Kandu.dk - Pakkefiltre


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

Pakkefiltre
Fra : Philip Dahlstrøm

Dato : 05-02-05 14:26

Hej.
Jeg er blevet bedt om at redegøre for fordele og ulemper med packet
filter firewalls.

Ummilbart vil jeg mene at pakkefiltre er svære at konfigurere til store
netværk på grund af den store mængde regler der skal oprettes. Desuden
vil jeg mene at den største ulempe ved pakkefiltre er at de ikke kigger
på indholdet af selve pakken.

Ydermere skal jeg skrive om fordele og ulemper ved application level
firewalls, hvordan griber jeg det an?

Mvh.
Philip

Henrik Bøgh \(væk hj~ (05-02-2005)

Kommentar
Fra : Henrik Bøgh \(væk hj~

Dato : 05-02-05 15:00

"Philip Dahlstrøm" <philip@fcknet.dk> skrev i en meddelelse
news:4204c93e$0$198$edfadb0f@dread11.news.tele.dk...

[...]

> Ummilbart vil jeg mene at pakkefiltre er svære at konfigurere til store
> netværk på grund af den store mængde regler der skal oprettes.

Det er på ingen måde entydigt.
F.eks. er det fantastisk let at sætte et pakkefilter (jeg tager her
udgangspunkt i OpenBSD's pf - http://www.openbsd.org/faq/pf/ ) til at
forhindre anden trafik end udafgående til port 80/tcp på host 92.12.13.14,
hvis du nu i din store organisation har bestemt dig for, at organisationen
kun må udveksle http-traffik med 92.12.13.14.
Antallet af regler afhænger for eksempel (men er på ingen måde begrænset
til) af:
- Skal der som udgangspunkt blokeres for alt eller tillades alt?
- Hvor fine og/eller grove skal filtrene være?
- Skal forskellige brugere/stationer have forskellige rettigheder?
- Hvilket pakkefilter software er valgt?

> Desuden
> vil jeg mene at den største ulempe ved pakkefiltre er at de ikke kigger
> på indholdet af selve pakken.

Betragter du statefull inspection som det at "kigge på indholdet af selve
pakken"?

> Ydermere skal jeg skrive om fordele og ulemper ved application level
> firewalls, hvordan griber jeg det an?

Prøv at kigge lidt på http://www.openbsd.org/faq/pf/filter.html

[...]

--
MVH Henrik

Christian E. Lysel (06-02-2005)

Kommentar
Fra : Christian E. Lysel

Dato : 06-02-05 00:13

Philip Dahlstrøm wrote:
> Hej.
> Jeg er blevet bedt om at redegøre for fordele og ulemper med packet

Skal du redegøre for teori eller faktiske implementationer?

> filter firewalls.

Hvilke packet filter firewalls snakker vi om?

Hvilke packet filter snakker vi om?

> Ummilbart vil jeg mene at pakkefiltre er svære at konfigurere til store
> netværk på grund af den store mængde regler der skal oprettes. Desuden

Det kommer an på hvad reglerne skal bruges til.

Man kan begrænse reglerne til IP adresser...eller man kan også inkl.
protokol/port fra IP eller TCP/UDP laget, og du har nogle mere komplekse
regler.

> vil jeg mene at den største ulempe ved pakkefiltre er at de ikke kigger
> på indholdet af selve pakken.

Det er afhængigt af implementationen.

> Ydermere skal jeg skrive om fordele og ulemper ved application level
> firewalls, hvordan griber jeg det an?

Hvilke application level firewalls snakker vi om?

Hvilke application level snakker vi om?

Uffe S. Callesen (07-02-2005)

Kommentar
Fra : Uffe S. Callesen

Dato : 07-02-05 12:23

Philip Dahlstrøm wrote:
> Ummilbart vil jeg mene at pakkefiltre er svære at konfigurere til store
> netværk på grund af den store mængde regler der skal oprettes.

Det afhænger helt og aldeles af om du gør det i 'rå tekst' eller om der
findes et administrations program.

Pakke filterering behøves ikke være kompliceret Blink

- Som fx Cisco's ACL'er.

--
Mail mig på uffe <snabelA> skelmose <prik> dk

Philip Dahlstrøm (07-02-2005)

Kommentar
Fra : Philip Dahlstrøm

Dato : 07-02-05 13:32

Uffe S. Callesen wrote:
> Philip Dahlstrøm wrote:
>
>> Ummilbart vil jeg mene at pakkefiltre er svære at konfigurere til
>> store netværk på grund af den store mængde regler der skal oprettes.
>
>
> Det afhænger helt og aldeles af om du gør det i 'rå tekst' eller om der
> findes et administrations program.
>
> Pakke filterering behøves ikke være kompliceret Blink

- Som fx Cisco's
> ACL'er.
>
Men en applikations (lag) firewall er vel væsentligt mere sikker end fx.
et pakkefilter, i og med at den kigger dybere ind i pakkerne?

Mvh.
Philip

Alex Holst (07-02-2005)

Kommentar
Fra : Alex Holst

Dato : 07-02-05 15:04

Philip Dahlstrøm wrote:
> Men en applikations (lag) firewall er vel væsentligt mere sikker end fx.
> et pakkefilter, i og med at den kigger dybere ind i pakkerne?

Uheldig formulering. Du mener nok "En applikationsfirewall kan evaluere
indholdet af f.eks. en HTTP request." - i nogle tilfaelde forhindrer det
visse angreb mod bagvedliggende systemer og i andre ikke.

Jeg kan generelt ikke lide applikationsfirewalls. De er alt for komplexe
efter min smag, og komplexitet betyder flere sikkerhedsfejl. Findes der
proxy- eller app.firewallprodukter som beskytter resten af maskinen i
tilfaelde af det indeholder en sikkerhedsfejl?

Jeg vil hellere bruge energien paa at goere det saa svaert som muligt at
finde og udnytte et sikkerhedshul i min smtp eller http server.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

Søg

Reklame

Statistik

Spørgsmål :	177558
Tips :	31968
Nyheder :	719565
Indlæg :	6408925
Brugere :	218888

Månedens bedste

Årets bedste

Sidste års bedste