forum.opennet.ru - "ipfw и established" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ipfw и established"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ipfw и established"
Сообщение от Evgeniy (??) on 20-Май-06, 13:41
Добрый день! На одном сайте увидел такой вариант настройки фаервольных правил, где одним из первых было такое: ${FwCmd} add pass tcp from any to any established Т.е. если разрешающие правила следующие за этим отработали и соединение было установлено, то все следующие пакеты будут с установлеными битами RST и ACK, которые будут пропущены этим правилом. Такой подход хорошо оптимизирует работу, но насколько он безопасен? Ведь атакующий может сформировать пакет с установленными битами RST и ACK... Чем это может быть опасно? Может лучше использовать keep-state?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

ipfw и established, max3, 00:48 , 21-Май-06, (1)

ipfw и established, Evgeniy, 04:20 , 22-Май-06, (2)

ipfw и established, max3, 02:03 , 23-Май-06, (3)

Сообщения по теме [Сортировка по времени, UBB]

1. "ipfw и established"

Сообщение от max3 (??) on 21-Май-06, 00:48

>Может лучше использовать keep-state?
:) Сам спросил и сам ответил - да, получается, что keep-state безопаснее.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "ipfw и established"

Сообщение от Evgeniy (??) on 22-Май-06, 04:20

>>Может лучше использовать keep-state?
>
>:) Сам спросил и сам ответил - да, получается, что keep-state безопаснее.
>
Подтверждения хочется. Кто-нить может аргументировать какие проблемы могут возникнуть при таком подходе?
Есть ли ограничение на количество динамических правил keep-state?
Если к серверу идет много обращений с разных IP на разные порты. Не станет ли серваку "плохо" при использовании keep-state?
Если правил не много, а подключения идут с разных IP на разные порты то использование keep-state наверно не очень актуально.
Может есть альтернативные, более интересные варианты?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "ipfw и established"

Сообщение от max3 (??) on 23-Май-06, 02:03

>Есть ли ограничение на количество динамических правил keep-state?
>Если к серверу идет много обращений с разных IP на разные порты.
>Не станет ли серваку "плохо" при использовании keep-state?
>Если правил не много, а подключения идут с разных IP на разные
>порты то использование keep-state наверно не очень актуально.
Файрвол с динамическими правилами не теряет своих преимуществ при увеличении количества хостов/портов, т.к. его преимущество, - отсеивание пакетов, не инициированных правилами keep-state, - будет работать пока будет возможно создание правил. Т.е. интересен вопрос об ограничении на количество правил (net.inet.ip.fw.dyn_max) и на время хранения правил, но это может быть отрегулировано в sysctl.conf.
>Может есть альтернативные, более интересные варианты?
Интереснее будут файрволы, разбирающие контент протоколов более высоких уровней. Для stateful файрвола интереснее ничего не знаю.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipfw и established"
Сообщение от max3 (??) on 21-Май-06, 00:48
>Может лучше использовать keep-state? :) Сам спросил и сам ответил - да, получается, что keep-state безопаснее.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "ipfw и established"
	Сообщение от Evgeniy (??) on 22-Май-06, 04:20
	>>Может лучше использовать keep-state? > >:) Сам спросил и сам ответил - да, получается, что keep-state безопаснее. > Подтверждения хочется. Кто-нить может аргументировать какие проблемы могут возникнуть при таком подходе? Есть ли ограничение на количество динамических правил keep-state? Если к серверу идет много обращений с разных IP на разные порты. Не станет ли серваку "плохо" при использовании keep-state? Если правил не много, а подключения идут с разных IP на разные порты то использование keep-state наверно не очень актуально. Может есть альтернативные, более интересные варианты?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "ipfw и established"
	Сообщение от max3 (??) on 23-Май-06, 02:03
	>Есть ли ограничение на количество динамических правил keep-state? >Если к серверу идет много обращений с разных IP на разные порты. >Не станет ли серваку "плохо" при использовании keep-state? >Если правил не много, а подключения идут с разных IP на разные >порты то использование keep-state наверно не очень актуально. Файрвол с динамическими правилами не теряет своих преимуществ при увеличении количества хостов/портов, т.к. его преимущество, - отсеивание пакетов, не инициированных правилами keep-state, - будет работать пока будет возможно создание правил. Т.е. интересен вопрос об ограничении на количество правил (net.inet.ip.fw.dyn_max) и на время хранения правил, но это может быть отрегулировано в sysctl.conf. >Может есть альтернативные, более интересные варианты? Интереснее будут файрволы, разбирающие контент протоколов более высоких уровней. Для stateful файрвола интереснее ничего не знаю.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]