sslug-teknik team mailing list archive

["Valdemar Lemche" <valdemar@xxxxxxxxxx>]

> Husk der er forskel på pakkestørrelser. Og min erfaring er at det er antal
> pakker der dræber en firewall, og ikke megabit/sekund.
>
Det er selvfoelgelig rigtig, men det er altsaa ualmindeligt, at mtu ikke er
1500 ved ethernet. Specielt naer det drejet sig og firewalls.
Men du kan jo selvfoelgelig have din firewall som graenserouter, og hos
nogle internet udbydere kraeve dog stadig at din MTU kun maa vaere 576,
eller 1492 hvis det er bredbaand opkopling.

Men ved de tilstande vil P3 1.4 ikke vaere belasted. Og saa har vi
selvfoelgelig angreb:
Pricipielt aabner jeg kun for de porte som er noedvendige (duh! ;)), og i
tilfaeldet at en webserver, er det 80/tcp, (20/tcp & 21/tcp hvis kunder har
brug for at upload filer). Det eneste NEW indgaeende traffik tilladt er icmp
echo requests, og alt udgaende traffik er stateful. Jeg bruger ogsaa length
matching ved 80/tcp, og jeg har *emperisk* konkluderet at en lovlig
ingaeende packet length ved http pakke aldrig er mindre en 32.

Man kan selvfoelgelig haevde, at icmp type 8 kan bruges i et angreb, men min
firewall bliver naesten dagligt udsat for angreb, og den er altsaa ikke gaet
under i et angreb endnu.