Re: pf og (mangel på) kep state på FreeBSD 5.4 prerelease

From: Michael Knudsen (none@e--molioner.dk.lh.bsd-dk.dk)
Date: Fri 01 Apr 2005 - 14:50:06 CEST

Next message: Jonatan Anthony: "RE: SMBFS-support i fstab"
Previous message: Phil Regnauld: "Re: SMBFS-support i fstab"
In reply to: Claus Guttesen: "Re: pf og (mangel på) keep state på FreeBSD 5.4 prerelease"
Next in thread: Sven Esbjerg: "Re: pf og (mangel på) kep state på FreeBSD 5.4 prerelease"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Fri, 1 Apr 2005 14:50:06 +0200
From: Michael Knudsen <none@e--molioner.dk.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: pf og (mangel på) kep state på FreeBSD 5.4 prerelease

Quoting Claus Guttesen (cguttesen@yahoo.dk):
> Skal jeg, uden at gå på kompromis med sikkerheden på
> brandmuren, og ikke lave en 'default tillad alt på
> udgående trafik på alle netkort', skal jeg som minimum
> doble dette antal. Ssh, http, smtp, dns (både tcp udp)
> og andre essentielle protokoller skal på alle netkort,
> jeg vil næppe slippe for mindre en en tredobling af
> regelsættet. Og jeg havner i et administrativt
> mareridt, som øger faren for at jeg introducere fejl.

Jeg kan se to aarsager til, at du ikke vil lave default pass out:

        1) Forhindre lokale brugere paa firewallen adgang til diverse
        tjenester
        2) Forhindre indtraengende paa firewallen i at angribe andre
        maskiner

1) boer ganske enkelt ikke vaere et problem. Der boer udelukkende vaere
administrationskonti paa firewallen, og man skal kunne stole paa
administratorerne og det software, de koerer.

2) er lidt i samme boldgade, vil jeg mene. Hvis mit krav til 1) er
opfyldt, kan der kun komme fjendtlige brugere paa maskinen ved indbrud.
Min holdning er (maaske for ideologisk), at man har et stort problem, saa
snart dette er en mulighed. Angrebsfladen paa en firewall boer naturligvis
vaere minimal -- gerne reduceret til ip-stakken (dvs. e.g. ingen SSH).

Min holdning er nok lidt forenklet saaledes, at hvis det er et reelt
problem, at folk kan bryde ind i firewallen, kan de sikkert ogsaa aendre
de regler, den koerer med. Det er maaske nok lidt naivt.

Jeg ville nok lave en vurdering af sandsynlighederne for:

1) Indbrud i firewallen
2) Fejlkonfiguration af firewallen

En loesning paa dit problem kunne nok vaere at bruge tagging, forresten:

block in on $int_if
pass in on $int_if hvad-du-nu-vil-tillade tag "GODKENDT" keep state

        block out on $ext_if
        pass out on $ext_if ting-fra-firewallen bla bla
        pass out on $ext_if tagged "GODKENDT" keep state

Det burde vist give ipf-lignende semantik.

Mvh. Michael.

-- 
Winter meant the coming of the lazy wind, which couldn't be bothered to
blow around people and blew right through them instead.
-- (Terry Pratchett, Wyrd Sisters)

Next message: Jonatan Anthony: "RE: SMBFS-support i fstab"
Previous message: Phil Regnauld: "Re: SMBFS-support i fstab"
In reply to: Claus Guttesen: "Re: pf og (mangel på) keep state på FreeBSD 5.4 prerelease"
Next in thread: Sven Esbjerg: "Re: pf og (mangel på) kep state på FreeBSD 5.4 prerelease"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:49 CET