home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3865 < prev    next >
Encoding:
Internet Message Format  |  1992-07-28  |  3.2 KB
  1. Path: sparky!uunet!darwin.sura.net!mips!sdd.hp.com!hplabs!ucbvax!ulysses!ulysses.att.com!smb
  2. From: smb@ulysses.att.com (Steven Bellovin)
  3. Newsgroups: comp.protocols.tcp-ip
  4. Subject: Re: Firewall usage (was: Re: ping works, but ftp/telnet get "no route)
  5. Message-ID: <17011@ulysses.att.com>
  6. Date: 28 Jul 92 15:36:14 GMT
  7. References: <BrruC8.FEo@spock.dis.cccd.edu> <BrsM1C.36v@cs.columbia.edu> <DRW.92Jul27143657@jordan.mit.edu>
  8. Sender: netnews@ulysses.att.com
  9. Lines: 48
  10.  
  11. In article <DRW.92Jul27143657@jordan.mit.edu>, drw@jordan.mit.edu (Dale R. Worley) writes:
  12. > As far as I've seen, much of the problem with firewalls is not that
  13. > they exist, but that they are badly configured.  For instance, I've
  14. > seen firewalls that would allow "inside" users to telnet out, but they
  15. > couldn't rlogin out.  A good firewall should allow everything that is
  16. > permitted and nothing that is forbidden, and so improves security
  17. > without adding any additional burden to proper usage.
  18.  
  19. There are a number of problems with that notion.  For one thing, what
  20. you suggest is often impractical.  To use your example, how can I
  21. characterize, at the router level, a legal rlogin packet?  About all I
  22. can say is that the outside port number in one direction is 513, and
  23. the inside port number is something less than 1024.  But when such a
  24. packet floats by, the router has no way of knowing that that's really
  25. rlogin.  The *real* definition is that the connection was initiated
  26. from the inside.  Otherwise, the packet could be from a connection
  27. initiated *from* port 513 on a dedicated attacker's machine, and to
  28. some service on an inside machine.  But routers don't keep track of
  29. connections, they look at individual packets.
  30.  
  31. Higher-level gateways, such as the one we run, can do what you say.
  32. We've consciously decided not to support rlogin for two reasons.
  33. First, in general we don't think that address-based or name-based
  34. authentication is secure, and -- as a matter of principle -- we won't
  35. ask people to trust us when we won't trust them in that regard.  The
  36. second problem is the nature of our gateways.  All outbound connections
  37. from AT&T come one of a very few machines (at the moment, exactly two,
  38. I believe).  We can't vouch for the uniqueness of userids -- there
  39. might be another smb, somewhere within the company, who would have the
  40. same privileges as I would when doing an rlogin through the gateway.
  41. That isn't acceptable.  For that matter, we don't keep track of the
  42. trust level of every internal machine; if you saw an rlogin attempt
  43. from us claiming a userid of ``root'', you'd have no way of knowing if
  44. that was root on a great gronking huge UTS machine in one of our comp
  45. centers, or root on an MS/DOS laptop.  I suppose we could munge the
  46. username field on the rlogin messages, to include the inside host name;
  47. however, that would demand more knowledge of the application protocol
  48. than our gateway currently has.  (We run a circuit-level gateawy.  A
  49. true application gateway, such as DEC's, could do that more easily, I'd
  50. guess.)
  51.  
  52. UDP applications are even more problematic.  We'd love to support
  53. ``talk'', or have higher-level access to Archie.  And we haven't
  54. given up; we have a number of ideas on how to improve our gateways.
  55. We *don't* want gateways -- but we're very certain we need to have them.
  56.  
  57.  
  58.         --Steve Bellovin
  59.