gøre, og er ikke afhængige af
>hinanden.
>
>Stateful inspection er en generel betegnelse for firewalls der laver
>mere end blot packet filtering.

Stateful inspect er jo egentlig også en form for pakkefiltrering. Den
er blot (pseudo-) sessions-orienteret. Men derudover meget enig.

>Port address translation(tm) er en Cisco(R) betegnelse for N:1 NAT,
>altså Network Address Translation hvor mange PC'er gemmer sig bag
>et ip-nummer. Navnet skyldes at man udover at oversætte ip-nummeret
>også er nødt til at oversætte port-nummeret, da flere PC'er kan
>bruge samme port. N:1 NAT findes i praktisk taget alle bilka-routere,
>og rigtige firewalls der supporterer NAT (de fleste), kan naturligvis
>også klare N:1 NAT.

Men det kendes også under Hide NAT og IP Masquarade og sikkert andre.
Kært barn mange navne. Jeg har aldrig brudt mig om at Cisco kalder det
PAT fordi man kan lave andre former for port-translationer der ikke
har til formål at maskere interne ip-adresser.

Til BB.

Firewall er et slidt begreb og adresse/port translationer er ikke det
ringeste jeg har set det sat i forbindelse med. Men i forhold til hvad
man "oprindeligt" opfattede som firewalls så er der ikke så meget til
fælles. Andet end at translationer ofte (men ikke nødvendigvis) er en
delmængde af hvad en firewall kan.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Wed, 09 Apr 2003 19:43:21 +0200 skrev Lars Kim Lund:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>De har ikke noget med hinanden at gøre, og er ikke afhængige af
>>hinanden.
>>
>>Stateful inspection er en generel betegnelse for firewalls der laver
>>mere end blot packet filtering.
>
>Stateful inspect er jo egentlig også en form for pakkefiltrering. Den
>er blot (pseudo-) sessions-orienteret. Men derudover meget enig.

Det jeg mener er packet filter, som en der kun har en pakke at kigge
på, hvor connection tracking også ved noget om hvilke pakekr der kom
før den pakke den er ved at undersøge.

En simpel packet filter (fx ipchains) ved ikke om en TCP-pakke udefra
med source port 80 og dst port 1234 uden syn er en del af en
eksisterende connection eller den bare lader som om, fordi den kun
kan kigge på den pakke den er ved at behandle.

Mvh
Kent
--
Is windows userfriendly? Nah, more like optimized for idiots.

---

---klip---

Jeg kan kun være enig i hvad I skriver.
Ved godt det er svært at definere en firewall.
Takker.


VH
Brian Bjerg
København


*Remove NOSPAM in my mail address for personal mail.*
Norton AntiVirus is sending my email.

---

leeloo@phreaker.net (Kent Friis) wrote:

>>>Stateful inspection er en generel betegnelse for firewalls der laver
>>>mere end blot packet filtering.
>>
>>Stateful inspect er jo egentlig også en form for pakkefiltrering. Den
>>er blot (pseudo-) sessions-orienteret. Men derudover meget enig.
>
>Det jeg mener er packet filter, som en der kun har en pakke at kigge
>på, hvor connection tracking også ved noget om hvilke pakekr der kom
>før den pakke den er ved at undersøge.
>
>En simpel packet filter (fx ipchains) ved ikke om en TCP-pakke udefra
>med source port 80 og dst port 1234 uden syn er en del af en
>eksisterende connection eller den bare lader som om, fordi den kun
>kan kigge på den pakke den er ved at behandle.

Jeg ved godt du tænker på en access liste - og jeg ved godt hvad en
access liste er. Jeg ville blot lige nævne at pakkefiltrering i min
bog er en generic beskrivelse af en ting der både omfatter både
stateful og acl.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Den Wed, 09 Apr 2003 21:19:09 +0200 skrev Lars Kim Lund:
>leeloo@phreaker.net (Kent Friis) wrote:
>
>>>>Stateful inspection er en generel betegnelse for firewalls der laver
>>>>mere end blot packet filtering.
>>>
>>>Stateful inspect er jo egentlig også en form for pakkefiltrering. Den
>>>er blot (pseudo-) sessions-orienteret. Men derudover meget enig.
>>
>>Det jeg mener er packet filter, som en der kun har en pakke at kigge
>>på, hvor connection tracking også ved noget om hvilke pakekr der kom
>>før den pakke den er ved at undersøge.
>>
>>En simpel packet filter (fx ipchains) ved ikke om en TCP-pakke udefra
>>med source port 80 og dst port 1234 uden syn er en del af en
>>eksisterende connection eller den bare lader som om, fordi den kun
>>kan kigge på den pakke den er ved at behandle.
>
>Jeg ved godt du tænker på en access liste - og jeg ved godt hvad en
>access liste er. Jeg ville blot lige nævne at pakkefiltrering i min
>bog er en generic beskrivelse af en ting der både omfatter både
>stateful og acl.

I min terminilogi er access liste (access list) til gengæld en
IOS-kommando, og ACL er noget man har på filer.

Mvh
Kent
--
The frozen north will hatch a flightless bird,
who will spread his wings and dominate the earth
And cause an empire by the sea to fall
To the astonishment, and delight of all.

---

leeloo@phreaker.net (Kent Friis) wrote:

>>Jeg ved godt du tænker på en access liste - og jeg ved godt hvad en
>>access liste er. Jeg ville blot lige nævne at pakkefiltrering i min
>>bog er en generic beskrivelse af en ting der både omfatter både
>>stateful og acl.
>
>I min terminilogi er access liste (access list) til gengæld en
>IOS-kommando, og ACL er noget man har på filer.

Access list er kort for access control list - også i Cisco IOS regi.
ACL er en generisk betegnelse, så mon ikke du burde udvide din
horisont lidt hvis du kun forbinder det med noget man har på filer.

Lad os stoppe før det ender i en ligegyldig diskusison om semantik.

--
Lars Kim Lund
http://www.net-faq.dk/

---

Lars Kim Lund <lkl@fabel.dk> wrote:

>Firewall er et slidt begreb og adresse/port translationer er ikke det
>ringeste jeg har set det sat i forbindelse med. Men i forhold til hvad
>man "oprindeligt" opfattede som firewalls så er der ikke så meget til
>fælles. Andet end at translationer ofte (men ikke nødvendigvis) er en
>delmængde af hvad en firewall kan.

Oprindeligt var der jo ikke nogen der brugte NAT.

Derfor havde rutere normalt kun simple tilstandsløse pakkefiltre, og
de var derfor noget helt andet end en firewall med stateful
inspection.

Men en ruter der udfører N:1-NAT (PAT) må nødvendigvis indeholde noget
der til forveksling minder om den stateful inspection man finder i de
traditionelle firewalls. Så er der ikke noget underligt i at
begreberne til en vis grad flyder sammen.

Jeg mener ikke ordet "firewall" mere kan siges at have en veldefineret
mening. Ordet bruges vel om (mindst) to forskellige ting:
(a) Noget som en forbindelse går igennem og som blokerer for visse
pakker på en sådan måde at man opnår den beskyttelse mod angreb via
pakker udefra som man i en helt konkret situation ønsker. Dvs. "den
dims der beskytter mig mod den onde verden".
(b) Et generelt produkt som kan konfigureres til at fungere som (a) i
en lang række forskellige sammenhænge og situationer, normalt såvel
med som uden NAT.

En almindelig billig NAT-ruter opfylder behovet (a) fint i mange især
mindre netværk. Den har derfor firewallfunktionalitet nok til de
formål. Men den er ikke et produkt der fortjener betegnelsen
"firewall" i den traditionelle og mere generelle betydning (b). Hvis
nogen sælger et produkt med navnet "firewall" ville jeg forvente at
det var i betydningen (b).
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

On Wed, 9 Apr 2003 17:01:24 +0000 (UTC), leeloo@phreaker.net
(Kent Friis) wrote:

> De har ikke noget med hinanden at gøre, og er ikke afhængige af
> hinanden.

Det er ikke muligt at lave (brugbar) PAT[1] uden at være stateful
og se ind i pakkerne på L5[2]. Hvis PAT ikke er stateful, er det
fx. ikke i stand til at få FTP til at fungere henoverudstyret, og
der er mange andre eksempler på lignende protokoller.

Nogle marketingsfolk vil være tilbøjelige til at sige, at fordi
deres PAT-implementation (i sagens natur) er stateful og kigger
ind i pakkerne på L5, så er det også en firewall.

-A
[1] Andre kalder det 'NAT overload', Hide NAT, Single User
Address eller noget helt 12. Jeg bruger betegnelsen om N:1 NAT,
som du benævner det.

[2] IP L5, ikke OSI L5.
--
http://www.hojmark.org/