Kandu.dk - statefull inspection/ikke statefull


/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg

Glemt dit kodeord?

Brugernavn*

Kodeord *

Husk mig

Brugerservice

Kom godt i gang

Bliv medlem

Seneste indlæg

Find en bruger

Stil et spørgsmål

Skriv et tip

Fortæl en ven

Pointsystemet

Kontakt Kandu.dk

Emnevisning

Kategorier

Alfabetisk

Karriere

Interesser

Teknologi

Reklame

Top 10 brugere

Sikkerhed

#	Navn	Point
1	stl_s	37026
2	arlet	26827
3	miritdk	20260
4	o.v.n.	12167
5	als	8951
6	refi	8694
7	tedd	8272
8	BjarneD	7338
9	Klaudi	7257
10	molokyle	6481

statefull inspection/ikke statefull
Fra : Dennis Pedersen

Dato : 18-12-01 20:21

Hej!
Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
forbindelse er jeg faldet over at de begge kan lave 'statefull inspection'.
Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
inspection mere sikkert end hvis man ikke brugte det?
Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
lige præcis hvad forskellen er så her er det eksperterne må træde til ;)

/Dennis

Lars Kim Lund (18-12-2001)

Kommentar
Fra : Lars Kim Lund

Dato : 18-12-01 20:29

Hej "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk>

>Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
>forbindelse er jeg faldet over at de begge kan lave 'statefull inspection'.
>Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
>inspection mere sikkert end hvis man ikke brugte det?
>Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
>lige præcis hvad forskellen er så her er det eksperterne må træde til ;)

Stateful er sessionsorienteret og retningsbestemt mens ikke-stateful
er pakkeorienteret.

--
Lars Kim Lund
http://www.net-faq.dk/

Dennis Pedersen (18-12-2001)

Kommentar
Fra : Dennis Pedersen

Dato : 18-12-01 20:44

"Lars Kim Lund" <larskim@mail.com> wrote in message
news:v36v1uo4htpqcemdhoej29alalss3v8kvg@sunsite.auc.dk...
> Hej "Dennis Pedersen" <usenetspam@FJERNDETTEdaydreamer.dk>
>
> >Jeg har rodet lidt med noget firewall's til FreeBSD (ipfw og ipf) i den
> >forbindelse er jeg faldet over at de begge kan lave 'statefull
inspection'.
> >Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
> >inspection mere sikkert end hvis man ikke brugte det?
> >Der står noget på man siderne men jeg syntes det forekommer mig noget
uklart
> >lige præcis hvad forskellen er så her er det eksperterne må træde til ;)
>
> Stateful er sessionsorienteret og retningsbestemt mens ikke-stateful
> er pakkeorienteret.

Dvs den holder reelt styr på alt udgående trafik og lukker for gassen hvis
der ikke er noget i dens tabel der stemmer overens med at den pakke skulle
have lov at passere?
Men som jeg har forstået det så indgående trafik har man ikke nogen fordel
ud af at bruge statefull inspection på?

/Dennis

Christian E. Lysel (18-12-2001)

Kommentar
Fra : Christian E. Lysel

Dato : 18-12-01 21:07

Dennis Pedersen wrote:

> Dvs den holder reelt styr på alt udgående trafik og lukker for gassen hvis
> der ikke er noget i dens tabel der stemmer overens med at den pakke skulle
> have lov at passere?
> Men som jeg har forstået det så indgående trafik har man ikke nogen fordel
> ud af at bruge statefull inspection på?

Nu bør der jo ikke være forskel på ind- og udgående traffik!

For at give dig et nemt eksempel:

A vil pinge B. I reglsættet må A sende ICMP pakker til B, men ikke omvendt.

A -> B icmp request (tilladt ifølge reglsættet, nu opdateres statetabelen)

B -> A icmp reply. (tilladt ifølge statetablen).

Dette er tilladt.

Nu vil B sende pakker til A, fx icmp reply.

B -> A icmp reply. (ikke tilladt af hverken reglsættet eller statetablen).

Dette er ikke tilladt.

Hvis regelsættet var implementere på en router med filter regler, ville
reglerne være:

A -> B icmp request

B -> A icmp reply

Derfor kan B til enhver tid sende icmp reply pakker til A.

Christian E. Lysel (18-12-2001)

Kommentar
Fra : Christian E. Lysel

Dato : 18-12-01 20:58

Dennis Pedersen wrote:

> Det forekommer mig noget uklart hvad der i grove træk lige gør statefull
> inspection mere sikkert end hvis man ikke brugte det?
> Der står noget på man siderne men jeg syntes det forekommer mig noget uklart
> lige præcis hvad forskellen er så her er det eksperterne må træde til ;)

Det kommer an på hvilket netværkslag vi snakker om!

Statefull inspection bliver efterhånden brugt i flæng.

Problemet med statefull inspection som jeg ser det, er at hvis pakkerne

matcher statetablen eller

regelsættet, går den igennem firewallen, dvs. det er direkte forbindelse
igennem firewallen, sålænge pakkerne opfylder nogle krav. Disse krav er
desværrer alt for simple og vil ikke kunne forhindre avanceret angreb på
applikationslaget. Endvidere vil dette ej give beskyttelse af svage
TCP/IP stakke hvor sekvensnumre er forudsigelige.

Hvis vi kikker på en applikationsproxy firewall, fortolker den alle
pakker, matche disse op imod reglerne. Herefter bliver de genskrivet af
proxyen, hvilket også betyder at der ikke er direkte forbindelse igennem
firewallen. Endvidere vil man kunne tillade trafik der overholder
RFC'erne op til applikationslaget og ikke indeholder buffer overflows.

Dog mener nogle at de også er sværrer at kode, dvs. at de har flere fejl end mere simple firewalls.

Personligt fortrækker jeg at bygger pakkerfilter i Internet routeren,
for derefter at have en applikationsproxy firewall, på denne måde bruger
jeg fordelene fra begge teknologier.

Der er flere producenter der derfor bygger hybride firewalls, som både
kører statefull inspection og applikationsproxier, Firewall-1 fra
Checkpoint er et udmærket eksempel.

Søg

Reklame

Statistik

Spørgsmål :	177501
Tips :	31968
Nyheder :	719565
Indlæg :	6408527
Brugere :	218887

Månedens bedste

Årets bedste

Sidste års bedste