---

Hej!

Jeg er begyndt at læse lidt om firewalls... men er endnu "lidt grøn" mht.
viden om firewalls...

Mit første spørgsmål:
Jeg har læst, at rigtige firewalls analyserer helt op på applikationslaget!
Er firewalls der foretager "Pakkefiltrering" ikke en "rigtig firewall" ?
En linux-computer der kører "IP Tables"... kan det kaldes så ikke kaldes for
en "rigtig" firewall... den analyserer jo også med pakkefiltrering!

Mit andet spørgsmål:
Er "stateful inspection" det samme som at en firewall analyserer helt op på
applikationslaget?

Mit tredje spørgsmål:
er et spm. om antallet af ben / netkort i en Firewall...
En "normal" fw (hvis man kan sige noget er normalt) skal have inbound, DMZ
og outbound... Betyder det så, at der "normalt" er 4 ben i en fw ???
Ser man nogle gange behov for flere DMZ-zoner?

Mit fjerde spørgsmål er om:
En client spørger på dest-port 80 og sætter sin sourceport som f.eks. 5412.
Web-serveren laver reply af med port 5412 som destin.-port...
Men sætter den så port 80 som source-adresse???
Har jeg forstået dette korrekt?
En fw holder styr på disse sessioner... og åbner kun den konkrete port ind
til LAN, når denne konkrete reply kommer tilbage...
Den holder styre på alt dette...! Men gør en ordentlig router ikke også
dette ?
Forestil dig f.eks. en Cisco 2514 - og man laver accesslists.
Hvis man ikke har services/tjenester og lignende i LAN kan man som
udgangspunkt lukke for alle porte "ind til LAN"!
Kan man også gøre dette i en router med acceslists... holder en router styr
på dette?



Mvh.
Benny Sørensen

---

"Benny Sørensen" wrote:
>
> Hej!
>
> Jeg er begyndt at læse lidt om firewalls... men er endnu "lidt grøn" mht.
> viden om firewalls...
>
> Mit første spørgsmål:
> Jeg har læst, at rigtige firewalls analyserer helt op på applikationslaget!
> Er firewalls der foretager "Pakkefiltrering" ikke en "rigtig firewall" ?
> En linux-computer der kører "IP Tables"... kan det kaldes så ikke kaldes for
> en "rigtig" firewall... den analyserer jo også med pakkefiltrering!

Der er en del uenighed om hvad definitionen på en firewall egentlig er.
Nogle mener at det er nok at boksen håndterer op til transportlaget for
at kunne kaldes for en firewall. Det væsentlige er sådan set ikke hvad
vi kalder boksen for men nærmere hvad den kan. Hvad der er bedst kan
også diskuteres i uendelighed.

Håndtering af applikationslaget kan naturligvis fange flere angreb end
man kan hvis man kun går op til transportlaget. Omvendt vil en firewall,
der håndterer applikationslaget, være mere kompleks, dermed er risikoen
for fejl størrer.

Håndtering af applikationslaget kan gøre med proxies for de enkelte
protokoller, det er nok en væsentligt bedre løsning end at gøre det i
selve firewallen.

Det næste spørgsmål er, hvor mange forskellige bokse alt dette skal
placeres i. En fordeling på flere fysiske bokse vil i mange tilfælde
være sikre, en placering af alt i samme boks er billigere og nemmere
at sætte op.

Med Linux kan det godt lade sig gøre at placere firewall og proxies i
samme fysiske boks, og Linux firewall kan omdirigere udvalgt trafik
til proxien. Alternativt kan man placere proxies indenfor firewallen,
udenfor firewallen eller på et seperat netkort på firewallen.

Firewallen skal naturligvis have regler til at håndtere alt dette, men
dette er stadig simplere end at håndtere applikationslaget.

>
> Mit andet spørgsmål:
> Er "stateful inspection" det samme som at en firewall analyserer helt op på
> applikationslaget?

Der kan også foretages stateful inspection på transportlaget. Jeg
mener det er et minimumskrav til en fornuftig firewall.

>
> Mit tredje spørgsmål:
> er et spm. om antallet af ben / netkort i en Firewall...
> En "normal" fw (hvis man kan sige noget er normalt) skal have inbound, DMZ
> og outbound... Betyder det så, at der "normalt" er 4 ben i en fw ???
> Ser man nogle gange behov for flere DMZ-zoner?

Hvorfor siger du 4? Du nævnte kun 3 (ind, ud og dmz). Antallet af
"ben" afhænger af dine behov. Der findes firewalls med kun to ben,
omvendt kan man i situationer ønske mange flere.

Man vil næsten altid have en indgående og en udgående forbindelse.
Man vil ofte have en DMZ zone, det giver i nogle situationer god
mening med flere DMZ zoner. Man kan også godt ønske sig flere
indgående forbindelser.

Man kan også vælge at udstyre sin firewall med et eller to ekstra
netkort til en VPN boks. Man kan også udstyre sin firewall med et
eller to ekstra netkort til proxies.

Hvis du ender med at have et setup med en tibenet firewall bør du
naturligvis overveje om den er blevet for kompliceret. En sådan
firewall kunne evt splittes op i en række forskellige bokse. Men
det er naturligvis igen et spørgsmål om behov.

>
> Mit fjerde spørgsmål er om:
> En client spørger på dest-port 80 og sætter sin sourceport som f.eks. 5412.
> Web-serveren laver reply af med port 5412 som destin.-port...
> Men sætter den så port 80 som source-adresse???
> Har jeg forstået dette korrekt?

Ja.

> En fw holder styr på disse sessioner... og åbner kun den konkrete port ind
> til LAN, når denne konkrete reply kommer tilbage...

Ja, det hedder connection tracking/statefull inspection på
transport laget.

> Den holder styre på alt dette...! Men gør en ordentlig router ikke også
> dette ?

Som udgangspunkt gør en router ikke noget af dette. Den lader
alle pakkerne slippe igennem hvis de blot har et gyldigt
format og modtager addresse. Nogle routere kan sættes op til
at filtrere pakker og lave noget statefull inspektion på
transportlaget, nogle routere kan f.eks. lave masquerading/NAT.

> Forestil dig f.eks. en Cisco 2514 - og man laver accesslists.
> Hvis man ikke har services/tjenester og lignende i LAN kan man som
> udgangspunkt lukke for alle porte "ind til LAN"!
> Kan man også gøre dette i en router med acceslists... holder en router styr
> på dette?

Den slags filtrering kan foretages enten med eller uden
tilstand i routeren. Jeg ved ikke hvordan den konkrete router
gør.

>
> Mvh.
> Benny Sørensen

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Hej Kasper !

Tak for din forklaring... nu er jeg ikke begyndt at dykke ned i
IP TABLES endnu

Jeg skal lige lære noget basalt UNIX/LINUX først... men
snart vil jeg dykke ned i syntaxen for IP Tables:

Forestil dig at man udelukkende kører en LINUX-box med IP Tables...
hvad kan den så håndtere?

Kan den så foretage "connection tracking" / "statefull inspection" på
transport laget ???

Hvad er det som "dyre" firewalls kan - som IP Tables ikke kan?

Hilsen Benny

---

"Benny Sørensen" wrote:
>
> Hej Kasper !
>
> Tak for din forklaring... nu er jeg ikke begyndt at dykke ned i
> IP TABLES endnu
>
> Jeg skal lige lære noget basalt UNIX/LINUX først... men
> snart vil jeg dykke ned i syntaxen for IP Tables:
>
> Forestil dig at man udelukkende kører en LINUX-box med IP Tables...
> hvad kan den så håndtere?

Den håndterer IP, ICMP, UDP og TCP. Det vil altså sige
netværkslaget og transportlaget. Desuden er der et par
moduler til at håndtere nogle af særhederne i ftp
protokollen. Personligt foretrækker jeg at bruge scp
i stedet for ftp.

>
> Kan den så foretage "connection tracking" / "statefull inspection" på
> transport laget ???

Ja.

>
> Hvad er det som "dyre" firewalls kan - som IP Tables ikke kan?

Det er jeg ikke helt sikker på. De er måske hurtigere,
men hvis du har mindre end 100Mbit/s er det nok
ligemeget. Desuden forsøger nogle firewalls at håndtere
protokoller ovenpå TCP, ikke altid med det ønskede
resultat.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

>>Hvad er det som "dyre" firewalls kan - som IP Tables ikke kan?
> Det er jeg ikke helt sikker på. De er måske hurtigere,
> men hvis du har mindre end 100Mbit/s er det nok
> ligemeget. Desuden forsøger nogle firewalls at håndtere
> protokoller ovenpå TCP, ikke altid med det ønskede
> resultat.


Hmm, IPTables er da gansk hurtig, og blivere hurtigere ved brugen af
zero-copy :)

---

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
>
> >>Hvad er det som "dyre" firewalls kan - som IP Tables ikke kan?
> > Det er jeg ikke helt sikker på. De er måske hurtigere,
> > men hvis du har mindre end 100Mbit/s er det nok
> > ligemeget. Desuden forsøger nogle firewalls at håndtere
> > protokoller ovenpå TCP, ikke altid med det ønskede
> > resultat.
>
> Hmm, IPTables er da gansk hurtig, og blivere hurtigere ved brugen af
> zero-copy :)

Jeg har ingen konkrete målinger, er her nogen, der kan komme med
fakta om hastighederne?

Jeg har indtil videre kun prøvet at sætte iptables op på min
egen 256kbit/s forbindelse, så jeg har naturligvis ikke mærket
nogen problemer.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk

---

Kasper Dupont wrote:

>>Hmm, IPTables er da gansk hurtig, og blivere hurtigere ved brugen af
>>zero-copy :)
> Jeg har ingen konkrete målinger, er her nogen, der kan komme med
> fakta om hastighederne?


Definere hastighed, snakker vi om båndbredde eller antal af pakker, evt
er der følgende parametre der kan pilles i, logning af trafik, pakke
størrelse, antal routningsregler, antal firewall regler, antal
adresseoversættelses regler, trafik type icmp/tcp/udp/ip, best cast,
worse case, find-selv-på-mere.

Et almideligt 100Mbit Ethernet kort kan bygge 8.000 pakker i sekundet.

Vha. af zero-copy har jeg fået min gamle p133 webserver op på at
håndtere 2.000 http request i sekundet. (http1.1 med pipeline).

En Nokia IP440 kan håndtere 10.000-15.000 pakker i sekundet på 64byte.

---

"Christian E. Lysel" wrote:
>
> Kasper Dupont wrote:
>
> >>Hmm, IPTables er da gansk hurtig, og blivere hurtigere ved brugen af
> >>zero-copy :)
> > Jeg har ingen konkrete målinger, er her nogen, der kan komme med
> > fakta om hastighederne?
>
> Definere hastighed, snakker vi om båndbredde eller antal af pakker, evt
> er der følgende parametre der kan pilles i, logning af trafik, pakke
> størrelse, antal routningsregler, antal firewall regler, antal
> adresseoversættelses regler, trafik type icmp/tcp/udp/ip, best cast,
> worse case, find-selv-på-mere.

Jeg er udmærket klar over, at man ikke kan give noget entydigt svar
på, hvad der er hurtigst. Forestil dig, at vi ser på en konkret
hardware firewall med et regelsæt og et trafikmønster. Man kan nu
spørge hvor meget det vil koste at købe en PC, der med iptables og
et tilsvarende reglsæt kan håndtere den samme trafik. Når nu
spørgsmålet er præcist formuleret kan man forsøge at besvare det
(hvilket naturligvis ikke er let).

Hvad der bedst kan betale sig afhænger sandsynligvis af situationen,
så noget entydigt svar kan vi nok ikke give.

--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk