home *** CD-ROM | disk | FTP | other *** search
/ Meeting Pearls 1 / Meeting Pearls Vol 1 (1994).iso / installed_progs / text / faqs / firewall-faq / text0000.txt < prev   
Encoding:
Text File  |  1994-06-13  |  26.1 KB  |  663 lines
  1. Archive-name: firewalls-faq
  2. Posting-Frequency: whenever updated
  3. Last-modified: Mon Jun  6 10:17:59 1994
  4. Version: 3
  5.  
  6. Internet Firewalls Frequently Asked Questions
  7. =============================================
  8.  
  9. About the FAQ
  10. =============
  11. This FAQ is not an advertisement or endorsement for any
  12. product, company, or consultant. The maintainer welcomes input
  13. and comments on the contents of this FAQ. Comments related
  14. to the FAQ should be addressed to Fwalls-FAQ@tis.com.
  15.  
  16.  
  17. Contents:
  18. =========
  19. 1: What is a network firewall?
  20. 2: Why would I want a firewall?
  21. 3: What can a firewall protect against?
  22. 4: What can't a firewall protect against?
  23. 5: What are good sources of print information on firewalls?
  24. 6: Where can I get more information on firewalls on the  network?
  25. 7: What are some commercial products or consultants who sell/service firewalls?
  26. 8: What are some of the basic design decisions in a firewall?
  27. 9: What are proxy servers and how do they work?
  28. 10: What are some cheap packet screening tools?
  29. 11: What are some reasonable filtering rules for my Cisco?
  30. 12: How do I make DNS work with a firewall?
  31. 13: How do I make FTP work through my firewall?
  32. 14: How do I make Telnet work through my firewall?
  33. 15: How do I make Finger and whois work through my firewall?
  34. 16: How do I make gopher, archie, and other services work through my firewall?
  35. 17: What are the issues about X-Window through a firewall?
  36. 18: Glossary of firewall related terms
  37.  
  38. ------------------------------
  39.  
  40. Date: Thu Mar 3 12:35:59 1994
  41. From: Fwalls-FAQ@tis.com
  42. Subject: 1: What is a network firewall?
  43.  
  44. A firewall is any one of several ways of protecting one
  45. network from another untrusted network. The actual mechanism
  46. whereby this is accomplished varies widely, but in
  47. principle, the firewall can be thought of as a pair of
  48. mechanisms: one which exists to block traffic, and the other
  49. which exists to permit traffic. Some firewalls place a
  50. greater emphasis on blocking traffic, while others emphasize
  51. permitting traffic.
  52.  
  53. ------------------------------
  54.  
  55. Date: Thu Mar 3 12:36:15 1994
  56. From: Fwalls-FAQ@tis.com
  57. Subject: 2: Why would I want a firewall?
  58.  
  59. The Internet, like any other society, is plagued with the
  60. kind of jerks who enjoy the electronic equivalent of writing
  61. on other people's walls with spraypaint, tearing their
  62. mailboxes off, or just sitting in the street blowing their
  63. car horns. Some people try to get real work done over the
  64. Internet, and others have sensitive or proprietary data they
  65. must protect. A firewall's purpose is to keep the jerks out
  66. of your network while still letting you get your job done.
  67.  
  68. Many traditional-style corporations and data centers have
  69. computing security policies and practices that must be
  70. adhered to. In a case where a company's policies dictate how
  71. data must be protected, a firewall is very important, since
  72. it is the embodiment of the corporate policy. Frequently,
  73. the hardest part of hooking to the Internet, if you're a
  74. large company, is not justifying the expense or effort, but
  75. convincing management that it's safe to do so. A firewall
  76. provides not only real security - it often plays an
  77. important role as a security blanket for management.
  78.  
  79. Lastly, a firewall can act as your corporate "ambassador" to
  80. the Internet. Many corporations use their firewall systems
  81. as a place to store public information about corporate
  82. products and services, files to download, bug-fixes, and so
  83. forth. Several of these systems have become important parts
  84. of the Internet service structure (e.g.: UUnet.uu.net,
  85. gatekeeper.dec.com) and have reflected well on their
  86. corporate sponsors.
  87.  
  88. ------------------------------
  89.  
  90. Date: Thu Mar 3 13:24:13 1994
  91. From: Fwalls-FAQ@tis.com
  92. Subject: 3: What can a firewall protect against?
  93.  
  94. Some firewalls permit only Email traffic through them,
  95. thereby protecting the network against any attacks other
  96. than attacks against the Email service. Other firewalls
  97. provide less strict protections, and block services that are
  98. known to be problems.
  99.  
  100. Generally, firewalls are configured to protect against
  101. unauthenticated interactive logins from the "outside" world.
  102. This, more than anything, helps prevent vandals from logging
  103. into machines on your network. More elaborate firewalls
  104. block traffic from the outside to the inside, but permit
  105. users on the inside to communicate freely with the outside.
  106. The firewall can protect you against any type of network
  107. borne attack if you unplug it.
  108.  
  109. Firewalls are also important since they can provide a single
  110. "choke point" where security and audit can be imposed.
  111. Unlike in a situation where a computer system is being attacked
  112. by someone dialing in with a modem, the firewall can act as
  113. an effective "phone tap" and tracing tool.
  114.  
  115. ------------------------------
  116.  
  117. Date: Thu Mar 3 14:02:07 1994
  118. From: Fwalls-FAQ@tis.com
  119. Subject: 4: What can't a firewall protect against?
  120.  
  121.         Firewalls can't protect against attacks that don't
  122. go through the firewall. Many corporations that connect to
  123. the Internet are very concerned about proprietary data
  124. leaking out of the company through that route. Unfortunately
  125. for those concerned, a magnetic tape can just as effectively
  126. be used to export data. Firewall policies must be realistic,
  127. and reflect the level of security in the entire network. For
  128. example, a site with top secret or classified data doesn't
  129. need a firewall at all: they shouldn't be hooking up to the
  130. internet in the first place, or the systems with the really
  131. secret data should be isolated from the rest of the
  132. corporate network.
  133.  
  134.             Firewalls can't protect very well against things
  135. like viruses. There are too many ways of encoding binary
  136. files for transfer over networks, and too many different
  137. architectures and viruses to try to search for them all.
  138. In other words, a firewall cannot replace security-
  139. consciousness on the part of your users. In general, a firewall
  140. cannot protect against a data-driven attack -- attacks in which
  141. something is mailed or copied to an internal host where it is
  142. then executed. This form of attack has occurred in the past
  143. against various versions of Sendmail.
  144.  
  145. ------------------------------
  146.  
  147. Date: Thu Mar 24 13:46:32 1994
  148. From: Fwalls-FAQ@tis.com
  149. Subject: 5: What are good sources of print information on firewalls?
  150.  
  151. There are several books that touch on firewalls. The best
  152. known are:
  153.  
  154. Cheswick and Bellovin, "Firewalls and Internet Security:
  155. Repelling the Wily Hacker"  Addison-Wesley, ??, 1994
  156.  
  157. Garfinkel  and Spafford, "Practical UNIX Security"  O'Reilly
  158. and associates (discusses primarily host security)
  159.  
  160. Related references are:
  161.  
  162. Comer and Stevens, "Internetworking with TCP/IP" Prentice Hall, 1991
  163.  
  164. Curry, "UNIX System Security" Addison Wesley, 1992
  165.  
  166. ------------------------------
  167.  
  168. Date: Thu Mar 3 13:48:14 1994
  169. From: Fwalls-FAQ@tis.com
  170. Subject: 6: Where can I get more information on firewalls on the network?
  171.  
  172. Ftp.greatcircle.com - Firewalls mailing list archives.
  173.         Directory: pub/firewalls
  174.  
  175. Ftp.tis.com - Internet firewall toolkit and papers.
  176.         Directory: pub/firewalls
  177.  
  178. Research.att.com - Papers on firewalls and breakins.
  179.         Directory: dist/internet_security
  180.  
  181. Net.Tamu.edu - Texas AMU security tools.
  182.         Directory: pub/security/TAMU
  183.  
  184.     The internet firewalls mailing list is a forum for firewall
  185. administrators and implementors. To subscribe to Firewalls, send
  186. "subscribe firewalls"
  187. in the body of a message (not on the "Subject:" line) to
  188. "Majordomo@GreatCircle.COM". Archives of past Firewalls postings are
  189. available for anonymous FTP from ftp.greatcircle.com in pub/firewalls/archive
  190.  
  191. ------------------------------
  192.  
  193. Date: Thu Mar 3 12:38:10 1994
  194. From: Fwalls-FAQ@tis.com
  195. Subject: 7: What are some commercial products or consultants who sell/service firewalls?
  196.  
  197. We feel this topic is too sensitive to address in a FAQ, as
  198. well as being difficult to maintain an up-to-date list.
  199.  
  200.  
  201. ------------------------------
  202.  
  203. Date: Thu Mar 3 12:38:31 1994
  204. From: Fwalls-FAQ@tis.com
  205. Subject: 8: What are some of the basic design decisions in a firewall?
  206.  
  207. There are a number of basic design issues that should be
  208. addressed by the lucky person who has been tasked with the
  209. responsibility of designing, specifying, and implementing or
  210. overseeing the installation of a firewall.
  211.  
  212. The first and most important is reflects the policy of how
  213. your company or organization wants to operate the system: is
  214. the firewall in place to explicitly deny all services except
  215. those critical to the mission of connecting to the net, or
  216. is the firewall in place to provide a metered and audited
  217. method of "queuing" access in a non-threatening manner.
  218. There are degrees of paranoia between these positions; the
  219. final stance of your firewall may be more the result of a
  220. political than an engineering decision.
  221.  
  222. The second is: what level of monitoring, redundancy, and
  223. control do you want? Having established the acceptable risk
  224. level (e.g.: how paranoid you are) by resolving the first
  225. issue, you can form a checklist of what should be monitored,
  226. permitted, and denied. In other words, you start by figuring
  227. out your overall objectives, and then combine a needs
  228. analysis with a risk assessment, and sort the almost always
  229. conflicting requirements out into a laundry list that
  230. specifies what you plan to implement.
  231.  
  232. The third issue is financial. We can't address this one here
  233. in anything but vague terms, but it's important to try to
  234. quantify any proposed solutions in terms of how much it will
  235. cost either to buy or to implement. For example, a complete
  236. firewall product may cost between $100,000 at the high end,
  237. and free at the low end. The free option, of doing some
  238. fancy configuring on a Cisco or similar router will cost
  239. nothing but staff time and cups of coffee. Implementing a
  240. high end firewall from scratch might cost several man-
  241. months, which may equate to $30,000 worth of staff salary
  242. and benefits. The systems management overhead is also a
  243. consideration. Building a home-brew is fine, but it's
  244. important to build it so that it doesn't require constant
  245. and expensive fiddling-with. It's important, in other words,
  246. to evaluate firewalls not only in terms of what they cost
  247. now, but continuing costs such as support.
  248.  
  249. On the technical side, there are a couple of decisions to
  250. make, based on the fact that for all practical purposes what
  251. we are talking about is a static traffic routing service
  252. placed between the network service provider's router and
  253. your internal network. The traffic routing service may be
  254. implemented at an IP level via something like screening
  255. rules in a router, or at an application level via proxy
  256. gateways and services.
  257.  
  258. The decision to make here is whether to place an exposed
  259. stripped-down machine on the outside network to run proxy
  260. services for telnet, ftp, news, etc., or whether to set up a
  261. screening router as a filter, permitting communication with
  262. one or more internal machines. There are plusses and minuses
  263. to both approaches, with the proxy machine providing a
  264. greater level of audit and potentially security in return
  265. for increased cost in configuration and a decrease in the
  266. level of service that may be provided (since a proxy needs
  267. to be developed for each desired service). The old trade-off
  268. between ease-of-use and security comes back to haunt us with
  269. a vengeance.
  270.  
  271. ------------------------------
  272.  
  273. Date: Thu Mar 10 16:56:35 1994
  274. From: Fwalls-FAQ@tis.com
  275. Subject: 9: What are proxy servers and how do they work?
  276.  
  277. A proxy server (sometimes referred to as an application
  278. gateway or forwarder) is an application that mediates
  279. traffic between a protected network and the Internet.
  280. Proxies are often used instead of router-based traffic
  281. controls, to prevent traffic from passing directly between
  282. networks. Many proxies contain extra logging or support for
  283. user authentication. Since proxies must "understand" the
  284. application protocol being used, they can also implement
  285. protocol specific security (e.g., an FTP proxy might be
  286. configurable to permit incoming FTP and block outgoing
  287. FTP).
  288.  
  289. Proxy servers are application specific. In order to support
  290. a new protocol via a proxy, a proxy must be developed for
  291. it. SOCKS is a generic proxy system that can be compiled
  292. into a client-side application to make it work through a
  293. firewall. Its advantage is that it's easy to use, but it
  294. doesn't support the addition of authentication hooks or
  295. protocol specific logging. For more information on SOCKS,
  296. see ftp.nec.com: /pub/security/socks.cstc   Users are
  297. encouraged to check the file "FILES" for a description
  298. of the directory's contents.
  299.  
  300.  
  301. ------------------------------
  302.  
  303. Date: Mon Jun 6 10:07:36 1994
  304. From: Fwalls-FAQ@tis.com
  305. Subject: 10: What are some cheap packet screening tools?
  306.  
  307. The Texas AMU security tools include software for
  308. implementing screening routers (FTP net.tamu.edu,
  309. pub/security/TAMU).  Karlbridge is a PC-based screening
  310. router kit (FTP nisca.acs.ohio-state.edu, pub/kbridge). A
  311. version of the Digital Equipment Corporation "screend"
  312. kernel screening software is available for BSD/386,
  313. NetBSD, and BSDI. Many commercial routers support screening
  314. of various forms.
  315.  
  316. ------------------------------
  317.  
  318. Date: Mon Jun 6 10:05:51 1994
  319. From: Fwalls-FAQ@tis.com
  320. Subject: 11: What are some reasonable filtering rules for my Cisco?
  321.  
  322. The following example shows one possible configuration for
  323. using the Cisco as a filtering router.  It is a sample that
  324. shows the implementation of a specific policy. Your policy
  325. will undoubtedly vary.
  326.  
  327. In this example, a company has Class B network address of 128.88.0.0
  328. and is using 8 bits for subnets.   The Internet connection is on the
  329. "red" subnet 128.88.254.0.  All other subnets are considered trusted
  330. or "blue" subnets.
  331.  
  332.      +---------------+ +---------------+    
  333.      | IP provider   | |   Gateway     |
  334.      | 128.88.254.1  | | 128.88.254.2  |  
  335.      +------+--------+ +------+--------+ 
  336.             |                            "Red" net
  337.   ----------+-----------------+----------------------------------
  338.                               |
  339.                        +------+--------+    
  340.                        |   Cisco       | 
  341.                        | 128.88.254.3  |
  342.                        |...............|
  343.                        | 128.88.1.1    |  
  344.                        +---------------+    
  345.                               |   
  346.   ----------------------------+----------------------------------
  347.             |                            "Blue" net
  348.      +------+--------+    
  349.      | mail router   |
  350.      | 128.88.1.2    |
  351.      +---------------+    
  352.  
  353.  
  354. Keeping the following points in mind will help in understanding the
  355. configuration fragments:
  356.  
  357.   1. Ciscos applying filtering to output packets only.
  358.   2. Rules are tested in order and stop when the first match is found.
  359.   3. There is an implicit deny rule at the end of an access list that
  360.      denies everything.
  361.  
  362. The example below concentrates on the filtering parts of a configuration.
  363. Line numbers and formatting have been added for readability.
  364.  
  365. The policy to be implemented is:
  366.      - Anything not explicitly allowed is denied
  367.      - Traffic between the external gateway machine and
  368.        blue net hosts is allowed.  
  369.      - permit services orginating from the blue net
  370.      - allow a range of ports for FTP data connections back to the
  371.        blue net.  
  372.  
  373.      1  no ip source-route
  374.      2  !
  375.      3  interface Ethernet 0
  376.      4  ip address 128.88.1.1 255.255.255.0
  377.      5  ip access-group 10
  378.      6  !
  379.      7  interface Ethernet 1
  380.      8  ip address 128.88.254.3 255.255.255.0
  381.      9  ip access-group 11
  382.     10  !
  383.     11  access-list 10 permit ip 128.88.254.2 0.0.0.0
  384.          128.88.0.0 0.0.255.255
  385.     12  access-list 10 deny   tcp 0.0.0.0 255.255.255.255
  386.          128.88.0.0 0.0.255.255 lt 1025
  387.     13  access-list 10 deny   tcp 0.0.0.0 255.255.255.255
  388.          128.88.0.0 0.0.255.255 gt 4999
  389.     14  access-list 10 permit tcp 0.0.0.0 255.255.255.255
  390.          128.88.0.0 0.0.255.255
  391.     15  !
  392.     16  access-list 11 permit ip 128.88.0.0 0.0.255.255
  393.          128.88.254.2 0.0.0.0
  394.     17  access-list 11 deny   tcp 128.88.0.0 0.0.255.255
  395.          0.0.0.0 255.255.255.255 eq 25
  396.     18  access-list 11 permit tcp 128.88.0.0 0.0.255.255
  397.          0.0.0.0 255.255.255.255
  398.  
  399. Lines   Explanation
  400. =====   ===========
  401.     1   Although this is not a filtering rule, it is good to include here.
  402.  
  403.     5   Ethernet 0 is on the red net.  Extended access list 10 will
  404.         be applied to output on this interface.  You can also
  405.         think of output from the red net as input on the blue net.
  406.  
  407.     9   Ethernet 1 is on the blue net.  Extended access list 11 will
  408.         be applied to output on this interface.
  409.  
  410.    11   Allow all traffic from the gateway machine to the blue net.
  411.  
  412. 12-14   Allow connections originating from the red net that come in
  413.         between ports 1024 and 5000.  This is to allow ftp data
  414.         connections back into the blue net.  5000 was chosen as the
  415.         upper limit as it is where OpenView starts.
  416.  
  417.         Note: again, we are assuming this is acceptable for the given policy.
  418.               There is no way to tell a Cisco to filter on source port.
  419.               Newer versions of the Cisco firmware will apparently support
  420.               source port filtering.
  421.    
  422.         Since the rules are tested until the first match we must use this
  423.         rather obtuse syntax.
  424.  
  425.    16   Allow all blue net packets to the gateway machine.
  426.  
  427.    17   Deny SMTP (tcp port 25) mail to the red net.
  428.  
  429.    18   Allow all other TCP traffic to the red net.
  430.  
  431.  
  432. Cisco.Com has an archive of examples for building firewalls
  433. using Cisco routers, available for FTP from: ftp.cisco.com
  434. in  /pub/acl-examples.tar.Z
  435.  
  436. ------------------------------
  437.  
  438. Date: Thu Mar 3 13:52:47 1994
  439. From: Fwalls-FAQ@tis.com
  440. Subject: 12: How do I make DNS work with a firewall?
  441.  
  442. Some organizations want to hide DNS names from the outside.
  443. Many experts disagree as to whether or not hiding DNS names
  444. is worthwhile, but if site/corporate policy mandates hiding
  445. domain names, this is one approach that is known to work.
  446.  
  447. This approach is one of many, and is useful for
  448. organizations that wish to hide their host names from the
  449. Internet. The success of this approach lies on the fact that
  450. DNS clients on a machine don't have to talk to a DNS server
  451. on that same machine.  In other words, just because there's
  452. a DNS server on a machine, there's nothing wrong with (and
  453. there are often advantages to) redirecting that machine's
  454. DNS client activity to a DNS server on another machine.
  455.  
  456. First, you set up a DNS server on the bastion host that the
  457. outside world can talk to. You set this server up so that it
  458. claims to be authoritative for your domains.  In fact, all
  459. this server knows is what you want the outside world to
  460. know; the names and addresses of your gateways, your
  461. wildcard MX records, and so forth.  This is the "public"
  462. server.
  463.  
  464. Then, you set up a DNS server on an internal machine.  This
  465. server also claims to be authoritiative for your domains;
  466. unlike the public server, this one is telling the truth.
  467. This is your "normal" nameserver, into which you put all
  468. your "normal" DNS stuff.  You also set this server up to
  469. forward queries that it can't resolve to the public server
  470. (using a "forwarders" line in /etc/named.boot on a UNIX
  471. machine, for example).
  472.  
  473. Finally, you set up all your DNS clients (the
  474. /etc/resolv.conf file on a UNIX box, for instance),
  475. including the ones on the machine with the public server, to
  476. use the internal server.  This is the key.
  477.  
  478. An internal client asking about an internal host asks the
  479. internal server, and gets an answer; an internal client
  480. asking about an external host asks the internal server,
  481. which asks the public server, which asks the Internet, and
  482. the answer is relayed back.  A client on the public server
  483. works just the same way.  An external client, however,
  484. asking about an internal host gets back the "restricted"
  485. answer from the public server.
  486.  
  487. This approach assumes that there's a packet filtering
  488. firewall between these two servers that will allow them to
  489. talk DNS to each other, but otherwise restricts DNS between
  490. other hosts.
  491.  
  492. Another trick that's useful in this scheme is to employ
  493. wildcard PTR records in your IN-ADDR.ARPA domains. These
  494. cause an an address-to-name lookup for any of your non-
  495. public hosts to return something like "unknown.YOUR.DOMAIN"
  496. rather than an error.  This satisfies anonymous FTP sites
  497. like ftp.uu.net that insist on having a name for the
  498. machines they talk to. This may fail when talking to sites
  499. that do a DNS cross-check in which the host name is matched
  500. against its address and vice versa.
  501.  
  502. Note that hiding names in the DNS doesn't address the
  503. problem of host names "leaking" out in mail headers,
  504. news articles, etc.
  505.  
  506. ------------------------------
  507.  
  508. Date: Thu Mar 3 21:14:24 1994
  509. From: Fwalls-FAQ@tis.com
  510. Subject: 13: How do I make FTP work through my firewall?
  511.  
  512. Generally, making FTP work through the firewall is done
  513. either using a proxy server or by permitting incoming
  514. connections to the network at a restricted port range, and
  515. otherwise restricting incoming connections using something
  516. like "established" screening rules. The FTP client is then
  517. modified to bind the data port to a port within that range.
  518. This entails being able to modify the FTP client application
  519. on internal hosts.
  520.  
  521.     A different approach is to use the FTP "PASV"
  522. option to indicate that the remote FTP server should permit
  523. the client to initiate connections. The  PASV approach
  524. assumes that the FTP server on the remote system supports
  525. that operation. (See RFC1579 for more information)
  526.  
  527.     Other sites prefer to build client versions of
  528. the FTP program that are linked against a SOCKS library.
  529.  
  530. ------------------------------
  531.  
  532. Date: Mon Mar 7 13:00:08 1994
  533. From: Fwalls-FAQ@tis.com
  534. Subject: 14: How do I make Telnet work through my firewall?
  535.  
  536. Telnet is generally supported either by using an application
  537. proxy, or by simply configuring a router to permit outgoing
  538. connections using something like the "established" screening
  539. rules. Application proxies could be in the form of a standalone
  540. proxy running on the bastion host, or in the form of a SOCKS
  541. server and a modified client.
  542.  
  543. ------------------------------
  544.  
  545. Date: Thu Mar 3 14:16:12 1994
  546. From: Fwalls-FAQ@tis.com
  547. Subject: 15: How do I make Finger and whois work through my firewall?
  548.  
  549. Permit connections to the finger port from only trusted
  550. machines, which can issue finger requests in the form of:
  551. finger user@host.domain@firewall
  552.  
  553. This approach only works with the standard UNIX version of
  554. finger. Some finger servers do not permit user@host@host
  555. fingering.
  556.  
  557. Many sites block inbound finger requests for a variety of
  558. reasons, foremost being past security bugs in the finger
  559. server (the Morris internet worm made these bugs famous)
  560. and the risk of proprietary or sensitive information being
  561. revealed in user's finger information.
  562.  
  563. ------------------------------
  564.  
  565. Date: Thu Mar 3 12:40:54 1994
  566. From: Fwalls-FAQ@tis.com
  567. Subject: 16: How do I make gopher, archie, and other services work through my firewall?
  568.  
  569. This is still an area of active research in the firewall
  570. community. Many firewall administrators support these
  571. services only through the character-cell interface provided
  572. by telnet. Unfortunately, many of the sexier network
  573. services make connections to multiple remote systems,
  574. without transmitting any inline information that a proxy
  575. could take advantage of, and often the newer information
  576. retrieval systems transmit data to local hosts and disks
  577. with only minimal security. There are risks that (for
  578. example) WAIS clients may request uuencoded files, which
  579. decode and modify security related files in the user's home
  580. directory. At present, there is a lot of head-scratching
  581. going on between the firewall administrators who are
  582. responsible for guarding the network perimeters, and the
  583. users, who want to take advantage of these very sexy and
  584. admittedly useful tools.
  585.  
  586. ------------------------------
  587.  
  588. Date: Mon Jun 6 10:12:03 1994
  589. From: Fwalls-FAQ@tis.com
  590. Subject: 17: What are the issues about X-Window through a firewall?
  591.  
  592.     X Windows is a very useful system, but unfortunately has
  593. some major security flaws. Remote systems that can gain or spoof
  594. access to a workstation's X display can monitor keystrokes that
  595. a user enters, download copies of the contents of their windows,
  596. etc.
  597.  
  598.     While attempts have been made to overcome them (E.g.,
  599. MIT "Magic Cookie") it is still entirely too easy for an attacker
  600. to interfere with a user's X display.  Most firewalls block all X
  601. traffic. Some permit X traffic through application proxies such as
  602. the DEC CRL X proxy (FTP crl.dec.com).
  603.  
  604. ------------------------------
  605.  
  606. Date: Thu Mar 24 14:05:27 1994
  607. From: Fwalls-FAQ@tis.com
  608. Subject: 18: Glossary of firewall related terms
  609.  
  610. Host-based Firewall:
  611.     A firewall where the security is implemented in software running
  612.     on a general-purpose computer of some sort. Security in host-based
  613.     firewalls is generally at the application level, rather than at a
  614.     network level.
  615.  
  616. Router-based Firewall:
  617.     A firewall where the security is implemented using screening
  618.     routers as the primary means of protecting the network.
  619.  
  620. Screening Router:
  621.     A router that is used to implement part of the security of a
  622.     firewall by configuring it to selectively permit or deny
  623.     traffic at a network level.
  624.  
  625. Bastion Host:
  626.     A host system that is a "strong point" in the network's security
  627.     perimeter. Bastion hosts should be configured to be particularly
  628.     resistant to attack. In a host-based firewall, the bastion host
  629.     is the platform on which the firewall software is run.
  630.     Bastion hosts are also referred to as "gateway hosts."
  631.  
  632. Dual-Homed Gateway:
  633.     A firewall consisting of a bastion host with 2 network interfaces,
  634.     one of which is connected to the protected network, the other of
  635.     which is connected to the Internet. IP traffic forwarding is
  636.     usually disabled, restricting all traffic between the two networks
  637.     to whatever passes through some kind of application proxy.
  638.  
  639. Application Proxy:
  640.     An application that forwards application traffic through a
  641.     firewall. Proxies tend to be specific to the protocol they
  642.     are designed to forward, and may provide increased access
  643.     control or audit.
  644.  
  645. Screened Subnet:
  646.     A firewall architecture in which a "sand box" or "demilitarized
  647.     zone" network is set up between the protected network and the
  648.     Internet, with traffic between the protected network and the
  649.     Internet blocked. Conceptually, this is similar to a dual-homed
  650.     gateway, except that an entire network, rather than a single
  651.     host is reachable from the outside.
  652.  
  653.  
  654.  
  655.  
  656. Contributors:
  657. -------------
  658. mjr@tis.com - Marcus Ranum, Trusted Information Systems
  659. leibowa@wl.com - Allen Leibowitz, Warner Lambert Inc.
  660. brent@greatcircle.com - Brent Chapman, Great Circle Associates
  661. bdboyle@erenj.com - Brian Boyle, Exxon Research
  662.  
  663.