Bridging Firewall VS Routing Firewall - Netwerken

maandag 9 september 2002 11:17

Acties:

0 Henk 'm!

FreeBSD Rules !

Topicstarter

Ik zou graag de voordelen / nadelen van beide soorten firewalls op een rijtje zetten. Ik zal zelf aftrappen, ik hoop op een gezonde discussie zonder merk/distro flames.

Voordelen Bridging tov. Routing firewall:
- Snel

- Firewall is niet aan te spreken en dus niet te hacken

- Updaten is niet noodzakelijk als de machine in een veilige ruimte staat (zie punt 2) een routing firewall moet dagelijks up-to-date gehouden worden om een lek te voorkomen.

Nadelen Bridging tov. Routing firewall:
- Kan niet voor Proxy spelen

- kan niet op virussen checken

Het grote nadeel van een bridging firewall is dus dat hij alleen op een relatief laag niveau in is te zetten. verder zie ik alleen maar voordelen.

waarom word het dan zo weinig gebruikt ?
meer voor en nadelen ?

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

maandag 9 september 2002 16:50

Acties:

0 Henk 'm!

Verwijderd

Het werkt natuurlijk op een andere OSI layer (kgeloof dat de bridging op 2 zit), dus de routerende firewall heeft meer inteligentie

maandag 9 september 2002 19:19

Acties:

0 Henk 'm!

Verwijderd

wat zou ik mij moeten voorstellen bij een firewall die geen poort en/of adres rules kan toepassen ?????

maandag 9 september 2002 19:24

Acties:

0 Henk 'm!

Ooyevaar

Een bridging firewall kan je als aanvulling zien op een router :
- de router de inteligentie
- de firewall de ... eh ... firewall

Ik zou de bridge alleen toepassen als ik hardware over heb, het is toch een stukje extra machine/software/energierekening/onderhoud (?)

Yamaha FZ1 :-)

dinsdag 10 september 2002 00:16

Acties:

0 Henk 'm!

Verwijderd

Kan iemand ff een product roepen uit die bridging firewall klasse, ik kan me hier echt nog niets bij voorstellen,

dinsdag 10 september 2002 01:48

Acties:

0 Henk 'm!

Mark

Verwijderd schreef op 10 september 2002 @ 00:16:
Kan iemand ff een product roepen uit die bridging firewall klasse, ik kan me hier echt nog niets bij voorstellen,

Netscreen en Lucent (Brick) maken deze dingen onder andere. Veelal worden bridging firewalls gemaakt op basis van Linux/OpenBSD.

Voor de mensen die niet precies weten wat bridged firewalling is, begin eens met het lezen van de docs op de site van de makers van de linux kernel patches en tools voor layer 2 bridging (wat je nodig hebt voor een bridged firewall). Vooral deze moet toch een redelijk beeld geven.

dinsdag 10 september 2002 08:57

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Verwijderd schreef op 09 september 2002 @ 19:19:
wat zou ik mij moeten voorstellen bij een firewall die geen poort en/of adres rules kan toepassen ?????

Een bridging firewall kan wel port/ip/proto rules toepassen

je kunt er met openBSD een opzetten. de gebruikte firewall zal dan PacketFilter (PF) zijn.

je krijgt gewoon rules als:

code:

   # some variables
   web="10.0.0.1/32"
   shell="10.0.0.2/32"

   # allow all traffic traversing xl1
   pass  in  quick on xl1 all
   pass  out quick on xl1 all

   # block traffic on xl0 by default
   block in  on xl0 all
   block out on xl0 all

   # allow connections to the web- and shell server
   pass  in  quick on xl0 proto tcp from any to $web \
                       port = 80 flags S/SA keep state
   pass  in  quick on xl0 proto tcp from any to $shell \
                 port = { 22, 23 } flags S/SA keep state

bron: http://www.sfobug.org/pf/html/node4.html

Op een bridging firewall kun je daarintegen geen proxy/virusscanner ed installeren.

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 10 september 2002 11:10

Acties:

0 Henk 'm!

Whizzer

Flappie!

Aangezien een bridging firewall niet kan routeren, kan ie dus ook niet NAT'en, iets wat toch wel heeeeel wezelijk is. Als je (net zoals hier) met 5000 man het internet op gaat en NAT niet toegepast kan worden, dan heb je toch een redelijk aantal ip'jes nodig...

Ook moet je niet vergeten dat voor de meeste hobbyisten een router/firewall maar 2 netwerkkaarten heeft en bridging nog wel gaat, maar een firewall met 8 interfaces is toch net even iets anders...

Inderdaad is het leuk als je hardware overhebt, maar het is niet altijd even praktisch...

[ Voor 0% gewijzigd door Whizzer op 10-09-2002 16:55 . Reden: Lelijke typo's ]

Ik ben geweldig.. en bescheiden! En dat siert me...

dinsdag 10 september 2002 12:07

Acties:

0 Henk 'm!

Verwijderd

xychix schreef op 09 september 2002 @ 11:17:

- kan niet op virussen checken

wat dacht je van een snort engine die luistert op de bridge, met een flinke ruleset die checked naar virus signatures en andere bagger.

dinsdag 10 september 2002 12:34

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Whizzer schreef op 10 september 2002 @ 11:10:
Aangezien een bridging firewall niet kan routeren, kan niet routeren en dus ook niet NAT'en, iets wat toch wel heeeeel wezelijk is. Als je (net zoals hier) met 5000 man het internet op gaat en NAT niet toegepast kan worden, dan heb je toch een redelijk aantal ip'jes nodig...

Ook moet je niet vergeten dat voor de meeste hobbyisten een router/firewall maar 2 netwerkkaarten heeft en bridging nog wel gaat, maar een firewall met 8 interfaces is toch net even iets anders...

Inderdaad is het leuk als je hardware overhebt, maar het is niet altijd even praktisch...

Voorbeeld
Ik denk in een bedrijfs situatie. een bedrijf heeft een huurlijn liggen en van de sdsl-modem naar de hoofd router loopt een utp kabel. de router verdeeld ip's over subnetwerken, een server deel en een client deel waarbij de afdelingen genat worden of iets dergelijks.

ik wil een firewall tussen de modem en router..
Volgens mij is een bridging firewall de
- snelste
- goedkoopste
- onderhoudsvrijste
mogenlijkheid om een gemiddeld MKB bedrijf de beveiligen

het is alleen niet zeer uitgebreid, tenzij je echt op virussignatures kunt checken (zie hieronder)
/Voorbeeld

Verwijderd schreef op 10 september 2002 @ 12:07:
[...]

wat dacht je van een snort engine die luistert op de bridge, met een flinke ruleset die checked naar virus signatures en andere bagger.

hebbie een link / voorbeels $_/-\o_$ $_/-\o_$ zou zeer welkom zijn!

http://www.linux-tech.com...uration.html#SNORT-CONFIG
staat wel leuke snort info maar op het moment dat je een virus signature snort is het al weer door de bridge heen niet ??

je kunt hem er niet uit filteren, je kunt hoogstens de connection blocken door een rule toe te voegen...

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 10 september 2002 12:41

Acties:

0 Henk 'm!

Verwijderd

http://www.snort.org

ik heb dit weekend thuis een sparcstation5 met obsd+snort als een bridge tussen m'n modem / fw gezet. Werkt als een trein. Enige probleem is dat de ruleset voornamelijk is gemaakt voor exploits en andere ongein, en een stuk minder voor virussen. Er zijn wel virus definities voor snort, maar niet zoveel als dat beschikbaar zijn voor nomale av scanners.

Als jij mail op virussen wil checken, is het mischien een beter id om ook virusscanning software te installen op je mailserver.

dinsdag 10 september 2002 12:42

Acties:

0 Henk 'm!

Verwijderd

xychix schreef op 10 september 2002 @ 12:34:
[...]
je kunt hem er niet uit filteren, je kunt hoogstens de connection blocken door een rule toe te voegen...

helaas maar waar ...

dinsdag 10 september 2002 12:48

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

oftewel een bridging firewall is geen concurenntie voor een routingfirewall..

ze werken perfect naast elkaar

eerst de bridge om poorten/protocols/ip's te filteren (een bridging firewall is niet te hacken en hoeft niet up to date te zijn toch ?? )

deze zorg ervoor dat de achterliggende routing/natting firewall het niet zo druk heeft en dat deze nooit aangevallen kan worden, pakketjes van buitenaf met als DOEL IP de routingfirewall worden door de bridge afgemaakt.

de routing firewall filtert dan op javascript ed (Cisco PIX goed maar duur

) waarna het verkeer naar de client gaat, (kan dus ook een mailserver zijn, deze moet dan weer virussen filteren)

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 10 september 2002 12:54

Acties:

0 Henk 'm!

Verwijderd

xychix schreef op 10 september 2002 @ 12:48:
eerst de bridge om poorten/protocols/ip's te filteren (een bridging firewall is niet te hacken en hoeft niet up to date te zijn toch ?? )

Hoe kom je erbij dat een bridge niet te hacken is? Jij zult er zelf toch op in moeten loggen om de config aan te passen? Op diezelfde manier kan een hacker binnenkomen. T' is je eigen keuze, maar die doos _moet_ imo up to date zijn, al helemaal als het zo'n kritieke functie vervult (inet access)

dinsdag 10 september 2002 13:02

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Verwijderd schreef op 10 september 2002 @ 12:54:
[...]

Hoe kom je erbij dat een bridge niet te hacken is? Jij zult er zelf toch op in moeten loggen om de config aan te passen? Op diezelfde manier kan een hacker binnenkomen. T' is je eigen keuze, maar die doos _moet_ imo up to date zijn, al helemaal als het zo'n kritieke functie vervult (inet access)

De bridge heeft 2 netwerkkaarten, beide in bridge mode. al het onderhoud moet aan de console OF alle bridging firewalls (grote bedrijven) hebben een 3e netwerkkaart die aangesloten is op een apart netwerkje dat GEEN connectie heeft met internet, alle consoles zijn fysiek beveiligd..

dan is de bridging firewall toch niet te hacken ? TENZIJ de hacker zich een weg in de kluis vecht ?

---------------------
als er dan echt via het interne lan of het internet onderhoud moet worden gedaan dan moet je hem idd ook 100% up to date houden.. maar als je dan toch regelmatig moet updaten dan is het voordeel van een bridgingfirewall ook weer weg.
Neem dan een routingfirewall en houd deze goed up to date = VEEL en VEEL duurder

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 10 september 2002 13:33

Acties:

0 Henk 'm!

Profidiam

Ellenface

Dus als ik het goed begrijp, zit het zo
Bridging firewall

code:

1
2
3

PC1 ===== PC2 ===== FW ===== PC3 ===== PC4
------------------       ----------------
         Subnet 1             Subnet 2

Je hebt dus niet noodzakelijk 2 subnetten nodig, en de bridge is transparant, het lijkt alsof er een normale hub/switch tussen zit. Met als voordeel dat je layer 3 firewalling kan doen op een layer 2 switch/birdge/linuxpc

code:

PC1 : 10.0.0.1/255.255.255.0
PC2 : 10.0.0.2/255.255.255.0
PC3 : 10.0.0.3/255.255.255.0
PC4 : 10.0.0.4/255.255.255.0

Routing firewall

code:

1
2
3

PC1 ===== PC2 ===== FW ===== PC3 ===== PC4
------------------       ----------------
         Subnet 1             Subnet 2

Hier heb je 2 verschillende subnetten, die je kan gaan NATten, of waar je een proxy/virussDus als ik het goed begrijp, zit het zo
Bridging firewall

code:

1
2
3

PC1 ===== PC2 ===== FW ===== PC3 ===== PC4
------------------       ----------------
         Subnet 1             Subnet 2

code:

PC1 : 10.0.0.1/255.255.255.0
PC2 : 10.0.0.2/255.255.255.0
PC3 : 10.0.0.3/255.255.255.0
PC4 : 10.0.0.4/255.255.255.0

Routing firewall

code:

1
2
3

PC1 ===== PC2 ===== FW ===== PC3 ===== PC4
------------------       ----------------
         Subnet 1             Subnet 2

Hier heb je 2 verschillende subnetten, die je kan gaan NATten, of waar je een proxy/virusscanner op kan draaien.

Hoe ging dat dan met CIDR notatie ?

Hopelijk ben ik juist

[ Voor 0% gewijzigd door Profidiam op 10-09-2002 13:34 . Reden: CIDR ipv CIRD ]

Da RuBBaH DuCK SKWaT - Ellen what did ye do ?- een test

dinsdag 10 september 2002 13:35

Acties:

0 Henk 'm!

Whizzer

Flappie!

xychix schreef op 10 september 2002 @ 12:34:
[...]

Voorbeeld
Ik denk in een bedrijfs situatie. een bedrijf heeft een huurlijn liggen en van de sdsl-modem naar de hoofd router loopt een utp kabel. de router verdeeld ip's over subnetwerken, een server deel en een client deel waarbij de afdelingen genat worden of iets dergelijks.

ik wil een firewall tussen de modem en router..
Volgens mij is een bridging firewall de
- snelste
- goedkoopste
- onderhoudsvrijste
mogenlijkheid om een gemiddeld MKB bedrijf de beveiligen

het is alleen niet zeer uitgebreid, tenzij je echt op virussignatures kunt checken (zie hieronder)

Het mijne was ook als een bedrijfsvoorbeeld... Ik weet niet met wat voor router jij wil gaan natten, maar voor 5000 users heb je toch een stevige router nodig als die allemaal gaan natten... De prijs voor zo'n doos is net zo hoog als een stevig routerende firewall...

Feit is wel dat een bridging firewall uitermate geschikt is voor IDS, want als er iets fout gaat kun je daar nog wel wat leuke logging uit halen...

Echter gaan veel mensen snort draaien met wat leuke spulletjes zodat ie met een browser te benaderen is (zoals Demarc), dan is meteen het idee van een onbereikbare firewall (vanwege zijn bridging) omver gehakt en is ie weer gewoon te bereiken, al dan niet vanaf een derde netwerkkaart en al dan niet vanaf het internet....

Ik ben geweldig.. en bescheiden! En dat siert me...

dinsdag 10 september 2002 13:47

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Profidiam schreef op 10 september 2002 @ 13:33:
Dus als ik het goed begrijp, zit het zo
Bridging firewall
code:
1
2
3
PC1 ===== PC2 ===== FW ===== PC3 ===== PC4
------------------       ----------------
         Subnet 1             Subnet 2
Je hebt dus niet noodzakelijk 2 subnetten nodig, en de bridge is transparant, het lijkt alsof er een normale hub/switch tussen zit. Met als voordeel dat je layer 3 firewalling kan doen op een layer 2 switch/birdge/linuxpc
code:
1
2
3
4
PC1 : 10.0.0.1/255.255.255.0
PC2 : 10.0.0.2/255.255.255.0
PC3 : 10.0.0.3/255.255.255.0
PC4 : 10.0.0.4/255.255.255.0
Routing firewall
code:
1
2
3
PC1 ===== PC2 ===== FW ===== PC3 ===== PC4
------------------       ----------------
         Subnet 1             Subnet 2
Hier heb je 2 verschillende subnetten, die je kan gaan NATten, of waar je een proxy/virusscanner op kan draaien.

Hoe ging dat dan met CIDR notatie ?

Hopelijk ben ik juist

De bridge is idd 100% transparant, en de router heeft gewoon ip's

de eerste kan minder maar is sneller en makkelijker te installeren
de 2 kan meer maar is veel en veel onderhoudsgevoeliger + duurder.

CIDR notatie kan ik niet.. wasda ?

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 10 september 2002 14:06

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Whizzer schreef op 10 september 2002 @ 13:35:
[...]

Het mijne was ook als een bedrijfsvoorbeeld... Ik weet niet met wat voor router jij wil gaan natten, maar voor 5000 users heb je toch een stevige router nodig als die allemaal gaan natten... De prijs voor zo'n doos is net zo hoog als een stevig routerende firewall...

Feit is wel dat een bridging firewall uitermate geschikt is voor IDS, want als er iets fout gaat kun je daar nog wel wat leuke logging uit halen...

Echter gaan veel mensen snort draaien met wat leuke spulletjes zodat ie met een browser te benaderen is (zoals Demarc), dan is meteen het idee van een onbereikbare firewall (vanwege zijn bridging) omver gehakt en is ie weer gewoon te bereiken, al dan niet vanaf een derde netwerkkaart en al dan niet vanaf het internet....

als de machine idd op een 3e netwerkkaart te bereiken is hebbie een probleem..

en er zijn veel bedrijven die een Cisco PIX hebben staan maar die gek worden van de kosten, updates etc. dan maar niet updaten.
Of bedrijven die nooit echt serieus over firewall hebben nagedacht deze gebruiken de router die bij de huurlijn werd meegeleverd en hebben helemaal geen firewall.

Ik ken zelfs een bedrijf dat huurlijnen aan bedrijven aanbied !!
deze maken in mijn ogen de volgende fouten
- 2 dualhomed DNS servers (intern en extern bereikbaar)
- routering van private subnets naar buiten toe (houd na de eerste router wel op maar ze vinden het hadig dan kunnen ze bij de server lijn die binnen 1 hop staat

(nog nooit gesnapt)
- geen firewall

voor hun zou een bridging firewall ideaal zijn.. tussen de modem / router een bridging firewall en alleen incoming connecties naar de dns servers en andere bewuste services.

ook de telebanierpoorten open (de klanten krijgen allemaal echte ip's om te kunnen telebankieren, hier is ook vanuit de bank nog nooit een oplossing voor toch ??)

na de implementatie van de bridging firewall moeten de dualhomes dnssen zsm verdwijnen !!

als de bankproblemen opgelost zijn zou je kunnen natten maar dat gaat dus niet door.

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 10 september 2002 14:10

Acties:

0 Henk 'm!

Verwijderd

Whizzer schreef op 10 september 2002 @ 13:35:
[...]

Echter gaan veel mensen snort draaien met wat leuke spulletjes zodat ie met een browser te benaderen is (zoals Demarc), dan is meteen het idee van een onbereikbare firewall (vanwege zijn bridging) omver gehakt en is ie weer gewoon te bereiken, al dan niet vanaf een derde netwerkkaart en al dan niet vanaf het internet....

heb je dit probleem niet uberhaupt met een bridge? je _zult_ dat ding ooit eens moeten configgen ... En ook de risico's van snort met zijn leuke plugins is te minimaliseren door alleen de sensor op de bridge te draaien, en alle logging doorstuurd naar een database (op een andere host) waarnaar mensen connecten met een browser/whatever...

dinsdag 10 september 2002 14:24

Acties:

0 Henk 'm!

Whizzer

Flappie!

Voor bedrijven die nooit echt serieus hebben nagedacht over een firewall is een bridging firewall ook niet nodig, voor die bedrijven is het genoeg als maar kunnen interpretten en emailen... Een bedrijf wat serieus met security omgaat zorgt er ook voor dat er genoeg budget is, wat voor type firewall je ook wil hebben....

Even een leuk verhaaltje wat aansluit op het jouwe:

Een van de grotere telco's in Nederland die een internetdienst aanbieden waarbij hun een borderrouter plaatsen en beheren, vonden het niet nodig om de private ranges te stoppen op die router, het werd gewoon vrolijk door gerouteerd, net zoals multicast en de loopback range

... Dus wat doe je dan als je je zaken serieus neemt: Dan zet je voor hun router een eigen router waar je dit dan maar zelf af gaat vangen...

Is voor de verbbinding met deze telco een bridging firewall ook nuttig??? Nee, een beetje verstand van de telco wel...

Voor wat betreft telebankieren kun je je lol vaak genoeg op... Iedere bank heeft zijn eigen ideeën, welke soms de meest debiele oplossingen ontwerpen... Voorbeeld: de grote internationale bank welke begint met een 'F' en eindigt op 'ortis' maakt gebruik van "reversed ftp"... Welke held dat verzonnen heeft....... Je moet dan in je routerende firewall statische NAT-rules aan gaan maken met aan de buitenkant een bepaald ip en aan de binnenkant die van je werkstation... Heb je dus bij een bedrijf waarbij 100 man verbinding moet kunnen maken met deze bank, dan heb je 100 public ip's nodig om het te laten werken... Tja... Nuttig, vooral omdat ze maar 1 a 2 keer in de week contact hoeven te hebben met de bank...

Ik ben geweldig.. en bescheiden! En dat siert me...

dinsdag 10 september 2002 15:00

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

doet abn niet hetzelfde ? (in hus zakelijke pakket dan ?)

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 10 september 2002 15:18

Acties:

0 Henk 'm!

Whizzer

Flappie!

Nee, de windows versies van hun paketten maakt gebruik van normaal ftp gedoe, maar kunnen ook op alternatieve poorten (uit het hoofd: 41/42 of 62/63) draaien, maar dat wil je niet...

Ik ben geweldig.. en bescheiden! En dat siert me...

dinsdag 10 september 2002 15:49

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Whizzer schreef op 10 september 2002 @ 15:18:
Nee, de windows versies van hun paketten maakt gebruik van normaal ftp gedoe, maar kunnen ook op alternatieve poorten (uit het hoofd: 41/42 of 62/63) draaien, maar dat wil je niet...

dus alle bankzaken behalve

de grote internationale bank welke begint met een 'F' en eindigt op 'ortis'

kunnen vanachter NAT ??

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

dinsdag 10 september 2002 16:51

Acties:

0 Henk 'm!

Whizzer

Flappie!

Nee, dat zeg ik niet, ik zeg dat alle banken het anders doen... Met ABN kun je met NAT af, met Fortis kun je niets en met de Rabo werkt het weer anders...

Ik ben geweldig.. en bescheiden! En dat siert me...

dinsdag 10 september 2002 20:48

Acties:

0 Henk 'm!

Mark

xychix schreef op 10 september 2002 @ 13:47:
[...]

CIDR notatie kan ik niet.. wasda ?

CIDR = Classless InterDomain Routing. Meer info: CIDR Faq. Zie alleen effe niet in wat dit te maken heeft met bridging vs. routing

woensdag 11 september 2002 20:46

Acties:

0 Henk 'm!

Egbert

Verwijderd schreef op 10 september 2002 @ 12:42:
[...]

helaas maar waar ...

Daar ben ik het niet mee eens, een bridging firewall kan volgens mij (bijna) net zo goed/slecht op content filteren als een routing firewall.
Ik heb zo'n apparaat gehad dat al het http-verkeer (van een bepaald subnet/ip/alles/...) kon doorsturen/omleiden naar een proxyserver.

donderdag 12 september 2002 07:24

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Egbert schreef op 11 september 2002 @ 20:46:
[...]

Daar ben ik het niet mee eens, een bridging firewall kan volgens mij (bijna) net zo goed/slecht op content filteren als een routing firewall.
Ik heb zo'n apparaat gehad dat al het http-verkeer (van een bepaald subnet/ip/alles/...) kon doorsturen/omleiden naar een proxyserver.

duh..
je kijkt dan NIET of het http is...

maar poort 80 voor dat subnet/ip, dat zal wel http zijn...
je hebt een 3e netwerkkaart met een ip (niet in bridge mode) en hierover stuur je het request naar de server, je spooft de client en de client zal de juiste pagina krijgen..

Hier klopt ook iets niet..

leg eens uit hoe werkte die bak ?

en een transparant proxy kan toch NOOIT op een bridge ?? moet toch ook ip's hebben anders kan hij nooit de pagina van inet afhalen toch ?

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

zaterdag 14 september 2002 22:20

Acties:

0 Henk 'm!

Egbert

Een "transparant" apparaat kan wel een eigen ip hebben. Denk maar eens aan een managed/manageable switch/hub.

zondag 15 september 2002 11:53

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Egbert schreef op 14 september 2002 @ 22:20:
Een "transparant" apparaat kan wel een eigen ip hebben. Denk maar eens aan een managed/manageable switch/hub.

ff lezen flapdrol

wat ik hier zeg is dat een transparent proxy niet op een bridge kan draaien juist omdat hij een ip nodig is !!!!

een proxy haalt namelijk de pagina op van het internet waarna hij deze doorgeeft.
Zonder ip kan hij echter nooit een pagina ophalen !

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

zondag 15 september 2002 12:37

Acties:

0 Henk 'm!

Verwijderd

In feite is dat natuurlijk allemaal relatief hè, die noodzaak om een IP te hebben... hij kan eigenlijk net zo goed de boel intern naar 'n proxy programma sturen en als 't niet in de cache staat kan de proxy de boel opvragen van internet door de originele pakketjes weer door te sturen op de externe NIC. Als de boel dan terugkomt van de webserver onderschep je ze weer (gewoon alle pakketjes die VANAF 'n poort 80 langskomen) en mik je ze de proxy weer in.
Of je dit in de praktijk kan brengen met de bestaande software en besturingssystemen betwijfel ik, maar technisch gezien moet het kunnen

zondag 15 september 2002 16:09

Acties:

0 Henk 'm!

Egbert

xychix schreef op 15 september 2002 @ 11:53:
[...]

ff lezen flapdrol

wat ik hier zeg is dat een transparent proxy niet op een bridge kan draaien juist omdat hij een ip nodig is !!!!

een proxy haalt namelijk de pagina op van het internet waarna hij deze doorgeeft.
Zonder ip kan hij echter nooit een pagina ophalen !

Ik lees wel goed, maar wat ik wilde zeggen:
transparant wil niet zeggen 'geen ip'.
Voor de clients is het apparaat compleet onzichtbaar. Dat is transparant voor mij. Net zoals het voorbeeld bij een professionele hub/switch. Dat zijn transparante netwerkonderdelen, maar hebben wel (ook) een eigen ip.

maandag 16 september 2002 07:33

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Egbert schreef op 15 september 2002 @ 16:09:
[...]

Ik lees wel goed, maar wat ik wilde zeggen:
transparant wil niet zeggen 'geen ip'.
Voor de clients is het apparaat compleet onzichtbaar. Dat is transparant voor mij. Net zoals het voorbeeld bij een professionele hub/switch. Dat zijn transparante netwerkonderdelen, maar hebben wel (ook) een eigen ip.

Helemaal mee eens
sterker nog: Ook een transparent proxy moet een ip hebben !! een proxy haalt nl de pagina op (uit cache of van inet.) als de pagina van het internet opgehaald word moet deze naar de proxy deze geeft hem door aan de cleint. Om de pagina te kunnen opvragen moet de transparent proxy een ip hebben.

toch ben ik dan van een ip op een prof switch/hub niet met je eens:
Een prof. hub switch heeft wel een ip ??? hoogstens voor een beheer-ingang maar niet voor het gewone gebruik !
Ik ken deze apparaten niet maar als ze daadwerkelijk ip's gebruiken dan zijn het gewoon routers

en een hub/switch/bridge zal dan ook nooit een transparante proxy kunnen bevatten.

een router bv. heeft echt ip's. Interfaces waar het verkeer overheen loopt met ip. oftewel:
De router staat niet toevallig op de lijn, maar de router word heel bewust aangesproken.

Verwijderd schreef op 15 september 2002 @ 12:37:
In feite is dat natuurlijk allemaal relatief hè, die noodzaak om een IP te hebben... hij kan eigenlijk net zo goed de boel intern naar 'n proxy programma sturen en als 't niet in de cache staat kan de proxy de boel opvragen van internet door de originele pakketjes weer door te sturen op de externe NIC. Als de boel dan terugkomt van de webserver onderschep je ze weer (gewoon alle pakketjes die VANAF 'n poort 80 langskomen) en mik je ze de proxy weer in.
Of je dit in de praktijk kan brengen met de bestaande software en besturingssystemen betwijfel ik, maar technisch gezien moet het kunnen

In dit verhaal is de proxy een cache van netwerkverkeer. op een exact gelijk request. dus het request hoeft niet uitgevoerd te worden. het antwoord is reeds bekend.
Maw. er word niet inhoudelijk gekeken. Moch dit ooit draaiend te krijgen zijn dan is het enkel performace winst en kun je nog geen javascript oid. blokkeren.

Daarnaast is een proxy aardig onderhouds gevoelig: (cache cleanen, blacklist bijwerken ed.)
En dat is juist wat je niet wilt hebben aan een bridging firewall dus firewalling/controle op dit hoogste niveau moet maar weggelaten worden. Dit moet maar voor lief genomen worden.

Met goede firewall rules kun je nog op een aantal manieren binnenkomen:
op een van de aangeboden services. (dit kan ik vrijwel alle firewall situaties)
dmv. Trojan horsing (javascript of andere executables naar binnen smokkelen waarbij de client zelf de foute code uit moet voeren. ook al word er dan een backdoor opgezet dan nog kan de aanvaller niet binnen komen, er is simpelweg geen ingang naar dit netwerk
Wlleen antwoorden op vragen komen erin, dus weer 2 mogelijkheden:
1 Je doet een antwoord na
2 Je verdraaid een antwoord op een daadwerkelijk gestelde vraag zodat hij "iets" doet.

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

vrijdag 20 september 2002 07:01

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Deze transparent porxy bied beperkte extra funcionaliteit maar kost heel erg veel geld/tijd in de implementatie in een Bridging Firewall.

Maw. De iplementatie kosten zijn te hoog, ook moet je aan de proxy regelmatig onderhoud plegen ed.

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

vrijdag 1 november 2002 08:08

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Graag zou ik deze discussie weer een schopje geven aangezien ik hie rnog steeds mee bezig ben.

Een extra voordeel van een bridging firewall is dat het relatief eenvoudig te implementeren is in een bestaand netwerk omdat je geen omnummer practijken hebt.

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

woensdag 6 november 2002 11:07

Acties:

0 Henk 'm!

xychix

FreeBSD Rules !

Topicstarter

Uit hoofdstuk 2.2

The Bridging mini-Howto gives detailed instructions that solves the first problem by routing packets between the two sides of the network (local and global). This works by putting both NIC's into "promiscuous" mode such that they sniff all the packets on each NIC and transfer packets over when they belong on the other side. This is done transparently; the other computers on the net do not even see the bridge, because it does not even have an IP address. But this does not totally solve the problem. I wanted the firewall to have an IP address (for administration via the network, if nothing else) and more importantly, the bridge code in the kernel intercepts and bridges packets BEFORE they get to the firewall code, so the firewall will have no effect.

http://search01.altavista...e%2BFirewall%2BDSL-2.html

http://ac2i.tzo.com/bridge_filter/

http://www.openbrick.org/
Hier wordt een machine aangeprezen die ideaal zou zijn voor dit doel maar ik kan maar 1 NIC vinden.

[rml][ IA] Animocheck Via Eden 3*lan + kast/PSU +/- $250[/rml]
Hier zitten wel meerdere NIC's in.

http://www.benzedrine.cx/pf.html
Veel interessante info

Every failure offers you a new opportunity! | Lokatie database|GoT - Notepad

Pagina: 1

Reageer