© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Moin,
On Fri, Jan 24, 2003 at 09:14:19AM +0100, Hannes Widmer wrote:
> Als ich meinem Arbeitskollegen erzählte, dass ich nun
> meine Firewall mit iptables aufsetze
^^(A)^^^ ^^(B)^^^
(B) warum stellst Du eigentlich immer wieder Fragen mit deutlichem
Linux-Bezug in einer BSD-bezogenen Mailingliste? Und auch fuer ge-
nerische Sicherheitsfragen gibt es (rein prinzipiell betrachtet)
bessere Medien.
(A) Eine Firewall ist die Implementierung eines Schutzkonzeptes.
Ein Paketfilter *kann*eine*[1] Komponente einer solchen Implemen-
tierung sein.
> war der fast schokiert und meinte, dass dies
> deine der schlechtesten Varianten sei eine Firewall aufzubauen da
> diese nur auf die IP Adresse achtet.
Ja, exakt das ist die Aufgabe eines Paketfilters; allerdings koennen
Paketfilter (mehr oder weniger, je nach "Produkt") nicht nur einfach
"erlauben" oder "verbieten", sondern auch die "Sinnhaftigkeit" der
Verbindungen (im TCP-Fall) pruefen.
Ein nackter Paketfilter hat (per definitionem) natuerlich nur Einsicht
in die nackten Protokoll-Daten und ist fuer die kommunizierende App-
likationsschicht transparent. Ein solcher Paketfilter schuetzt also
"nur" vor Problemen auf Paket-Ebene.
Fuer Dinge, die darueber hinausgehen, gibt es unterschiedliche Ansatze,
die je nach konkretem Anforderungsprofil, mehr oder weniger sinnvoll
sind.
> Er meinte das ich eine Firewall
> mit der "Stateful Packet inspection" aufsetzen sollte.
[Hmm. Hatte er gerade Spass daran, Dir das "Buzzword der Woche" der
Woche an den Kopf zu werfen? Frag ihn mal nach einer technisch
fundierten Begruendung fuer seine Meinung^W^HGeblubber.]
Eine dieser Ansaetze sind die sogenannten "stateful inspection" (ein
Marketing-Gewaesch-Sammelbegriff) Methoden. Allen Ansaetzen gemeinsam
ist das Ziel, die Kommunikation durch Untersuchung der uebermittelten
Nutzdaten "besser" / "gezielter" zu ueberwachen und Fehlerzustaende
zu erkennen. Dadurch wird der Paketfilter aber zwangslaeufig deutlich
komplexer, und damit auch anfaelliger fuer Angriffe auf den Paketfilter-
Code an sich. Insbesondere steigt die Anfaelligkeit fuer DOS-Angriffe.
> Nun, was meint ihr Obergurrus dazu ? *s*...
hmm. Was ist ein Gurru? Ein boeser Fluch? Eine wueste Beschimpfung?
-Andreas
[1] Die "Firewall" einiger "meiner" Netze kaemen de facto ganz ohne
Paketfilter aus, da saemtliche Kommunikation ueber Proxies auf App-
likationsebene abgewickelt wird. Dass dort dennoch einige grundlegene
Regelsaetze (Anti-Spoofing etc.) aktiv sind, dient eher dem Schutz der
jeweiligen exponierten Interfaces; weniger dem Schutz der hinter den
"Firewalls" liegenden Netze.[2]
[2] Jetzt krieg ich bestimmt wieder Haue ;-)
-- sick sick sick. nature? To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 24 Jan 2003 - 09:55:10 CET