On 03/30/10 21:00, Miroslav Prýmek:
Jen tak naokraj bych si chtel overit, ze vim, o cem je rec :)
1. kdyz se mluvi o stateless firewallu, znamena to prakticky proste, ze u pravidel neni
uvedeno "keep-state", nebo
jeste neco navic (jsou i jine dynamicke tabulky, ktere musim vzit v uvahu -
ktere muzou byt tercem ddos)?
Krome keep-state take "limit". Ale hlavne - ackoliv tazatel zminil primo
ipfw, ja argumentoval tak, aby to platilo pro firewally obecne (mame
jich na FreeBSD vic). TO co jsem napsal tak povazujuz a platne bez
ohledu na konkretni pouzity firewall.
2. kdyz mam na okraji nejake site stateless firewall, znamena to, ze bud A]
musim z vnitrni site ven pristupovat
vzdy pres nejakou moji proxy nebo B] pocitace ve vnitrni siti v podstate
nemuzu timhle FW chranit?
Priklad: pocitac A ve vnitrni siti se pripoji z portu XYZ na
www.google.cz:80, www.google.cz posle
odpoved z portu 80 na A:XYZ -> na fw musi byt povolen pristup Z VENKU na
vsechny (dejme tomu neprivilegovane) porty
A.
Ano, i kdyz ne pro kazdy typ paketu - typicky musis povolit nektere ICMP
a pak samozrejme TCP, vyjma ovsem SYN!ACK.
3. mam-li na rozhrani site NAT a v siti uzivatele, kterym neverim, tak muzu
klidne pouzit statefull, protoze
kdyz bude uzivatel chtit, stejne mi muze zahltit NAT
Zaprve je otazka, k cemu je vedle NAT, ktery sam z principu funguje jako
stavovy firewall, mit jeste druhy. Asi to v nekterych situacich smysl
mit muze, je to ale treba posoudit individualne.
Pokud se bude stav probihajicich spojeni udrzovat na dvou mistech (misto
jednom nebo nejlepe zadnem) bude mit utocnik utok jedine snazsi.
Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna (napr.
typicky je potreba otevrit
10000/100k/1M spojeni)? (tim chci rict, kdyz jde treba o tu tady zminenou
sit sesti set neduveryhodnych pocitacu,
je realne, ze by nekdo provedl dos na NAT, nebo k tomu potrebuje vic
pocitacu?)
Pokud mas dostatek pameti a vypocetniho vykonu s ohledem na pocet
prochazejicich paketu za jednotku casu tak neni nebezpecna nikdy.
4. mozna by stalo za zminku, ze stateless FW muze byt rychlejsi - znovu,
existuji nejake kvalifikovane odhady rozdilu
nebo tak neco (best practices apod.)?
Specielne u ipfw plati, ze paket "prochazi" pravidlem po pravidlu dokud
nematchne coz urci jeho dalsi osud. Cim vetsi pocet pravidel dokaze
matchnout na co mozna nejdrivejsim pravidle, tim je zatizeni procesoru a
zpozdeni nizsi a pruchodnost vyssi.
Mam tu, napriklad, firewall, ktery ma 50 pravidel, ale je peclive
serazen tak, ze 95% paketu neprojde vic nez deset prvnich.
Prestava, ze mi tam jen-tak vznikne tisic dalsich pravidel a timto, o
dva rady vetsim, poctem pravidel budou vsechny tyto pakety prochazet me
zas az tak moc nelaka. Pohybuju se v tomto konkretnim pripade na hrane
toho, co PC router vubec zvlada a prestoze nemam vycisleno jak hodne by
ho to zpomalilo, ze by ho to zpomalilo je jasne ...
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
