[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2001 ml@sikurezza.org Soggetto: Ri:Re: Ri:Re: sicurezza di iptables su redhat 7.1 Mittente: danzig@xxxxxxxxx Data: 1 Jun 2001 15:44:10 -0000
> ---------- Initial message ----------- > > From : Luca Berra <bluca@comedia.it> > To : ml@sikurezza.org > Cc : > Date : Thu, 31 May 2001 22:13:18 +0200 > Subject : Re: Ri:Re: sicurezza di iptables su redhat 7.1 > > On Thu, May 31, 2001 at 01:49:10PM +0000, danzig@inwind.it wrote: > > > 1) un firewall non deve analizzare i dati di livello applicativo e > > > cercare di agire di conseguenza, non funzionera' mai. > > potresti spiegare meglio.. > > io invece direi che e' una buona idea. o meglio da come l'ho sempre intesa io (e posso sbagliarmi si intende) se parlo di statefull firewall devo fare analisi a livello applicativo...o sbaglio? e questo tipo di indagine, sempre a mio parere puo essere meglio di steless firewalling. > ci provo: > in questo caso parlavo di stateful packet filter. > ritengo sia molto difficile leggere uno stream di dati che rappresenta > la comunicazione tra due sistemi e comportarsi di conseguenza, perche' > questi due sistemi possono essere variamente bacati e comportarsi in > modo non predicibile. > Esempi: > il baco del ftp di cui si parla (ci sono cascati tutti) > il fixup smtp del pix (di cui naif ha beccato alcuni buchi) che non > funziona correttamente con m$ exchange > come si e' gia' discusso su altri post (recenti)..non posso mandare in palla un firewall (almeno se configurato col deny all all di default) se gli dico che il mio pacchetto dati e' di un protocollo piuttosto che un altro. se lo faccio di proposito (raw data) o se il "sitema e' variamente bacato"..e' difficile che riesca a passare (direi che in pochi casi posso essere smentito..). al massimo ricevo un reject (politica deny all all). > inoltre quest'analisi da parte del firewall oltre ad essere imprecisa > al meglio non e' in grado di proteggere completamente un sistema. > piuttosto e' preferibile (se hai la cpu power) utilizzare un proxy > molto ben blindato che parli in maniera chiara ed univoca con i due > endpoint. (il proxy puo' anche modificare le acl del firewall). > > L. > be, che un firewall non sia in grado di proteggere completamente un sistema sono d'accordo (mi devo occupare di host security e di pianificare la rete in maniera furba), un proxy pero' non lo puo' sostituire al massimo integrare, semplicemente perche' non fa lo stesso lavoro..lavora a livello applicativo ma non fa controlli su cio' che puo' o non puo passare (nel senso che puo' fare un firewall) bye #danzig ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005