home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3913 < prev    next >
Encoding:
Internet Message Format  |  1992-07-30  |  2.8 KB

  1. Path: sparky!uunet!caen!sol.ctr.columbia.edu!usc!news
  2. From: tsudik@pollux.usc.edu (Gene Tsudik)
  3. Newsgroups: comp.protocols.tcp-ip
  4. Subject: Firewall usage
  5. Date: 30 Jul 1992 08:00:59 -0700
  6. Organization: University of Southern California, Los Angeles, CA
  7. Lines: 59
  8. Sender: tsudik@pollux.usc.edu (Gene Tsudik)
  9. Distribution: world
  10. Message-ID: <l7g11bINNlib@pollux.usc.edu>
  11. NNTP-Posting-Host: pollux.usc.edu
  12.  
  13. In article <Bs3vCz.K13@cs.columbia.edu> ji@cs.columbia.edu
  14. (John Ioannidis) writes:
  15.  
  16.   >* A firewall is no excuse for lax internal security. To wit:
  17.   >  - In a large organization, there are bound to be "bad guys" (either
  18.   >    through malice, negligence, or sheer stupidity) inside the
  19.   >    organization as well. No firewall is going to protect you against
  20.   >    those.
  21.  
  22. True. But it is safe to assume that there is a much larger and much more
  23. "varied" population of "bad guys" outside than in. 
  24.  
  25.   >  - A firewall only protects you against *known* external threats.
  26.  
  27. This is not a convincing point. Any security measure whether implemented in
  28. a firewall gateway or in an end-system is going to protect you only against
  29. *known* attacks.
  30.  
  31.   >* The network should switch bits and enforce routing policies -- not
  32.   >  cover up for insecure applications.
  33.   > 
  34.   >* Having firewalls reduces the urgency (that is, the pressure on the
  35.   >  vendors) of patching those security holes. It's a vicious cycle.
  36.   > 
  37.   >* We've seen analogies such as putting locks on the front door rather
  38.   >  than each individual room, and that it's perfectly acceptable
  39.   >  capitalist behavior to put a firewall gateway in front of your
  40.   >  network. I claim that this is far from being capitalistic; you're
  41.   >  being communist inside, and hiding behind an Iron Curtain.
  42.  
  43. I see. So, to be a true capitalist I would have to padlock the doors to
  44. individual rooms (end-systems or hosts) and let the sh*t fly in the corridors,
  45. right? 
  46.  
  47. I'm afraid that no matter how secure you make the hosts, the problem of 
  48. securing internal links will remain. You are assuming that the only purpose of
  49. firewalls is to protect otherwise vulnerable hosts. 
  50. What about the rest of internal network resources: links, bridges and even 
  51. the network interfaces of the very same hosts? 
  52.  
  53. Without firewalls, no matter how secure the OS, 
  54. your workstation can be bombarded and flooded with meaningless garbage
  55. traffic from outside of your organization. This can render your 
  56. workstation unusable. Moreover, valuable communication resources, e.g., 
  57. critical internal links, can be similarly flooded with trash from the outside 
  58. thus denying service to legitimate internal users.
  59.  
  60. I don't think many people (me included) believe that firewalls are elegant. 
  61. They constitute an ugly solution to an even uglier problem.
  62.  
  63. Cheers,
  64.  
  65. Gene
  66.  
  67. gts@zurich.ibm.com
  68.  
  69. -- 
  70. ----------------------
  71. Gene Tsudik, Member FDIC
  72.