hvilke angreb bliver stoppet?

Forskellen på de to er at applikations niveau firewallen kan kikke på indhold af datagrammer, og dermed f.eks. stoppe pakker med farligt undhold. Således kan en applikationsprozy sikre med bufferoverflow, modificerede icmp-pakker og andre af denne type.

Hvad en pakkefiltrerings router kan stoppe afhænger f.eks. af om den er med stateful inspection eller ej, med stateful inspection kan IP spoofing, ip hijacking og man-in-the-middle angreb også stoppen.

Helt generelt kan pakke filtrering klare de ting der bevæger sig til og med niveau 3. i osi's referencemodel, applikations proxyen går holt op til applikationslager (lag 7.) og får dermed meget mere med

Du skal dog have med at for at en applikations proxy kan filtrere skal den have/indeholde en proxy for den kommunikation der skal kontrolleres. De fleste proxyer har standard proxy for web (http), mail (smtp og pop3) og ftp. hvis du f.eks. vil køre ICQ igennem, skal di have fat i en ICQ prozy til din firewall. Jeg opfatter lidt disse proxyes som plugins elller tilføjelser, da de faktisk er selvstændige moduler

tak. vil det så sige at pakkefiltrering uden stateful inspection ikke kan stoppe noget? hvad med denial of service?

Pakkefiltrering med (og uden) stateful inspection, vil kunne stoppe nogle former for DOS angreb, men ikke de former der anvender insertion af kode, altså f.eks. bufferoverflows, ICPM atack (ping of death), sql insertions og den slags, der skal du op på applikations niveau. Men f.eks Sync flodding (pakke filtrering kikker på IP headeren, og dermed sync flaget) og andre former for flooding ved hjælp af blokkering af IP adresser og den slags.

Generelt kan du ikke regne med at en pakkefiltrerings router/firewall, heller ikke med stateful inspection, giver sikkerhed nok til at ståppe DOS og det der er værre

Her kan du læse noget om forskellen mellem pakke filtrerion og applikationsproxy, læs mine svar

http://www.eksperten.dk/spm/363315
http://www.eksperten.dk/spm/363366

Diskusjoner om sikkerhet her på experten har vel en liten tendens til å bli lukket før de er egentlig kommet i gang.

En del av den argumetasjon som setes fram her på eksperten har jo nesten et motsatt innhold i forhold til det som framgår av en del faglitteratur og det finnes i liten grad noen begrunnelse hvorfor ting skulle fungere slik som det hevdes.

Det blir gjennomgående heller ikke beskrevet noen laboppsett eller hvordan man eventuelt har verifisert at tingene fungerer slik som det hevdes.

Henger ikke det hele av denne grunn litt i løse luften hva argumentasjon anngår ???

Uten å ha trukket noen sikker konklusjon i hverken den ene eller den annen retning så mener jeg at det saktens kan argumenters for at tingene kanskje ikke forholder seg eksakt slik som beskrevet over og at sannheten kanskje er en litt annen. Innenfor området datasikkerhet og firewalls så er vel på den annen side de fleste sannheter ikke absoltte og endelige, men men heller relative og midlertidige.

Det ville ha vært veldig hyggelig om vi til en forandring kunne føre diskusjonen et lite stykke vei før den ble avsluttet.

Jeg tror at det kanskje kan tenkes at de konklusjonene som står over kanskje ikke i et hvert tilfelle er riktige.

Jeg kan sagtens se hvad Langbein mener, da jeg synes der hersker stor forvirring omkring terminologien på lige præcis dette emneområde inden for IT-sikkerheden. Har læst utrolig meget om emnet de sidste par uger, og jeg synes at jo mere man læser, jo mere bliver man forvirret. Dette passer jo meget godt overens med at der ikke er nogen endegyldig sandhed, men i stedet en lidt løs terminologi, hvilket gør det vanskeligt for novicer som mig at finde rundt :) Det er i bund og grund et fortolknignsspørgsmål hvad der bliver beskyttet, og hvilke indelingskriterier man vil anvende til inddelingen af de forskellige firewall typer.

Jeg har været til eksamen i dag i emnet, og fik et 9 tal, som jeg er meget glad for.
Jeg lærte her, i modsætning til hvad jeg egentlig troede jeg havde læst mig til, at en proxy gateway ikke klassificeres som en hardware firewall, på trods af at det er en terminal der placeres udenfor ens lokale netværk. Denne terminal er dog ikke andet end en lang række software, der hjælper terminalen med filtreringen, hvilket gør at den faktisk anses som en software firewall. Den eneste firewall min underviser vill klassificere som en hardware firewall er en screening router, som i sig selv ikke er en firewall, men som udfører mange af de samme opgaver, da denne er pakket med hardware.

De emner man skal koncentrere sig om i forbindelse med firewalls er filtreringen, og hvor i OSI's referencemodel denne foregår. Herefter kan man så begynde at tale om de forskellige firewall typer og arkitekturer, og hvilken beskyttelse disse yder.

Nå, nu gider jeg ikke mere, og vil sole mig lidt mere i mit 9-tal ;) 
Tak for hjælpen til BZ og Langbein, jeg har lært meget af jer.
BZ du har oprettet svar, så pointene er på vej til dig, og har vist også sørget for point til Langbein i tidligere spørgsmål :)

Langbein har giver ret i mange tilfælde, det skyldes ofte at derer flere forskellige måder at se tingende på afhængig af synsvinkel og dagsorden. Faget er i den grad forvirret af salgsbegreber fra forskellige sikkerhedsproducenter der alle gerne vil give det indtryk at lige netop deres produkt er sikkert nok, og mindst lige så sikkert son konkurrenten der anvender en lidt anden teknologi og som kalder sine ting noget andet.

I tilfældet af dette spørgsmål, er det dog min opfattelse at ovenstående konklusioner er rigtige. Hvis du ligger mærke til det taler jeg kun om filtrerings teknologien og ikke om hvilken platform denne teknologi kører på. Det er ofte min erfating at tingene bliver forvirrede, når man begynder at sammenblande ren teknologi, platform, arkitektur, topologi og så iblander lidt salgsretorik fra foirskellige producenters hjemmesider.

Ja, liker godt å diskutere. Det er ellers ikke slik at jeg mener å ha patent på å ha rett. Det som bekymrer meg mest med min egene firewall kunskaper det er at de bøkene som jeg hovedsaklig baserer meg på er fra 2001. Det som er rimelig sikkert det er at det som står i disse bøkene før eller siden blir feil. Det gjelder liksom å oppdage det når det skjer og så få de nye bøkene som beskriver den nye situasjonen på plass. Prøver å følge med fortløpende men har foreløpig ikke oppdaget noen titler som liksom beskriver "det helt nye".

By the way:

"Den eneste firewall min underviser vill klassificere som en hardware firewall er en screening router, som i sig selv ikke er en firewall, men som udfører mange af de samme opgaver, da denne er pakket med hardware."

Ingen hardware firewall kan fungere uten et operativsystem ved hjelp av software. Man kan for eksempel lage en firewall ved hjelp av en embeddet Linux løsning med operativsystemet og firewall software lagret i en minnebrikke.

Man kan også lage den ganske likt ved hjelp av Linux på en PC.

Arbeidsfordelingen mellom software og hardware er jo identisk helt lik (??!!)

Hvor i ligger den prinsipielle forskjellen, hva sier underviseren om dette ??

Skolen er vel det aller siste man skal tro på ?? He,he ... :)

he he, helt enig :)
Jeg tror det han mente var, at det som i en ekstern terminal som en proxy der udførte jobbet som firewall var den indlagte software, hvorimod det er hardwaren i en screening router der agerer som firewall.

"hvorimod det er hardwaren i en screening router der agerer som firewall."
Nei det gjør den vel faktisk ikke ???!!! :) ?
Teoretisk sett så skulle man vel kunne lage noe digital eller sekvensiell logikk basert på en skog med logiske porter, men det finnes vel ikke i den praktiske verden (???) -- så en firewall er en datamaskin med software uansett (???!!!)

Bufferzone -> Jeg har noen bøker om datasikkerhet og firewalls. Noen av den synes jeg er viktigere enn de andre.

Når det gjelder basik prinsipper for design og funksjon for firewalls så holder jeg denne som nummer 1:
http://www.oreilly.com/catalog/fire2/toc.html?CMP=IL7015

Når det gjelder basic prinsipper for hvordan man utnytter svakheter i nettverk og firewalls og slike ting, så holder jeg denne for å være no 1 (den til venstre av de to):
http://www.hackingexposed.com/

I motsetning til mye av det som man ellers leser om disse tingene så synes jeg disse bøkene beskriver tingene med en nærmest matematisk presisjon. Beskrivelsene er også slik at det er lett å sette opp labopsett og teste ut tingene slik som de står beskrevet. Linux inneholder ellers stort sett alle de konfigurerings og firewall funksjonsmuligheter som står beskrevet.

Når det gjelder funsjonsbeskrivelser av hvordan et packet filter fungerer kontra en proxy firewall så er jo de prinsippene som beskrives i disse bøkene ganske forskjellig i forhold til det som hevdes her på eksperten.

Det er ikke dermed sagt at det som står her er feil, for verden forandrer seg hele tiden og de utgavene av disse to bøkene som jeg sitter på de er fra henholdsvis år 2000 og 2001. Det er fantastiske bøker begge to fordi de forklarer tingene på en slik måte at nærmest all uklarhet forsvinner.

Her er forresten også bok no 3 som jeg benytter meg en hel del av (Utgitt 2001):
http://www.linux-firewall-tools.com/linux/
Den er jo egentlig om og for linux, men den inneholder også mye generelt.

Det som uansett er rimelig sikkert det er at det som står i disse bøkene før eller senere blir feil, og i dataverdenen så er jo 3 år temmelig lenge.

Nå spør jeg ikke for å være frekk (ikke denne gang i det minste, he, he) men, buffersone, kjenner du til noen nyere tittler som for eksempel beskriver funksjonsfordelingen mellom packet filter og proxy, slik som du hevder at det forholder seg ?? Eller har du noen gode anbefalinger på bøker som bør kjøpes ??

Synes de tre jeg har nevnt er særldeles bra og jeg bruker dem til stadighet, men det dreier seg som nevnt om år 2000 og år 2001 og tiden den går jo sin gang.

Apropos innebygde avanserte firewall muligheter hos Windows 2000 (Oppdaget denne først i dag.)
http://www.microsoft.com/serviceproviders/columns/using_ipsec.asp
http://www.eksperten.dk/spm/359773