firewall (ipfw: static, stateful)

[Miroslav Prýmek]

On 30.3.2010, at 14:52, Dan Lukes wrote:

> Rozhodnout s emusis sam - tohle je o mire paranoie (a taky o jejim typu) a to je ciste individualni zalezitost. Ja se vic bojim, ze mi sikovne organizovany utok an stavovy firewall sit znefunkcni nez ze mi nekdo nejakym nevhodnym paketem rozstreli chraneny pocitac uvnitr.

Jen tak naokraj bych si chtel overit, ze vim, o cem je rec :)

1. kdyz se mluvi o stateless firewallu, znamena to prakticky proste, ze u pravidel neni uvedeno "keep-state", nebo
   jeste neco navic (jsou i jine dynamicke tabulky, ktere musim vzit v uvahu - ktere muzou byt tercem ddos)?

2. kdyz mam na okraji nejake site stateless firewall, znamena to, ze bud A] musim z vnitrni site ven pristupovat
   vzdy pres nejakou moji proxy nebo B] pocitace ve vnitrni siti v podstate nemuzu timhle FW chranit? 

   Priklad: pocitac A ve vnitrni siti se pripoji z portu XYZ na www.google.cz:80, www.google.cz posle
   odpoved z portu 80 na A:XYZ -> na fw musi byt povolen pristup Z VENKU na vsechny (dejme tomu neprivilegovane) porty
   A.

   (samozrejme otazka je, jaky smysl ma ochrana neprivilegovanych portu pocitacu ve vnitrni siti...)

3. mam-li na rozhrani site NAT a v siti uzivatele, kterym neverim, tak muzu klidne pouzit statefull, protoze
   kdyz bude uzivatel chtit, stejne mi muze zahltit NAT (akorat to nemuze tak lehce udelat distribuovane, protoze
   to musi udelat zevnitr)?

   Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna (napr. typicky je potreba otevrit
   10000/100k/1M spojeni)? (tim chci rict, kdyz jde treba o tu tady zminenou sit sesti set neduveryhodnych pocitacu,
   je realne, ze by nekdo provedl dos na NAT, nebo k tomu potrebuje vic pocitacu?)

4. mozna by stalo za zminku, ze stateless FW muze byt rychlejsi - znovu, existuji nejake kvalifikovane odhady rozdilu 
   nebo tak neco (best practices apod.)?

diky

Mirek