home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #31 / NN_1992_31.iso / spool / alt / sys / sun / 3528 < prev    next >
Encoding:
Internet Message Format  |  1993-01-02  |  2.3 KB
  1. Xref: sparky alt.sys.sun:3528 comp.security.misc:2411 comp.sys.sun.admin:9868 comp.unix.admin:6862 comp.unix.questions:15115 comp.unix.wizards:5361
  2. Newsgroups: alt.sys.sun,comp.security.misc,comp.sys.sun.admin,comp.unix.admin,comp.unix.questions,comp.unix.wizards
  3. Path: sparky!uunet!zaphod.mps.ohio-state.edu!news.acns.nwu.edu!nucsrl!ddsw1!karl
  4. From: karl@ddsw1.mcs.com (Karl Denninger)
  5. Subject: Re: internet firewall: packet selecting/forwarding
  6. Message-ID: <C08Ko7.I4M@ddsw1.mcs.com>
  7. Date: Sat, 2 Jan 1993 17:02:31 GMT
  8. References: <1993Jan2.091216.10624@corp.telecom.co.nz>
  9. Organization: MCSNet, Chicago, IL
  10. Keywords: security, internet, firewall, packet, filter
  11. Lines: 37
  12.  
  13. In article <1993Jan2.091216.10624@corp.telecom.co.nz> chuck@corp.telecom.co.nz (Chuck Zheng) writes:
  14. >Hello,
  15. >
  16. >I am interested in building a internet firewall to restrict un-authorised 
  17. >(potential) access to my network.  The resources I have are sun3 sun4 and pcs.
  18. >Can anybody tell me how to implement it?  
  19. >
  20. >I have read Garfinkel & Spafford's "Practical Unix Security" (O'Reilly & Assco).
  21. >It introduced the concept of internet firewall's choke & gate, and what need to
  22. >do, but not how, especially, not about how to filter packets on unix.  I guess
  23. >something have to be done about inetd.conf, to shut down some service.  But how
  24. >to forward a telnet packet from choke to gate?
  25. >
  26. >I read log_tcp/tcp_wrapper README.  It seems to me that it can filter packets
  27. >based on host infomation.  But I do not feel it can offer same level of protec-
  28. >tion as separate choke & gate.  Does it handle unauthorized nfs mounting?
  29. >
  30. >I would like to learn from your experience (if any) dealing with internet 
  31. >security.  Any comments will be appreciated.
  32. >
  33. >Chuck
  34.  
  35. Somewhere between your systems and the Internet there is a router.  
  36.  
  37. That is one place to implement filtering on a port-by-port basis.  
  38.  
  39. The other option is to leave that open, and have one system which is the
  40. "gateway" that does not forward packets from/to anyone else.  This system
  41. then is your "choke point" through which all attacks must be made.  You then
  42. secure that as best you can, and watch it closely.
  43.  
  44. Combinations of both are also possible.
  45.  
  46. --
  47. Karl Denninger (karl@ddsw1.MCS.COM, <well-connected>!ddsw1!karl)
  48. Data Line: [+1 312 248-0900] Anon. arch. (nuucp) 00:00-06:00 C[SD]T
  49. Request file: /u/public/sources/DIRECTORY/README for instructions
  50.