firewall (ipfw: static, stateful)

Dan Lukes dan at obluda.cz
Tue Mar 30 14:52:34 CEST 2010


Josef Hrabec wrote:
> Nic mene tedy pak uz me napada pouze jedina otazka. V jakem priblizne
> pripade by tedy melo podstatny smysl uziti stavoveho firewallu? Z dnesni
> diskuse spise plyne, ze pro stavovy firewall neni prilis mnoho pripadu,
> kdy by jeho uziti bylo radove uzitecnejsi v porovnani s nestavovym.

O tom by mohla nastat plamenna diskuse, protoze stavove firewally maji 
sve zarputile zastance ;-)

Stavovy firewall obecne neposuzuje kazdy paket samostatne, ale do 
rozhodovaciho algoritmu take vstupuji "predchozi udalosti".

Stavovy firewall se typicky pouziva tehdy, kdyz mas strost, aby z venku 
dovnitr nemohly pronikat pakety pokud nejdriv nenastane komunikace 
zevnitr ven.

Predstav si takove DNS - to posila sve dotazy nejmene z jednoho 
(defaultne a take kvuli bezpecnostnim duvodum vsak z mnoha ruznych) 
portu nekam do sveta na port 53. Pokud tuto komunikaci dovolis na 
nestavovem firewallu, pak to znamena, ze kdokoliv ze sveta muze z portu 
53 poslat do tve site paket.

Na stavem firewallu bys nastavil, ze paket dovnitr muze proniknout jen v 
pripade, ze jde o odpoved na drive prosedsi paket jdouci ven. Soucasne 
musis predpokladat, ze zevnitr site utocnik nepusobi (a tudiz ti stavovy 
firewall nezahlti).

To je asi tak nejlepe zvoleny priklad hovorici ve prospech stavoveho 
firewallu.

Ja ovsem mam v siti vlastni DNS resolver, takze vsechny vnitrni stanice 
komunikuji s nim - a do sveta komunikuje jen on sam. A FreeBSD, ktere 
jsem si sam nakonfiguroval verim natolik, ze se paketu se zdrojovym 
portem 53 prichazejicim z celeho sveta na tento stroj (na jine to 
dovoleno neni) neobavam. Proto stavovy firewall nepotrebuji.

Obdobne by ti mohlo vadit,ze pri povolene komunikaci na portu 80 mohou 
"dovnitr" posilat pakety odkudkoliv z portu 80 - tady jde o vsem o TCP a 
pokud zakazes dovnitr pruchod SYN!ACK paketu, pak z venku nejde navazat 
regulerni TCP spojeni a muze jit pouze o pakety nenavazanych spojeni. 
Dokonce i mnou spravovanym Windowsum verim natolik, ze se takovych 
paketu prilis neobavam.

Ano, nekdo by se mohl paketem s padelanou zdrojovou adresou a dobre 
odhadnutym stream-counterem "strefit" do probihajici komunikace (a 
napriklad tak uzivateli propasovat do WWW stranky nejaka vlastni data) - 
jenze - zaprve, potreben predpoklady ej obtizne splnit a jejich nahodne 
spoleni je pomerne nepravdepodobne a druhak - bud' jde o komunikaci 
nedulezitou, kde pozmeneni nevadi zasadne, nebo je komunikace sifrovana 
(na urovni HTTP jde o SSL) a do te takto vstoupit nelze. Navic, v 
pripade siti, kde jsou "nahodne konfigurovane pocitace" (ruzne ty 
vesnicke ISP site, kde se o pocitac stara kde kdo, ale taky moje kolej, 
kde se o kazdy pocitac stara prislusny student) tam neni primarnim 
ukolem firewallu ochranovat tyto koncove stanice ale prvky sitove 
infrastruktury.

Takze - neni pravda, ze stavovy firewall je uplne k nicemu. Pokud mas 
uvnitr stroje, ktere komunikuji ven a pritom jejich nastaveni nebo OS 
nemuzes prilsi verit (ale presto jsi povinen zarucit jejich ochranu) 
muze byt stavovy firewall odpovedi. A pak take vzdy, kdyz mas hranici 
mezi ochranou bezpecnosti a mezi spolehlivou funkcnosti site nastavenou 
smerem "doleva" o hodne vic nez ja (nebo treba jen o malo, ale o hodne 
vic neveris instalovanym zarizenim).

Rozhodnout s emusis sam - tohle je o mire paranoie (a taky o jejim typu) 
a to je ciste individualni zalezitost. Ja se vic bojim, ze mi sikovne 
organizovany utok an stavovy firewall sit znefunkcni nez ze mi nekdo 
nejakym nevhodnym paketem rozstreli chraneny pocitac uvnitr.

						Dan


More information about the Users-l mailing list