Alarm Firewall Umsetzung RFC Firewalls Implementation Personal Firewalls

Einfachere Firewall-Implemntation durch....

Von: , Frage gestellt am Di, 1. Apr 2003

Einfachere Firewall-Implemntation durch Nutzung bislang ungenutzter Bits im IP-Packet-Header.

Ein interessantes Konzept, was die Implementation von Firewalls deutlich vereinfachen wird, ist in RFC 3514 beschrieben.

Die differenzierte Nutzeung des sogenannten "evil Bits" macht eine Diskriminierung möglicher Angriffsformen -- beispielsweise DoS.

Weiterhin ist es den auswertenden Applikationen freigestzellt, welches Verhalten sie bei gesetztem Evil Bit an den Tag legen: es ist erlaubt, Schutzmaßnahmen einzuleiten (das ist der Sinn dieses Konzepters), aber auch -- wie bislang in einigen Fällen beobachtet -- abzustürzen.


Die verbreitete Verwirklichung und Umsetzung dieses RFC dürfte nicht nur in hochkritischen Bereichen einen Vortweil verschaffen, sondern erstmals effiziente Firewalls auf zahlreichen Home-Rechnern erleuben -- eine Domäne, unter der bislang Hersteller von sogenannten "Personal Firewalls" Nepp und Bauerngängerei in Kapital ummünzten.



Das RFC kann man hier nachlesen: ftp://ftp.rfc-editor.org/in-notes/rfc3514.txt

Gute Nacht, ZoneAlarm, Nortin Internet Security go home!



Sebastian

4 Antworten zu dieser Frage

1. Antwort von nach einer Stunde 0 hilfreich

   Re: Einfachere Firewall-Implemntation durch....

   Super!
   
   Funktioniert das auch in IP-Netzen, die nach RFC 1149 aufgebaut sind?
   
   LG
   Stuffi
   

   • Antwort von nach 2 Stunden 0 hilfreich

     Re^2: Einfachere Firewall-Implemntation durch....

     Funktioniert das auch in IP-Netzen, die nach RFC 1149
     aufgebaut sind?
     Ja. Da wird das Bit in einen sogenannten Ring-Buffer geschrieben.
     
     
     Sebastian
     

     • Antwort von nach 4 Stunden 0 hilfreich

       Re^3: Einfachere Firewall-Implemntation durch....

       Funktioniert das auch in IP-Netzen, die nach RFC 1149
       aufgebaut sind?
       Ja. Da wird das Bit in einen sogenannten Ring-Buffer
       geschrieben.
       In Kürze soll btw. der IBM Universal Business Adapter auch RFC1149-konform nachrüstbar sein, so daß eine Migration bestehender Infrastrukturen unproblematisch sein dürfte! Ich hoffe, die bauen den Ring-Buffer auch mit in das 1149er Modul mit ein.
       
       http://www.heise.de/newsticker/data/sun-31.03.03-000/
       
       Gruß,
       
       Doc.
       

2. Antwort von nach 4 Stunden 0 hilfreich

   Re: Einfachere Firewall-Implemntation durch....

   Die differenzierte Nutzeung des sogenannten "evil Bits" macht
   eine Diskriminierung möglicher Angriffsformen --
   beispielsweise DoS.
   Endlich. Das Problem mit den IDS sehe ich nicht als wirklich schlimm an, weil eh noch keiner die Logs von Snort wirklich verstanden hat ;-)
   
   Stefan
   

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!