home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1994 March / Internet Info CD-ROM (Walnut Creek) (March 1994).iso / security / doc / clippings / 930612-01 < prev    next >
Encoding:
Internet Message Format  |  1993-07-10  |  2.6 KB
  1. From: lars@spectrum.CMC.COM (Lars Poulsen)
  2. Subject: Re: CMC Rockwell Nethopper Packet Filtering?
  3. Message-Id: <1993Jun12.065234.4235@spectrum.CMC.COM>
  4. Organization: CMC Network Systems (Rockwell DCD), Santa Barbara, CA, USA
  5. References: <9306110011.AA05001@norman.li.Cubic.COM>
  6. Date: Sat, 12 Jun 93 06:52:34 GMT
  7.  
  8. In article <9306110011.AA05001@norman.li.Cubic.COM> mischler@Cubic.COM (Dave Mischler) writes:
  9. >Could someone familiar with the Nethopper describe its packet filtering
  10. >in detail?  Can it log denied and/or permitted packet information?
  11.  
  12. Hello Dave,
  13.  
  14. I am one of the NetHopper developers. The NetHopper's IP filters allow
  15. you to specify any or all of:
  16.     source IP address
  17.     source port
  18.     destination IP address
  19.     destination port
  20.     IP protocol
  21.     interface
  22.     direction (in or out)
  23.     type (allow/deny/allow-but-don't-dial-for-this)
  24.  
  25. Each filter is named, and entries can be added before or after a
  26. previously specified filter. Evaluation of each packet continues
  27. until it hits a filter and is allowed or denied, or until the end
  28. of the list, where there is an implied
  29.     source any dest any protocol any allow.
  30.  
  31. (I.e. the default is to allow unknown, but it is trivial to change this
  32. to deny anything unknown.)
  33.  
  34. For each filter, it is settable whether a denied packet returns an ICMP
  35. error.
  36.  
  37. We do not currently trigger SYSLOG messages for denied packets (we were
  38. concerned about this turning into a denial-of-service), but we do maintain
  39. a count of hits in each filter. The filters are accessible as an
  40. enterprise MIB group under SNMP.
  41.  
  42. The main things that we *don't* do that have been mentioned by others
  43. here on the list are:
  44.     - no logging of denied packets (see above)
  45.     - no RANGE of port numbers
  46.     - no ESTABLISHED keyword (we don't interpret TCP protocol)
  47.     - no arbitrary offset/mask/pattern
  48.  
  49. The NetHopper is currently positioned as a low-cost way to interconnect
  50. remote IP LANs to the backbone over dial-up V.32bis lines. Our customers
  51. have found the security features adequate for this environment.
  52.  
  53. I don't think it would surprise anyone, if we came out with a
  54. leased-56kbps line version of the unit, and we feel that these filters
  55. would be adequate to protect the average small to medium sized site
  56. (25-500 nodes) from the "reaonably believable threat".
  57.  
  58. If and when we implement IPX routing, we plan to include similar
  59. filtering capability for IPX routing and SAP advertizements.
  60.  
  61. I will be happy to answer additional questions from this list.
  62. -- 
  63. / Lars Poulsen, SMTS Software Engineer    Internet E-mail: lars@CMC.COM
  64.   CMC Network Products / Rockwell Int'l    Telephone: +1-805-968-4262    
  65.   Santa Barbara, CA 93117-3083        TeleFAX:   +1-805-968-8256
  66.  
  67.