Waldemar Brodkorb <[EMAIL PROTECTED]> writes:
> > Stateful Filter sind erstmal reine Spielerei und haben neben ein paar
> > Vorteilen in Spezialbereichen erstmal auch eine paar Nachteile
> > (fehleranf�lliger in der Implementierung, Anf�llig gegen DoS-Angriffe).
>
> reine Spielerei? nur Vorteile in Spezialbereichen? Und auch noch
> Nachteile?
> Kannst du deine Ausf�hrungen in irgendwelcher Form belegen?
Nun, die Grundregel f�r eine Firewall lautet: So simpel wie m�glich. F�r den
Hausgebrauch reichen bei stateless Filtern normalerweise eine handvoll
Regeln. Damit ist das Regelsystem recht einfach und �bersichtlich. Die
Implementation des stateless Filters ist ebenfalls relativ einfach und damit
wenig fehleranf�llig.
Ein stateful Filter soll helfen sehr komplizierte Regelsysteme zu
vereinfachen. Damit w�re das Aufstellen der Regeln f�r Benutzer/Admins
leichter. Im Gegenzug wird aber die Implementation komplizierter und damit
fehleranf�lliger, man verlagert also bei komplexen Regelsystemen die
Fehleranf�lligkeit von den benutzerdefinierten Regeln in den Filterkern und
bei entsprechend komplexen Regelsystemen macht das auch Sinn, nicht aber bei
relativ einfachen Regelsystemen.
Bei relativ einfachen Regelsystemen kann man diese nicht nennenswert durch
stateful Filterregeln vereinfachen (von max. 40-60 Regeln reduziert auf
vielleicht max. 5-20 Regeln z�hle ich hier als keine nennenswerte
Vereinfachung). Man hat aber dennoch den Nachteil der komplizierten,
fehleranf�lligen Implementation, so dass insgesamt, bei eh schon einfachen
Regelsystemen, das Gesamtsystem aus Filtersoftware und Regeln komplizierter
und fehleranf�lliger ist und damit eben unsicherer (als f�r Firewalls sehr
kontraproduktiv).
Dann sind da noch ein paar Spezialf�lle, die man mit stateful Filtern besser
in den Griff bekommt oder mit stateless Filtern praktisch gar nicht abdecken
kann. Dazu geh�ren Probleme wie aktives FTP, auf das man f�r den Hausgebrauch
aber gut verzichten kann (FTP-Server-Betreiber haben da schon viel eher
Verwendung f�r stateful Filter). Es gibt weitere Beispiele dieser Art, die
aber i.d.R. noch exotischer sind als das FTP-Beispiel (z.B. dieses Netshow
oder so �hnlich von MS -- klar, mit stateful Filtern kann man das einigerma�en
ordentlich durchlassen, sofern der Filter das Protokoll unterst�tzt, aber wer
das einsetzt, ben�tigt eigentlich keine Paketfilter mehr, der ist dar�ber so
angreifbar, dass der Filter v�llig uninteressant ist; �hnliches gilt
allgemein, denn was bringt mir der tolle Paketfilter, der nur HTTP durchl�sst,
wenn ich im Browser alles von Cookies �ber Java bis ActiveX aktiviere --
richtig, n�mlich exakt gar nichts, die M�he kann ich mir dann sparen).
Als Grundregel gilt �brigens: Wo keine Dienste lauschen, brauche ich auch
keinen Paketfilter.
Ach ja, noch ein Nachteil der stateful Filter: Sie m�ssen sich die Zust�nde
der aktiven Verbindungen merken. Ein Angreifer kann jetzt k�nstlich sehr viele
Verbindungen erzeugen und so die Zustandstabellen des Filters zum �berlaufen
bringen. Damit kann der Filter keine neuen Verbindungen verwalten und lehnt
diese daher ab -> DoS-Angriff. Allerdings ist dies f�r den Hausgebrauch kein
so ganz gro�es Problem, da man z.B. �ber eine ISDN-Verbindung die Tabellen des
Filters nicht ganz so leicht zum �berlaufen bringt (bei DSL sieht das schon
wieder etwas anders aus).
Und was will man als normaler Nutzer, der nicht gerade Serverfarmen betreibt,
schon sch�tzen resp. filtern? UDP-Verkehr bis auf DNS komplett (geht mit
beiden Filterarten gleich schwer oder leicht), Zugriff auf priv. Ports
(0-1023, evtl. au�er DNS) von au�en blocken (geht bei beiden Filtertypen
gleich leicht) und eingehende Verbindungsanfragen auf die unpriv. Ports
sperren (geht wieder bei beiden Arten etwa gleich leicht). Man spart also bei
diesem Szenario vielleicht 2-5 Regeln bei Verwendung eines stateful Filters,
erkauft sich diese Ersparnis aber mit einer sehr viel komplexeren und damit
fehleranf�lligeren Basissoftware.
Deshalb sagte ich, dass stateful Filter nicht nur Vorteile haben.
--
Until the next mail...,
Stefan.
--
-----------------------------------------------------------
Um sich aus der Liste auszutragen schicken Sie bitte eine
E-Mail an [EMAIL PROTECTED] die im Subject
"unsubscribe <deine_email_adresse>" enthaelt.
Bei Problemen bitte eine Mail an: [EMAIL PROTECTED]
-----------------------------------------------------------
795 eingetragene Mitglieder in dieser Liste.
