Juraj Belák napsal/wrote, On 04/19/07 10:27:
>> A cemu konkretneji na tom nerozumis ? Proste zaznam pro spojeni ve
>> stavu "established" expiruje za jinak dlouhou dobu nez spojeni ve stavu
>> "fin-wait".
> Vrta mi v hlave prave ta "jinak dlouha doba". Povedzme, ze teoreticky
> mi cez firewall prechadzaju pakety z par stovak klientov - moze nastat
> pripad, ze mi zostane visiet naraz tolko otvorenych spojeni aj zasluhou
> dynamickych rules, ze firewall potrebuje taku dlhu dobu na spracovanie
> paketov, ze na vstupe sa zahlti?
To je furt nejake nedorozumeni. "Stav spojeni" je neco, co si kazdy z
koncovych bodu i firewall uchovava sam. V idealnim pripade by vsichni
tri mely mit stejnou predstavu o tom, v jakem stavu spojeni je, ale z
ruznych (prevazne chybovych) duvodu to obcas neplati. Chybama nemyslim
chyby v kodu jadra, i kdyz i to je moznost, jako spis ztraty paketu pri
sitovem prenosu.
Pro koncove body nezustane spojeni otevrene proto, ze si to preje
firewall.
Ale ano, prilis velke mnozstvi pravidel (treba i tech dynamickych) muze
snizit pruchodnost routeru, to muze vyustit ve vyssi ztratovost paketu a
to muze v konecnem dusledku vest az k tomu, ze jedna strana bude
povazovat spojeni za uzavrene a druha (a firewall mozna taky) za otevrene.
Je to to, na co se ptas ?
Za "normalniho" protozu je vznik takove situace spis mene pravdepodobny
- aplikace, zejmena TCP, aktualni "tlak" reguluji podle moznosti - a
uzavreni se, neni-li prostistranou potvrzeni, nekolikrat opakuje, takze
by k "definitivni ztrate synchronizace" spis dochaet nemelo.
Nicmene, firewall se nedela kvuli "hodnym hochum". A v pripade utoku,
at uz "z venku", nebo (treba kvuli zavirovanemu stroji) zevnitr k necemu
nepeknemu skutecn edojit muze ...
>>> Podla coho (a ci vobec) treba menit default hodnotu
>>> /net.inet.ip.dummynet.hash_size 64.
>>
>> Bude tezke poradit. Schazi nam klicova informace - ceho se snazis
>> dosahnout, nebo, mozna jinak, co te vede vubec k myslence, ze bys mel
>> nejake hodnoty menit.
> Detto ako vyssie. Ma zmysel predchadzat (teoretickemu?) zahlteniu
> firewallu napriklad tym, ze nepouzijem dynamicke rules,
Na to proste neexistuje obecna odpoved. S dynamickymi pravidly jsi
ochranen pred urcitymi riziky a vystaven jinym.
V siti, kde je firewall na routeru jen doplnkovym zabezpecenim, protoze
hlavni zabezpeceni si musi zajistit kazda koncova stanice sama (treba
proto, ze si uvedomujeme, ze zavirovany pocitac "uvnitr" by mel volne
pole pusobnosti, ktere by firewall na routeru nemohl zachytit) je IMHO
vhodnejsi nestavovy firewall - zvysene riziko toho, ze router obcas
propusti neco, co by stavovy firewal zachytil je male, protoze stanice
maji vlastni ochranu. Zvysene riziko uspesneho DoS na stavovy firewall
tak prevazuje.
Naproti tomu v siti, kde je router hlavnim zabezpecovacim prvkem a
stanice vlastni zabezpeceni nemaji (a v horsim pripade jsou dokonce
neudrzovane) bude patrne vhodnejsi statovy firewall - protoze riziko, ze
neco, co nezachytime vevnitr nasledne opravdu uskodi je znacne. Tak
znacne, ze DoS riziko stavoveho firewallu muze byt vyhodnoceno jako
prijatelne.
Psal jsem, ze ja stavove firewally nepouzivam, protoze moje site jsou
prvniho typu. Ale siti a zpusobu jejich sprav a vztahu mezi spravou a
uzivateli je milion, takze v danych konrketnich pripadech mohou vyjit
jako "lepsi" jine pristupy - vcetne toho, ze se stavovy firewall ukaze
byt vhodnejsi nez nestavovy.
Otazky zabezpeceni a bezpecnosti vubec maji malokdy nejake obecne
odpovedi. Snad krome otazky "a muze presto nekdo uspesne zautocit", kde
je nepodminenou odpovedi "ano" ...
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
