home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #16 / NN_1992_16.iso / spool / comp / protocol / tcpip / 3939 < prev    next >
Encoding:
Text File  |  1992-07-31  |  1.8 KB  |  42 lines

  1. Newsgroups: comp.protocols.tcp-ip
  2. Path: sparky!uunet!shearson.com!newshost!pmetzger
  3. From: pmetzger@snark.shearson.com (Perry E. Metzger)
  4. Subject: Re: Stopping only incoming TCP connections (was: Firewall usage)
  5. In-Reply-To: rh0083b@medtronic.COM's message of Fri, 31 Jul 1992 07:41:54 GMT
  6. Message-ID: <PMETZGER.92Jul31120203@snark.shearson.com>
  7. Sender: news@shearson.com (News)
  8. Reply-To: pmetzger@shearson.com
  9. Organization: Lehman Brothers
  10. References: <17011@ulysses.att.com> <1992Jul28.202211.14029@shearson.com>
  11.     <chrisc.21.712446813@ramrod.lmt.mn.org>
  12.     <1992Jul31.074154.4081@medtron.medtronic.com>
  13. Date: Fri, 31 Jul 1992 17:02:03 GMT
  14. Lines: 26
  15.  
  16.  
  17. In article <1992Jul31.074154.4081@medtron.medtronic.com> rh0083b@medtronic.COM (Roger-Hunen) writes:
  18.  
  19. >From: rh0083b@medtronic.COM (Roger-Hunen)
  20.  
  21. >So what you really want is application level proxies in the firewall for
  22. >TELNET, FTP, MAIL etc. Of course this defaults to the 'everything is
  23. >forbidden unless permitted' approach.
  24.  
  25. Ah, but this is a real pain in the posterior, and breaks the semantics
  26. of many applications. By using intelligent filtering of SYN packets,
  27. socket numbers, etc, you can allow easy addition of new services (such
  28. as WAIS) without needing to write new code or break security.
  29.  
  30. For extra security, I'm considering building a firewall in which
  31. requests to change filtering can come in on a kerberized TCP service,
  32. and then restricting everything. Users wanting to go through the
  33. gateway would have to explicitly open a "narrow hole" through the
  34. firewall in order to get out, thus eliminating any "random"
  35. connections; the holes would time out after a while if no packets of
  36. the appropriate kind had gone through.
  37. --
  38. Perry Metzger        pmetzger@shearson.com
  39. --
  40.           Just say "NO!" to death and taxes.
  41.              Extropian and Proud.
  42.