Hallo,
was versteht man unter „Stateful inspection“ im Zusammenhang
mit einer Personal Firewall?
Oder wer kann folgende Frage beantworten:
-How do you understand the term „personal firewall that supports Stateful inspection“?
-Do you think personal firewall should have it?
Danke und Tschau
Robert
was versteht man unter „Stateful inspection“ im Zusammenhang
mit einer Personal Firewall?
stateful inspection bedeutet, dass die firewall eine session table hat und pruefen kann, ob packete zu einer schon bestehenden session gehoeren. damit kann man die ganzen portscans mit fantasievollen flags (FIN, NULL, XMASS…) aussperren. ausserdem ist es einfacher eine DENY/REJECT all policy zu implementieren, da man keine rules fuer die antworten schreiben muss - die koennen anhand der session table identifiziert und durchgelassen werden.
im uebrigen, personal firewalls sind nicht wirklich sicher.
joachim
Hallo Joachim,
erstmal Danke für deine Antwort.
stateful inspection bedeutet, dass die firewall eine session
table hat und pruefen kann, ob packete zu einer schon
bestehenden session gehoeren. damit kann man die ganzen
portscans mit fantasievollen flags (FIN, NULL, XMASS…)
aussperren. ausserdem ist es einfacher eine DENY/REJECT all
policy zu implementieren, da man keine rules fuer die
antworten schreiben muss - die koennen anhand der session
table identifiziert und durchgelassen werden.
Hast du zufällig interessante Links zu diesem Thema wo man
ein bißchen nachlesen kann?
im uebrigen, personal firewalls sind nicht wirklich sicher.
Ja, habe ich auch schon mitbekommen, ging meine ich tunneling
oder so ähnlich.
Frage hierzu, kann das auch jeder?
joachim
Tschau
Robert
[Stateful inspection]
Hast du zufällig interessante Links zu diesem Thema wo man
ein bißchen nachlesen kann?
Ich?
http://www.bfd.bund.de/technik/Ori_int2/ohint_3.html
im uebrigen, personal firewalls sind nicht wirklich sicher.
Ja, habe ich auch schon mitbekommen, ging meine ich tunneling
oder so ähnlich.
Ja. Geht um alles mögliche.
Frage hierzu, kann das auch jeder?
Nein. Aber es reicht doch, wenn as ein Virenbsatler oder Software-Hersteller implementiert.
Wovor genau willst Du Dich schützen?
Sebastian
Salute
Ich?
Warum nicht?
Danke
Ja, habe ich auch schon mitbekommen, ging meine ich tunneling
oder so ähnlich.
Oder leaking?
Frage hierzu, kann das auch jeder?
Nein. Aber es reicht doch, wenn as ein Virenbsatler oder
Software-Hersteller implementiert.
Ist es denn schon soweit?
Wovor genau willst Du Dich schützen?
Gute Frage!
Sebastian
Frage auch an dich, unabhängig von deiner Meinung das
PFs sinnlos sind:
Wäre es sinnvoll wenn PFs statefull inspection könnten?
Oder wäre das ganze nur als Verschlimmbesserung zu sehen?
Die die meisten User vom Wissen her, ich denke auch mich,
bei der Konfiguration überfordern würden.
Naja, ich hänge nur meinen Gedanken nach 
Solong
Robert
Ja, habe ich auch schon mitbekommen, ging meine ich tunneling
oder so ähnlich.Oder leaking?
Wie auch immer man es nennen mag…
Frage hierzu, kann das auch jeder?
Nein. Aber es reicht doch, wenn as ein Virenbsatler oder
Software-Hersteller implementiert.Ist es denn schon soweit?
Der „Proof-of-concept“ existiert zumindest. Und was möglich ist, wird eingebaut. Das zeigt die Erfahrung…
Wovor genau willst Du Dich schützen?
Gute Frage!
Nun ja, die Frage ist in der Tat sinnvoll (und zwar in der Form, daß sie als allererstes beantwortet werden sollte) bevor man über die sinnhaftigkeit irgendeiner Massnahme diskutiert.
Frage auch an dich, unabhängig von deiner Meinung das
PFs sinnlos sind:
Wäre es sinnvoll wenn PFs statefull inspection könnten?
Weil Personal Firewalls sinnlos sind halte ich jedes Feature für nicht sinnvoll.
Die die meisten User vom Wissen her, ich denke auch mich,
bei der Konfiguration überfordern würden.
Auch das ein springender Punkt. Wenn man nicht weiß, was man tut, ist die ganze Aktion sinnlos.
Naja, ich hänge nur meinen Gedanken nach
Das ist ein guter Start.
Du wirst weiterlesen? Gut!
Sebastian
Wenn Du viel Geld besitzt’s:
2 Firewalls in Reihe schalten.
Stateful inspection (FW-1) und dann die Appl. Gateway (Raptor)
So machen es die Banken.
Ralf
Wenn Du viel Geld besitzt’s:
2 Firewalls in Reihe schalten.
Stateful inspection (FW-1) und dann die Appl. Gateway (Raptor)So machen es die Banken.
nein, nicht nur 2!
und es sind andere…
man kann uebrigens auch ohne $$$ akute paranoia implementieren. ne filtering bridge auf openbsd/(ipf|pf) basis und dahinter nen reverse proxy auf apache basis oder gar zwei apache proxies back to back. im apache kann man mit mod_rewrite schon ne menge sicherheit reinbringen, die ganzen url buffer overflows, mit denen ein gewisses m$ produkt immer wieder erstaunt kann man damit recht nett erschlagen…
joachim