ipfw divert keep-state

[Dan Lukes]

VUlik at cz.soluziona.com napsal/wrote, On 07/27/06 10:55:
>> Nemuzeme-li pouzit check-state, nema valneho smyslu
>> pouzivat keep-state cimz jsme firewall uspesne "odstavovali" na bezny,
>> bezestavovy.
> 
> A neni zrovna tohle skoda?

	To zalezi od toho, ceho chces dosahnout a od personalnich preferenci.

	Ja osobne nepouzivam "stavovost" firewallu vubec. Stavovy firewall sice 
zvysi odolnosti site vuci utokum nepouzivajicim TCP spojeni, ale na 
druhou stranu znamena zvyseni rizika odstavky cele site na zaklade DoS 
vedeneho ze stanice uvnitr (na coz staci nejaky pitomy virus). 
Vyhodnotil jsem, ze v souvislosti s druhym typem utoku lze ocekavat 
celkove skody zpusobene utoky vyssi (pro chranou spolecnost).

	Navic, tam kde je NAT je toto riziko potlaceno jinak (ano, za stejnou 
cenu, tedy rizika uspesneho DoS) znamena dualni pouziti tohoto 
mechanismu jen dvoji riziko - vyhody nevidim celkem zadne.

	Takze, me osobne to skoda nepripada, ani v nejmensim - vidim zbytecna 
rizika a nevidim vyhody.

	Nicmene, bezpecnost nema univerzalnich pravd - zalezi na konkretnich 
lokalnich podminkach, osobnich zkusenostech a preferencich a v 
neposledni rade take na tom, jakeho typu utoku se vlastne obavas ...
	
	Abychom se mohli o tomhle bavit smysluplne a konstruktivne, muselo by 
byt zrejme, jakemu zcela konretnimu typu utoku se vlastne branis - 
jedine na kokretnim pripade se totiz da posoudit vhodnost dvou ruznych 
zpusoby obrany. A i kdyz ti jeden v takovem konretnim pripade vyjde jako 
vhodnejsi, jeste to neznamena, ze pro jiny typ nebude "vitez" nevhodny", 
zatimco "porazeny" ano. Takze, nakonec je to stejne o "pocitu".

					Dan


-- 
Dan Lukes                                   SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz