[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2001 ml@sikurezza.org Soggetto: Re: Ri:Re: sicurezza di iptables su redhat 7.1 Mittente: Luca Berra Data: 31 May 2001 22:00:34 -0000
On Thu, May 31, 2001 at 01:49:10PM +0000, danzig@inwind.it wrote:
> > 1) un firewall non deve analizzare i dati di livello applicativo e
> > cercare di agire di conseguenza, non funzionera' mai.
> potresti spiegare meglio..
> io invece direi che e' una buona idea. o meglio da come l'ho sempre intesa io (e posso sbagliarmi si intende) se parlo di statefull firewall devo fare analisi a livello applicativo...o sbaglio? e questo tipo di indagine, sempre a mio parere puo essere meglio di steless firewalling.
ci provo:
in questo caso parlavo di stateful packet filter.
ritengo sia molto difficile leggere uno stream di dati che rappresenta
la comunicazione tra due sistemi e comportarsi di conseguenza, perche'
questi due sistemi possono essere variamente bacati e comportarsi in
modo non predicibile.
Esempi:
il baco del ftp di cui si parla (ci sono cascati tutti)
il fixup smtp del pix (di cui naif ha beccato alcuni buchi) che non
funziona correttamente con m$ exchange
inoltre quest'analisi da parte del firewall oltre ad essere imprecisa
al meglio non e' in grado di proteggere completamente un sistema.
piuttosto e' preferibile (se hai la cpu power) utilizzare un proxy
molto ben blindato che parli in maniera chiara ed univoca con i due
endpoint. (il proxy puo' anche modificare le acl del firewall).
L.
--
Luca Berra -- bluca@comedia.it
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005