firewall (ipfw: static, stateful)

Dan Lukes dan at obluda.cz
Tue Mar 30 10:58:30 CEST 2010

Previous message: firewall (ipfw: static, stateful)
Next message: firewall (ipfw: static, stateful)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 03/30/10 10:29, Josef Hrabec:
> rad bych se zeptal na vase nazory, jak rozume sestavit firewall, tedy
> hranicni firewall a dmz firewall s ipfw. Dan tady pred casem psal, ze pro
> hranicni firewall je lepsi pouzit staticky firewall bez stateful pravidel,
> protoze je tam vetsi nebezpeci DoS. Je tedy rozumna kombinace, prvni
> hranicni firewall pouze staticky a na druhem s DMZ, pripadne interni siti
> jiz uzit stateful firewall?

Riziko DDoS nesouvisi ani tak s tim kolikaty v rade firewall je, jako 
spis s tim, jestli na nej potencialni utocnik muze posilat pakety. 
Jenze, pokud na firewall pakety utocnik posilat nemuze, tak jaksi neni 
duvod vubec nejaky firewall davat ;-)

Takze na to musime jinak - navrhovana konfigurace je rozumna, pokud je 
riziko DDoS utoku na vnitrni firewall mensi nez na vnejsi a/nebo pokud 
pripadnu DDoS utok na vnitrni firewall vadi mene nez u firewallu 
vnejsiho. To, zda je riziko utoku mensi bude hodne souviset s 
konfiguraci toho firewallu vnejsiho, to, jestli uspesny DDoS na vnitrnim 
firewallu vadi mene na vnitrnim nez vnejsim. A to nelze mimo kontext 
zcela konkretni site a situace posoudit.

Takze nemyslim, ze ti s touhle analyzou muze obecne pomoci kdokoliv 
externi, kdo nema znalosti o konkretnich rizicich, respektive skodach, 
ktere muze utocnik v prave tve siti napachat.

Ale je pravda, ze mel-li byses rozhodnout v podstate nahodne, pak metoda 
"rozhodnu se podle nejak sumarizovane sady nahodnych rad nahodnych 
kolemjdoucich" - a nic lepsiho tady nedostanes - neni horsi ;-)

Ja, co by nahodny kolemjdouci nemajici dostatecne znalosti o konfiguraci 
prvniho firewallu ani o siti jako takove reknu to, co rikam vzdycky - 
vyhody, ktere statefull firewall prinasi (rizika, proti kterycm chrani) 
typicky nevyvazuji rizika, ktera tato konfigurace do systemu vnasi sama 
o sobe a typicky vysledny efekt stavoveho firewallu tak ja mam za 
zaporny. Z toho duvodu bych se pro stavovy firewall nerozhodl a mel oba 
nestavove ...

Samozrejme, pokud v tvem pripade jsou zbytkova rizika, ktera nestavovy 
firewall neresi zatimco stavovy ano, vysoka muze jit o ten vyjimecny 
pripad, kdy "typicke" hodnoceni nesedi. Zatim ale nemam zadny duvod si 
myslet, ze ta tvoje sit je prave timto zpusobem specificka.

Toz asi tak ...

						Dan

Previous message: firewall (ipfw: static, stateful)
Next message: firewall (ipfw: static, stateful)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list