hjælp til firewall begreber

En applikations proxy/circuit relay filtrere på mange flere parametre og kikker på datagrammerne meget højre oppe i OSI's referense modell, hvorfor en sådan firewall, dels sikre mod nogle at de mere hardcore hackermetoder, som f.eks. IP spoofing, session hijacking, man-in-the-middle og den slags.

Disse typer vil altid køre på en seperat box, det giver også den bedste sikkerhed, at der ikke er andet installeret på firewallen, der kan have huller. Styresystemet på disse bokxe er oftest properitært eller bygger på en ændret linux kernel.

XP's firewall tror jeg ikke har stateful inspection, jeg placere den selv sammen med nortons. mcafee, sygate, zonealarm.

Jeg deler selv firewalls op i tre niveauer. 1. personlige software firewalls og pakke filtrerings routere. 2. statefull inspection firewall som zywall og Elron, 3. Applikations proxyer som Velociraptor, firewall 1, osv

jeg har læst at xp firewall gemmer en tabel over afsendte pakker, og dermed kun vil reagere på pakker fra en indefra initaliseret kommunikation - er det ikke det man mener med statefull ?

og lige en ting mere... hvad kategori placere du norton, zonealram, osv i ? de er trods alt mere end simple pakkefiltre ?

Hvis XP firewall gør dette, så er det, i hvert tilfælde en slags, statefull inspection, Har du nogle referenser, jeg kikker selv efter senere om jeg kan finde noget om dette.

Mht samplacering af de personlige firewalls med pakkefiltrerings routerne, skyldes det et ønske om at simplificere begreberne, teknisk giver de personlige mere end en pakkefiltrerings router, tilgengæld er de installeret på den maskine de skal beskytte. Jeg opfatter sikkerhedsniveauet som værende ens. Jeg forvendter ikke mere sikkerhed fra en personlig firewall end fra en pakke filtreringsrouter

jeg fandt oplysninger under hjælp i XP, men nu ved jeg ikke om du kører xp ?
Så her er et lille uddrag....

**
Sådan fungerer Firewall til Internetforbindelse (ICF)
ICF betragtes som en "kraftig" firewall. En kraftig firewall er en firewall, der overvåger alle aspekter af de kommunikationsformer, der krydser dens vej, og kontrollerer kilde- og destinationsadresserne på hver meddelelse, den håndterer. Hvis du vil forhindre uopfordret trafik fra den offentlige side af forbindelsen i at trænge ind i den private side, opretter ICF (Firewall til Internetforbindelse) en tabel over al udgående kommunikation, der stammer fra ICF-computeren. Hvis det drejer sig om en enkelt computer, registrerer ICF trafik, der stammer fra denne computer. Når ICF bruges sammen med ICS, registrerer ICF al trafik, der stammer fra ICF/ICS-computeren og al trafik, der stammer fra computere på det private netværk. Al indgående trafik fra Internettet sammenlignes med indholdet af tabellen. Indgående Internettrafik når kun frem til computerne i netværket, hvis der er tilsvarende data i tabellen, der viser, at kommunikationen blev påbegyndt i din computer eller det private netværk.
**

Det er en slags stateful inspection, om det er fuld stateful inspection kikker jeg lige på på mandag, der har jeg adgang til en håndfuld forskellige hardcore eksperten på mange forskellige områder

Lad mig se om ikke jeg måske kan kaste lidt lys over sagen :-)
Fire walls findes i to kategorier hardware / software og disse kan deles i 4 underkategorier Applikatiosgateway / Pakkefiltrering / Kredslødsniveau / Stateful inspection.

Applikationsgateway kaldes ofte for proxy-firewalls. Disse firewalls filtrerer ud fra IP-adresser og den funktion (port) som et program forsøger at udføre. Firewalls med applkikationsgateway kan eksempelvis forhindre bestemte apps. som f.eks. Netmeeting, PcAnywhere eller FTP i at komem igennem eller den kan tillade bestemte programmehandlinger , mens andre blokeres f.eks FTP-sted hvor det tillades at up-loade men ikke at kigge i andre mapper.
McAfee,Blackice defender, Zonealarm rummer alle egenskaber fra applikationsgateway modellen.

Pakkefiltrering er designet til at overvåge pakker ud fra deres IP-adresser og til kun at tillade pakker fra bestemte IP-adresser.
Dette er en meget "tung" og krævende type firewall som kræver meget arbejde og ofte er uegnet til hjemmebrug da man normalt har "brug" for at surfe på tilfældige IP-adresser (websider).

Kredsløbsniveaufirewalls tillader trafikstrøm tol og fra påforhånds godkendte IP-adresser, netværk, isp´r. så snart der er etableret en netværks forbindelse mellem brugerne på hver side af firewallen tillades resten af pakkerne at flyde ukontrolleret igennem routeren.

Firewalls med statefull inspection nøjes ikke med bare at inspicere pakkernes IP/port adresse, den analyserer pakkens indhold.
Firewalls med stateful inspection forsøger at afgøre typen af de data der overføres.
Hvis data ses som "ufarlige" får de lov at passere.

Hvis du ønsker yderlige information vil jeg foreslå at du investerer 79Kr på at købe et eksemplar af Firewalls på pcén som er skrevet af Jerry Lee Ford og bliver udgivet af forlaget IDG.
Det er et rigtig godt lille hæfte som jeg klart kan anbefale.

Håber du kunne bruge mine svar til noget

Mvh Zmeu

Det er en fin og god beskrivelse du der giver og dermed belyser du faktisk hovedproblemet i denne brance.

Begreberne er ikke standardiserede og forstås lidt forskellige alt efter hvem man læser og spørger. Jo mere forskelligt man læser jo højere et niveau bliver man forvirret på. Jævnligt opstår der nye begreber, der så adobteres forskelligt af de forskellige fabrikanter.

For en router fabrikant er det jo en væsentlig salgsparameter at kunne sige at hans router indeholder en firewall, og at denne firewall f.eks. har mulighed for dmz, selvom der ikke er tale om dmz i oprindelig forstand, men "bare" en udpegning af en IP adresse der låses i forhold til de andre.

Når man studere sikkerhed og firewalls, skal man være forberedt på at ting opfattes forskelligt og begreber bruges forskelligt. Jo flere forskellige bud man så læser, jo bedre bliver man i stand til at opsætte sin egen forståelse af hvordan tingene hænger sammen.

Jeg vil også investere i det nævnte hæfte og dermed få endnu et bud

tak for den fine forklaring ZMEU, jeg har faktisk hæftet du snakker om og har brugt det en del - jeg kan se at deine forklaringer primært kommer fra dette hæfte :)

Det er dejlig med lidt faglige diskussioner om emner, hvor jeg kan forstå at det ikke kun er mig som har svært ved at identificere de forskellige typer...

Når du og hæftet mener at norton osv. indeholder lidt application gateway har jeg et spørgsmål... skal en application gateway og circuit relay ikke installeres på en seperat maskine for at opnå den største gevins - nemli ad adskille den direkte kommunikation og lade den ske igennem proxyen ??

Og ang. stateful, så er jeg helt endig i at den er istand til at analysere pakkers indhold, men skal den ikke også kontrollere om kommunikation er startet "indefra" og gemme oplyser om dette ??

Dennis

Norton vil selvfølgelig blive glade over at nogen betragter deres personlige firewall lidt som en applikations gateway. Den holder ikke. jeg er ikke helt sikker på, at jeg kan forklare hvor, men det bliver jeg på mandag og så vender jeg tilbage.

Du kan altid søge på: http://www.it-leksikon.dk

Her er hvad der står om virus virus


  programkode, der er skrevet så den kan kopiere sig selv - i modsætning til en trojansk hest - og ofte med den hensigt at ødelægge data på brugerens computer.

Kan opdeles i fire forskellige hovedgrupper:
- filvirus
- bootsektor-virus
- makro-virus
- worm.
Hvis man vil beskytte sig, må man bl.a. installere et antivirus-program, en Firewall m.v.
Forskellen på worm og virus er, at ved virus er man nødt til at gøre noget aktivt for at pådrage sig - fx åbne et inficeret dokument. Ormen kan derimod selv finde nd i pc´en.

Ja det kan godt være lidt svært at finde rundt i de forskellige begreber.

Jo jeg mener helt klart at det altid vil være at foretrække at placere sin firewall på en "dedikeret" maskine.

Det jeg ser som den optimale løsning er at placere sin router/gateway som det første led udefra.
Og umiddelbart efter den placerer man en firewall på en såkalt bastions server.
Dette indvirker at en eventuel hacker skal igennem 2 "firewalls" (som selvfølgelig skal være 2 forskellige typer)
Det er lidt svært at forklare hvad jeg mener uden muligheden for at tegne, men jeg håber du forstår hvad jeg mener.

Angående om stateful inspection kontrollerer hvorvidt sessionen er startet indefra eller udefra må jeg være dig svar skyldig.

Men hvis du eller andre finder noget dyberegående materiale om emnet vil jeg da meget gerne vide det, da jeg synes det er et spændende emne.

Mvh Zmeu

Jeg er jo ansat i en stor koncern med over 22.000 ansatte og ca. 16.000 af dem p vores netværk. Vi har i organisationen en forskningsafdeling, der bl.a. forsker i netværkskommunikation ig sikkerhed. Jeg har talt med seniorforskeren udi dette spændende emne og vil her forsøge at viderbringe hans udlægning.

Hvordan firewalls klassificeres og benævnes aghænger i høj grad af synsvinkel. Grundlæggende kan man se på firewalls ud fra en teknisk-, en salgsmæssig, en hackers-, en anvendelsesmæssig syngspunkt. Forskerens synsvinker er grundlæggende teknisk, men en anvendelsesmæssig synsvinkel er forsøgt indført også.

Teknisk opdeles firewalls efter hvor meget af datagrammet (pakken) de kan kontrollere og der findes to typer firewalls nemlig Pakkefiltrerings firewallen og applikationsgatewayen/proxyen.

Pakkefiltrerings routeren/firewallen kan kontrollere pakkerne til og med 3. lag i OSI's referencemodel. Derer tale op header informationer, flag, porte afsender og modtager information og den slags.

Applikations proxyen kan kontrollere pakkerne helt op til 7. lag i OSI,s reference model. Hermed kan pakkernes indhold kontrolleres og firewallen kan beskytte mod forskellige former for angreb f.eks. bufferoverflow, angrev med defecte sync datagrammer og andre former for angreb, hvor pakkens indhold bruges. En applikations proxy SKAL indeholde en proxy for hver type kommunikation man ønsker at kontrollere, typisk indeholder de proxyer for http, ftp, smtp, pop, icmp, hvis man f.eks. pludselig ønsker at køre imap gennem sin firewall, skal en imap proxy indkøbes og installeres på firewallen )(jeg betragter disse proxyer lidt som plugins til firewallen, men der er faktisk ofte tale om selvstændige moduler der arbejder sammen med resten af applikationsproxyen)

Når vi så har talt om disse to typer, er der nogle teknologier der falder lidt mellem disse to, her f.eks. Stateful inspection. Således kan man få både pakkefiltrering med stateful inspection og på applikations prosyen vil det ofte være stqandard.

Begrebet personlig firewall knytter sig til det sted firewallen er installeret. Hvis den er installeret på den maskine man ønsker at beskytte, er der en personlig firewall. Der kan så være tale om en personlig firewall af typen pakkefiltrering, pakkefiltrering med stateful inspection eller en applikationsproxy.

Nu går jeg så over til min egen synsvinkel, der er hackerens set indefra. Jeg opdeler dem efter hvor god sikkerhed de giver og hvor lette de er at gennembryde.

Mit første niveau med pakkefiltreringsrouteren og den personlige firewall er lavet udfra at de fleste gratis personlige firewalls man støder på er at typen pakkefiltrering. Det faktum at den personlige firewall er installeret på den maskine den skal beskytte gør det meget lettere for en hacker, da strukturen på nettet er afsløret. Sagt på en anden måde så har hackeren allerede fat i maskinen hvis firewallen er installeret på den. En firewall bør altid være bastion og nettets struktur bør altid skjules gennem NAT

Mht stateful inspection så holdes styr på sessioner både indefra og udefra. Dette sikre mod IP spoofing eller IP hijacking hvor en forespørgsel kommer udefra fra en ip adresse mends svaret skal leveres til en anden ip adresse. Dette vil stateful inspection stoppe.

Idet vi nu nok er forvirret på et højere niveau og jeg meget åben for fortsat diskussion og afklaring med forskningstjenesten

så er den store dag overstået og jeg har været til eksamen i valgfaget datasikker på 4.semester datamatiker uddannelse !
Jeg har været meget glad for de rigtig gode indlæg og jeg scorede mig et flot 10-tal som jeg er megt glad for.

1000 tak for hjælpen med at få præciseret de forskellig typer firewalls osv. - det er dejligt at folk vil hjælpe !

Med venlig hilsen
Dennis