13. februar 2002 - 15:30Der er
7 kommentarer og 2 løsninger
Firewall ON/OFF
daws, jeg har lige et spørgsmål du måske kan hjælpe mig med: JEg har bredbånd ADSL fra TDC installeret normal med ATM-kort (og alle spil fungere normalt online) så fik jeg en SPEEDSTREAM 5781 ROUTER (som skal opgradere min internet-speed) jeg tilsluttede den og den virkede :) MEN! så prøver jeg at spille online Flight simulator 2002 PRO EDITION men den kan IKKE finde nogen servere... Jeg har spurgt et par stykker på internettet og de siger det PGA. jeg har en firewall, men jeg ved ikke om jeg har en??? hvordan kan jeg vide det?? og hvordan kan jeg slå den ON/OFF ???
der findes grundlæggende 4 typer firewall. Den der sidder i TDC's router hedder ACL-lister.....
Her følger en forklaring taget fra mit afgangsprojekt:
ACL/Active Control Lists
En ACL-liste er en række instruktioner baseret på forskellige specifikationer, kildeadressen, destinationsadressen eller portnumre, som tilføjes i en router-konfiguration for et bestemt interface og ip-adresse med det formål, at: · Sikre filtrering af traffik. Kan eksempelvis blokere visse former for Internet trafik · Anvende sekventielle lister med enten ”permit” eller ”deny” sammen med ip-adressen eller de højere liggende protokoller, til at sortere datatrafik fra specifikke områder.
Cisco ACL´s virkemåde: · De kontrollerer pakken og “upper-layer headers” · De sammenholder pakken med hver enkelt betingelse som routeren er konfigureret til, og i den rækkefølge betingelserne er givet. · ACL´s arbejder i sekventiel og logisk rækkefølge
Inbound Traffic: En router med en inbound ACL som kontrollerer hver enkelt pakke i henhold den den betingelse som er konfigureret før den sendes videre til en ”outbound interface”. Outbound Traffic: Mere effiktiv end inbound filter, og derfor foretrækkes disse.
De mest benyttede ACL-lister er IP standard fra 1-99, og Extended IP fra 100-199.
Teknikken bag Cisco ACL´s: Listerne kan skabes ved hjælp af Wildcard Mask Bits som består af fire oktetter, altså 32-bit i alt. Værdien ”0”i binær betyder at tilsvarende/matchende bit skal kontrolleres, og værdien ”1” betyder at tilsvarende/matchende bit skal ignoreres, dvs. denne skal blot passerer routerens interface. Wildcard Mask Bit´s bliver sammenholdt med en IP-Adresse, “0” og “1” betyder hvordan den tilsvarende IP-Adresse skal behandles og identificeres, skal disse godkendes (permit) eller forbydes (deny).
Eksempel på en standard ACL-liste: En ACL-liste som kunne holde styr på kommunikation fra de 2 segmenter og Internettet vil evt. kunne se ud på denne måde:
access-list 101 permit tcp any any eq020 #File Transfer [Default Data] access-list 101 permit udp any any eq020 #File Transfer [Default Data]
access-list 101 permit tcp any any eq021 #File Transfer [Control] access-list 101 permit udp any any eq021 #File Transfer [Control]
access-list 101 permit tcp any any eq025 #Simple Mail Transfer (SMTP) access-list 101 permit udp any any eq025 #Simple Mail Transfer (SMTP)
access-list 101 permit tcp any any eq053 #Domain Name Server access-list 101 permit udp any any eq053 #Domain Name Server
access-list 101 permit tcp any any eq080 #World Wide Web HTTP access-list 101 permit udp any any eq080 #World Wide Web HTTP
access-list 101 permit tcp any any eq109 #Post Office Protocol - Version 2 (POP2) access-list 101 permit udp any any eq109 #Post Office Protocol - Version 2 (POP2)
access-list 101 permit tcp any any eq110 #Post Office Protocol - Version 3 (POP3) access-list 101 permit udp any any eq110 #Post Office Protocol - Version 3 (POP3)
access-list 101 deny any any #Luk for alt andet trafik!
Skulle måske lige nævnes at det også kunne være statefull inspection.........her er en lidt grovere forklaring om firewall's:
Pakkefilter
Pakkefilter er den simpleste form for firewall Pakkefilter kan både være software og implanteret i en router, som software er det somregel en maskine med 2 netkort i 1 med den offentlige ip-adresse ud af til og den anden indad til mod LAN. En pakkefilter filtrer på :
· Indgående og udgående ip-adresser. · Indgående og udgående portnumrer. · Indgående og udgående lag 4 protokoller som TCP/UDP/ICMP ogTFTP
Pakkefilter har også NAT – network address translation dvs. at den omdøber en offentlig ip-adresse til flere private ip-adresser så det bagved liggende netværk bliver skjult.
Sessions Proxy
For at få en bedre forståelse af Proxy betyder det stedfortræder. Det en sessions proxy gør, er at skabe en forbindelse fra klient på intranetet ud til firewallen og derefter kontroller om alt forgår korrekt ved oprettelsen af forbindelsen til det åbne net. En sessions proxy :
· Videreformidler TCP forbindelse · Kan indeholde nat · Kan ikke bruge UDP
En sessions proxy er lidt mere sikker end pakkefiltre da den videreformidler forbindelsen mellem afsender og modtager dvs. at der ikke er fri gennemgang som der er i en pakkefilter.
Applikations proxy
Applikations proxy arbejder på lag 7 i OSI modellen altså applikationslaget. Denne form for firewall defineres som den firewall der er sværest at komme igennem. Ligesom sessions proxyen går den det at den ikke laver direkte forbindelse mellem intranettet og det åbne net dvs. alt kommunikation forgår med firewallen som stedfortræder. Applikations proxy :
· Kan se hvilken applikation den snakker med · Kan indeholde FTP/http cache · Har mulighed for at bruge validring · Kan lave avanceret log funktioner
Der er en forskel mellem sessions- og applikations proxyen arbejder på. Appilkations proxyen fortager kald og svar på vegne af applikationerne som kan være http, snmp, ftp eller lignende. En applikations proxy giver også mange flere muligheder for at udspecificere brugen af nettet dvs. at man kan programmere proxyen til at man kun kan hente data via ftp og ikke hente med ftp det er en stor fordel i et firma hvor man har vigtige dataer som ikke må komme ud at firmaet via nettet. Det kan lige såvel laves bestemmelser på hvor store data mængder der må sendes pr. dataoverførelser. Applikations proxyen er for så vidt den mest sikre firewall på markedet men den har også sine dårlige sider da det er en meget tung program som kræver en del programmering, vedligehold og hardware ressourcer.
Stateful Inspection
Stateful Inspection er så vidt en videre udvikling af en pakkefilter. Denne videre udvikling består af at den kan holde øje med rækkefølgen på datapakkerne. Den kontrollere pakkerne ved at sammenligne dem med tidligere og efterfølgende i samme session.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
