[ LUGOS ] Firewall

Saso Saso na vsecureit.net
Pet Jan 7 19:05:34 CET 2000


In message <Pine.LNX.4.10.10001071717580.29024-100000 na mail.velenje.cx>, Mitja N
ovak writes:
>hello!
>v vsakem ip paketu se da videt ali je paket odgovor ali je paket request.
>na cisco-tu se da lepo nastimat da ce je paket request ga ne spusti cez
>drugace pa ga, in obratno.
>torej kako narediti firewall, ki bi spuscal samo tite pakete cez ki so
>bili zahtevani? (ali ipchains ali ipfwadm)

[Tole sodi v lugos-sec, ne pa na lugos listo, zato posiljam stvar tja]

Ne ipchains ne ipfw nista t.i. stateful inspection packet filterja, zato 
v resnici ne vesta, ce je doloceni paket prispel kot del ze vzpostavljene 
seje, ali pa je le lepo skonstruiran paket, ki ima postavljena SYN in ACK 
paketka.

Ce firewall ne ve, ali doloceni paket pripada ze vzpostavljeni seji ali ne, in 
ce preverja samo na podlagi postavljenega ACK bita v paketu, potem je tak 
firewall mozno izredno zlahka zaobiti. Ce pa se firewall da zlahka zaobiti, 
potem to ni firewall, pac pa pesek v oci, a ne?

Razlicni trojanski konji lahko samo cakajo na pravi paketek s postavljenimi 
SYN/ACK flagi in potem vzpostavijo pravo povezavo s serverjem nekje drugje. 
In tvoj firewall bo vse to spustil mimo, ker je prisel od zunaj paket, ki 
ocitno ni 'request', ker nima samo SYN flag postavljen.

In najverjetneje se lahko vzpostavi kakrsenkoli promet iz 'varovanega' obmocja 
proti internetu, a ne?

Za resne firewall resitve Linux ni prava platforma odkar ni vec IPFilter 
podpore za Linux. FW-1 za Linux bo pa enkrat v bliznji prihodnosti.

LP,

Saso




Dodatne informacije o seznamu Starilist