home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3873 < prev    next >
Encoding:
Text File  |  1992-07-28  |  1.5 KB  |  38 lines
  1. Newsgroups: comp.protocols.tcp-ip
  2. Path: sparky!uunet!shearson.com!snark!pmetzger
  3. From: pmetzger@snark.shearson.com (Perry E. Metzger)
  4. Subject: Stopping only incoming TCP connections (was: Firewall usage)
  5. Message-ID: <1992Jul28.202211.14029@shearson.com>
  6. Sender: news@shearson.com (News)
  7. Organization: /usr/local/lib/news/organization
  8. References: <BrsM1C.36v@cs.columbia.edu> <DRW.92Jul27143657@jordan.mit.edu> <17011@ulysses.att.com>
  9. Date: Tue, 28 Jul 1992 20:22:11 GMT
  10. Lines: 26
  11.  
  12. smb@ulysses.att.com (Steven Bellovin) writes:
  13.  
  14. >The *real* definition is that the connection was initiated
  15. >from the inside.  Otherwise, the packet could be from a connection
  16. >initiated *from* port 513 on a dedicated attacker's machine, and to
  17. >some service on an inside machine.  But routers don't keep track of
  18. >connections, they look at individual packets.
  19.  
  20. I was under the impression that if you filter all the SYN packets from
  21. one direction that aren't SYN ACKs, bingo, you can't initiate any
  22. incoming TCP connections.  Nice and stateless. The only flaw is that
  23. implementations that seperately ACK the initiating SYN and then send
  24. their own SYN won't be able to connect, but they are rare. Connections
  25. could still be hijacked by various mechanisms, but they can't be
  26. initiated, and there is a limited amount of damage a hijacker can do.
  27. I was also under the impression that some recent routers will actually
  28. let you do this trick.
  29.  
  30. Am I egregiously wrong about this?
  31.  
  32.  
  33. --
  34. Perry Metzger        pmetzger@shearson.com
  35. --
  36.           Just say "NO!" to death and taxes.
  37.              Extropian and Proud.
  38.