|
|
 | Spørgsmål om firewall - routere osv
Fra : Benny Sørensen |
Dato : 08-03-02 09:10 |
|
Hej!
Jeg er begyndt at læse lidt om firewalls... men er endnu "lidt grøn" mht.
viden om firewalls...
Mit første spørgsmål:
Jeg har læst, at rigtige firewalls analyserer helt op på applikationslaget!
Er firewalls der foretager "Pakkefiltrering" ikke en "rigtig firewall" ?
En linux-computer der kører "IP Tables"... kan det kaldes så ikke kaldes for
en "rigtig" firewall... den analyserer jo også med pakkefiltrering!
Mit andet spørgsmål:
Er "stateful inspection" det samme som at en firewall analyserer helt op på
applikationslaget?
Mit tredje spørgsmål:
er et spm. om antallet af ben / netkort i en Firewall...
En "normal" fw (hvis man kan sige noget er normalt) skal have inbound, DMZ
og outbound... Betyder det så, at der "normalt" er 4 ben i en fw ???
Ser man nogle gange behov for flere DMZ-zoner?
Mit fjerde spørgsmål er om:
En client spørger på dest-port 80 og sætter sin sourceport som f.eks. 5412.
Web-serveren laver reply af med port 5412 som destin.-port...
Men sætter den så port 80 som source-adresse???
Har jeg forstået dette korrekt?
En fw holder styr på disse sessioner... og åbner kun den konkrete port ind
til LAN, når denne konkrete reply kommer tilbage...
Den holder styre på alt dette...! Men gør en ordentlig router ikke også
dette ?
Forestil dig f.eks. en Cisco 2514 - og man laver accesslists.
Hvis man ikke har services/tjenester og lignende i LAN kan man som
udgangspunkt lukke for alle porte "ind til LAN"!
Kan man også gøre dette i en router med acceslists... holder en router styr
på dette?
Mvh.
Benny Sørensen
| |
 Christian E. Lysel (08-03-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 08-03-02 10:12 |
|
Benny Sørensen wrote:
> Mit første spørgsmål:
> Jeg har læst, at rigtige firewalls analyserer helt op på applikationslaget!
> Er firewalls der foretager "Pakkefiltrering" ikke en "rigtig firewall" ?
Det er stadigvæk en firewall.
Skal du helt op på applikationslaget skal du have en
applikationsfirewall, også kaldet en proxy-firewall.
> En linux-computer der kører "IP Tables"... kan det kaldes så ikke kaldes for
> en "rigtig" firewall... den analyserer jo også med pakkefiltrering!
Det er også en firewall, forresten kører den med stateful inspection.
> Mit andet spørgsmål:
> Er "stateful inspection" det samme som at en firewall analyserer helt op på
> applikationslaget?
Nej. Men mange stateful inspection firewall, fx PIX og Firewall-1, har
nogle simple applikationsproxier til fx smtp, http, ftp.
> Mit tredje spørgsmål:
> er et spm. om antallet af ben / netkort i en Firewall...
> En "normal" fw (hvis man kan sige noget er normalt) skal have inbound, DMZ
> og outbound... Betyder det så, at der "normalt" er 4 ben i en fw ???
> Ser man nogle gange behov for flere DMZ-zoner?
Ja og flere interne segmenter.
En kommune kan fx have følgende:
ISP
Administration
Skole
Publikum
Bibliotek
Leverandør
find-selv-på-flere
> Mit fjerde spørgsmål er om:
> En client spørger på dest-port 80 og sætter sin sourceport som f.eks. 5412.
> Web-serveren laver reply af med port 5412 som destin.-port...
> Men sætter den så port 80 som source-adresse???
Du skriver source-adresse, men mener vel source-port, ikk', hvis det er
tilfældet har du forstået det rigtigt nok.
> Har jeg forstået dette korrekt?
> En fw holder styr på disse sessioner... og åbner kun den konkrete port ind
> til LAN, når denne konkrete reply kommer tilbage...
En stateful inspection firewall eller applikations kan holde øje med
ovenstående.
> Den holder styre på alt dette...! Men gør en ordentlig router ikke også
> dette ?
> Forestil dig f.eks. en Cisco 2514 - og man laver accesslists.
Hvilket er en pakkerfilter firewall, her kikker man på tcp/ip flagene
for at finde pakke der _påstår_ de kommer fra en etableret session.
Disse pakker behøver ikke at sige sandheden og kan godt komme fra et angreb.
> Hvis man ikke har services/tjenester og lignende i LAN kan man som
> udgangspunkt lukke for alle porte "ind til LAN"!
> Kan man også gøre dette i en router med acceslists... holder en router styr
> på dette?
Ja.
| |
Franz Christensen (08-03-2002)
| Kommentar
Fra : Franz Christensen |
Dato : 08-03-02 10:29 |
|
"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C888061.3050400@example.net...
> Benny Sørensen wrote:
>
> > Mit første spørgsmål:
> > Jeg har læst, at rigtige firewalls analyserer helt op på
applikationslaget!
> > Er firewalls der foretager "Pakkefiltrering" ikke en "rigtig firewall" ?
>
>
> Det er stadigvæk en firewall.
>
> Skal du helt op på applikationslaget skal du have en
> applikationsfirewall, også kaldet en proxy-firewall.
>
> > En linux-computer der kører "IP Tables"... kan det kaldes så ikke kaldes
for
> > en "rigtig" firewall... den analyserer jo også med pakkefiltrering!
>
>
> Det er også en firewall, forresten kører den med stateful inspection.
>
>
> > Mit andet spørgsmål:
> > Er "stateful inspection" det samme som at en firewall analyserer helt op
på
> > applikationslaget?
>
>
> Nej. Men mange stateful inspection firewall, fx PIX og Firewall-1, har
> nogle simple applikationsproxier til fx smtp, http, ftp.
>
Har en PIX proxier til SMTP og HTTP ?
>
> > Mit tredje spørgsmål:
> > er et spm. om antallet af ben / netkort i en Firewall...
> > En "normal" fw (hvis man kan sige noget er normalt) skal have inbound,
DMZ
> > og outbound... Betyder det så, at der "normalt" er 4 ben i en fw ???
> > Ser man nogle gange behov for flere DMZ-zoner?
>
>
> Ja og flere interne segmenter.
>
> En kommune kan fx have følgende:
>
> ISP
> Administration
> Skole
> Publikum
> Bibliotek
> Leverandør
>
> find-selv-på-flere
>
>
> > Mit fjerde spørgsmål er om:
> > En client spørger på dest-port 80 og sætter sin sourceport som f.eks.
5412.
> > Web-serveren laver reply af med port 5412 som destin.-port...
> > Men sætter den så port 80 som source-adresse???
>
>
> Du skriver source-adresse, men mener vel source-port, ikk', hvis det er
> tilfældet har du forstået det rigtigt nok.
>
> > Har jeg forstået dette korrekt?
> > En fw holder styr på disse sessioner... og åbner kun den konkrete port
ind
> > til LAN, når denne konkrete reply kommer tilbage...
>
>
> En stateful inspection firewall eller applikations kan holde øje med
> ovenstående.
>
> > Den holder styre på alt dette...! Men gør en ordentlig router ikke også
> > dette ?
>
> > Forestil dig f.eks. en Cisco 2514 - og man laver accesslists.
>
>
> Hvilket er en pakkerfilter firewall, her kikker man på tcp/ip flagene
> for at finde pakke der _påstår_ de kommer fra en etableret session.
> Disse pakker behøver ikke at sige sandheden og kan godt komme fra et
angreb.
>
> > Hvis man ikke har services/tjenester og lignende i LAN kan man som
> > udgangspunkt lukke for alle porte "ind til LAN"!
> > Kan man også gøre dette i en router med acceslists... holder en router
styr
> > på dette?
>
>
> Ja.
>
| |
 Christian E. Lysel (08-03-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 08-03-02 10:36 |
|
Franz Christensen wrote:
>>Nej. Men mange stateful inspection firewall, fx PIX og Firewall-1, har
>>nogle simple applikationsproxier til fx smtp, http, ftp.
> Har en PIX proxier til SMTP og HTTP ?
Jeg er usikker på HTTP for den er meget nem at omgåes, men SMTP delen er
jeg ret sikker på da jeg ikke har kunne omgåes denne.
PIX har mulighed for at ændre greetings banneren til:
220 ******************************************************************
For derefter kun at tillade et udvalg af SMTP kommando-sættet.
| |
Kasper Dupont (08-03-2002)
| Kommentar
Fra : Kasper Dupont |
Dato : 08-03-02 12:03 |
|
"Christian E. Lysel" wrote:
>
> Franz Christensen wrote:
>
> >>Nej. Men mange stateful inspection firewall, fx PIX og Firewall-1, har
> >>nogle simple applikationsproxier til fx smtp, http, ftp.
>
> > Har en PIX proxier til SMTP og HTTP ?
>
> Jeg er usikker på HTTP for den er meget nem at omgåes, men SMTP delen er
> jeg ret sikker på da jeg ikke har kunne omgåes denne.
>
> PIX har mulighed for at ændre greetings banneren til:
>
> 220 ******************************************************************
>
> For derefter kun at tillade et udvalg af SMTP kommando-sættet.
Jeg tror nok, at jeg engang så en demonstration af, at
man med en underlig sekvens af kommandoer kunne få
pixen til at tro, at man var ved at sende indholdet af
mailen og ikke kommandoer. På den måde kunne man liste
kommandoer udenom den beskyttelse.
--
Kasper Dupont
For sending spam use mailto:razor-report@daimi.au.dk
| |
Christian E. Lysel (08-03-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 08-03-02 12:16 |
|
Kasper Dupont wrote:
>>For derefter kun at tillade et udvalg af SMTP kommando-sættet.
> Jeg tror nok, at jeg engang så en demonstration af, at
> man med en underlig sekvens af kommandoer kunne få
Ved at kalde DATA før tiden, gik PIX'en i data tilstanden, og stoppede
parsingen af kommandosættet, herefter kunne man taste alle de kommandoer
man havde lyst til.
> pixen til at tro, at man var ved at sende indholdet af
> mailen og ikke kommandoer. På den måde kunne man liste
> kommandoer udenom den beskyttelse.
Det lykkedes dem at "introducere" fejlen i en senere version.
| |
Benny Sørensen (08-03-2002)
| Kommentar
Fra : Benny Sørensen |
Dato : 08-03-02 19:47 |
|
> > Ser man nogle gange behov for flere DMZ-zoner?
>
> Ja og flere interne segmenter.
Segmenterer man virkelig i en fw ???
Jeg troede man lavede sådan noget med f.eks. en VLAN-switch!
>> ... lukke for alle porte "ind til LAN" ??
> Ja.
En fw kan have lukket for alle porte inbound - holde styr på sessionerne og
hvilke porte den skal åbne ind til den konkrete session.
Det kan en router vel ikke holde styr på, for så var det vel en det samme
som en connection tracking/statefull inspection firewall ?
Og så var der jo ingen grund til at købe en firewall,
hvis en router med accesslists kunne holde styr på sessionerne med
connection tracking/statefull inspection...???
Eller hva' ? Jeg er forvirret ????
Hilsen
Benny!
| |
Christian E. Lysel (09-03-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 09-03-02 12:06 |
|
Benny Sørensen wrote:
> Segmenterer man virkelig i en fw ???
> Jeg troede man lavede sådan noget med f.eks. en VLAN-switch!
Segmentering kan være af forskellig art, jeg mente selvfølig fysiske
netværkssegmenter.
Generelt kan segmentering på VLANs ikke anbefaldes.
> En fw kan have lukket for alle porte inbound - holde styr på sessionerne og
> hvilke porte den skal åbne ind til den konkrete session.
>
> Det kan en router vel ikke holde styr på, for så var det vel en det samme
> som en connection tracking/statefull inspection firewall ?
En router kan se om tcp flagene er sat således at det tyder på at det er
en estableret forbindelse.
> Og så var der jo ingen grund til at købe en firewall,
> hvis en router med accesslists kunne holde styr på sessionerne med
> connection tracking/statefull inspection...???
Det er ikke "connection tracking/statefull inspection", endvidere har en
almidelig router mange mangler, tidsstyret regler, brugervalidering, god
logning, etcetera
| |
Benny Sørensen (08-03-2002)
| Kommentar
Fra : Benny Sørensen |
Dato : 08-03-02 19:57 |
|
> Hvilket er en pakkerfilter firewall, her kikker man på tcp/ip flagene
> for at finde pakke der _påstår_ de kommer fra en etableret session.
> Disse pakker behøver ikke at sige sandheden og kan godt komme fra et >
angreb.
Og jeg har forstået det korrekt at pakkefilterfirewalls ikke opdager dette?
Men det vil en stateful-inspection-firewall?
Okay... hvordan skulle en angriber kunne foregive at de kommer fra en
etableret session - uden at de siger sandheden ????
Hilsen
Benny!
| |
Christian E. Lysel (09-03-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 09-03-02 12:07 |
|
Benny Sørensen wrote:
> Og jeg har forstået det korrekt at pakkefilterfirewalls ikke opdager dette?
Ja.
> Men det vil en stateful-inspection-firewall?
Ja
> Okay... hvordan skulle en angriber kunne foregive at de kommer fra en
> etableret session - uden at de siger sandheden ????
Hvis vi snakker tcp/ip så tag et kik på tcp headeren.
| |
Benny Sørensen (10-03-2002)
| Kommentar
Fra : Benny Sørensen |
Dato : 10-03-02 01:15 |
|
> Hvilket er en pakkerfilter firewall, her kikker man på tcp/ip flagene
> for at finde pakke der _påstår_ de kommer fra en etableret session.
> Disse pakker behøver ikke at sige sandheden og kan godt komme fra et
angreb.
Og jeg har forstået det korrekt at pakkefilterfirewalls ikke opdager dette?
Men det vil en stateful-inspection-firewall?
Okay... hvordan skulle en angriber kunne foregive at de kommer fra en
etableret session - uden at de siger sandheden ????
Hilsen
Benny!
| |
Christian E. Lysel (10-03-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 10-03-02 11:40 |
|
Benny Sørensen wrote:
>>Hvilket er en pakkerfilter firewall, her kikker man på tcp/ip flagene
>>for at finde pakke der _påstår_ de kommer fra en etableret session.
>>Disse pakker behøver ikke at sige sandheden og kan godt komme fra et
>> angreb.
> Og jeg har forstået det korrekt at pakkefilterfirewalls ikke opdager dette?
> Men det vil en stateful-inspection-firewall?
Ja. Dog vil en typisk stateful inspection tillade sårbarheder på et
højere protokol lag, som fx applikationslaget.
Stateful inspection er et meget benyttet ord, men typisk undlader man at
fortælle hvilket lag det bliver implementeret på.
> Okay... hvordan skulle en angriber kunne foregive at de kommer fra en
> etableret session - uden at de siger sandheden ????
Det nemme er jo at der skal være en regel der tillade pakke tilbage fra
internet, som er markeret ESTABLISHED.
Citat fra
http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113t/113t_3/stdlog.htm
....established (Optional) For the TCP protocol only: Indicates an
established connection. A match occurs if the TCP datagram has the ACK
or RST bits set. The nonmatching case is that of the initial TCP
datagram to form a connection...
Dvs. så længe en pakke har ACK eller RST bit'en sat i sin header bliver
den matchet af reglen.
Endvidere er der også følgende
http://www.ietf.org/rfc/rfc1858.txt
http://www.ietf.org/rfc/rfc2577.txt
http://www.ietf.org/rfc/rfc2267.txt
Nedestående vil en stateful inspection firewall tillade,
http://www.ietf.org/rfc/rfc1948.txt
| |
Benny Sørensen (10-03-2002)
| Kommentar
Fra : Benny Sørensen |
Dato : 10-03-02 01:15 |
|
> > Ser man nogle gange behov for flere DMZ-zoner?
>
> Ja og flere interne segmenter.
Segmenterer man virkelig i en fw ???
Jeg troede man lavede sådan noget med f.eks. en VLAN-switch!
>> ... lukke for alle porte "ind til LAN" ??
> Ja.
En fw kan have lukket for alle porte inbound - holde styr på sessionerne og
hvilke porte den skal åbne ind til den konkrete session.
Det kan en router vel ikke holde styr på, for så var det vel en det samme
som en connection tracking/statefull inspection firewall ?
Og så var der jo ingen grund til at købe en firewall,
hvis en router med accesslists kunne holde styr på sessionerne med
connection tracking/statefull inspection...???
Eller hva' ? Jeg er forvirret ????
Hilsen
Benny!
| |
Christian E. Lysel (10-03-2002)
| Kommentar
Fra : Christian E. Lysel |
Dato : 10-03-02 11:09 |
|
Benny Sørensen wrote:
>>Ja og flere interne segmenter.
> Segmenterer man virkelig i en fw ???
Ja, det benyttet er at segmentere det interne LAN og Internet hver for sig!
> Jeg troede man lavede sådan noget med f.eks. en VLAN-switch!
En switch er designet til stor ydelse ikke god sikkerhed.
Dog kan det være svart at støve en firewall op med 100 interfaces :)
> En fw kan have lukket for alle porte inbound - holde styr på sessionerne og
> hvilke porte den skal åbne ind til den konkrete session.
Kommer an på hvilken teknologi den benytter sig af, en pakke filter
firewall kan ikke holde styr på sine sessioner, kun prøve på det. Men en
stateful inspection firewall, prøver at forbedre pakke filter
firewallens svagheder.
> Det kan en router vel ikke holde styr på, for så var det vel en det samme
> som en connection tracking/statefull inspection firewall ?
Nogle routere implementere også stateful inspection, men det er ikke en
routeres primærer opgave at holde øje med pakkernes tilstand.
> Og så var der jo ingen grund til at købe en firewall,
> hvis en router med accesslists kunne holde styr på sessionerne med
> connection tracking/statefull inspection...???
Det kommer an på dine behov, nogle universiteter har fx blot nogle
accesslister i deres routere og så evt. en UNIX boks med adgang til både
det externe og interne net.
Jeg plejer at kombinere det, dvs. både installere en firewall og
konfigurer internet routeren med access lister.
> Eller hva' ? Jeg er forvirret ????
| |
|
|