Das mit dem Logserver ist ja soweit ganz gut, habe jetzt alle Kunden zumindest mit fester IP auf meinem Server laufen.
Was ist aber mit DynDns Kunden? Es ist mir nicht gelungen eine Firewall darauf zu konfigurieren. Des weiteren fehlt der Securepoint 2007NX dringend eine Namensauflösung!!!! Es muss doch möglich sein dem Kind beizubringen nicht nur nach starren IP Adressen zu gehen, oder? dabei sollte das Regelwerk ebenso sich automatisch aktualisieren lassen.
Log-Server
Moderator: Securepoint
nachdem ich grad am stöbern bin, beantworte ich das mal hier nach bestem wissen und gewissen 
eine namensauflösung ist bei keiner firewall möglich für normale regeln.
es hätte zur folge, dass für jedes eingehende paket ein dns-query erfolgen müsste, um auf den namen zu prüfen.
das würde _jede_ firewall in die knie zwingen und von performance wäre nicht mehr die rede
gruß, christof.
eine namensauflösung ist bei keiner firewall möglich für normale regeln.
es hätte zur folge, dass für jedes eingehende paket ein dns-query erfolgen müsste, um auf den namen zu prüfen.
das würde _jede_ firewall in die knie zwingen und von performance wäre nicht mehr die rede
gruß, christof.
Wieso in die Knie? - Das ist nicht korrekt, da hierfuer eben der DNS-Cache und ein TTL fuer die Zone besteht. Die SP macht als forwarder auch nicht fuer jede DNS-Anfrage wieder eine neue nach extern, wie eben jeder normale DNS-Server.
Ob die Ast**o das "schon" implementiert hat weiss ich nicht (aber wenns angegeben wird, gehe ich mal davon aus.
Von Netscr**n weiss ich es zu 100%, dass auch Regeln definiert werden koennen, die auf einem A-Record basieren.
Gruss
M.Goeres
Ob die Ast**o das "schon" implementiert hat weiss ich nicht (aber wenns angegeben wird, gehe ich mal davon aus.
Von Netscr**n weiss ich es zu 100%, dass auch Regeln definiert werden koennen, die auf einem A-Record basieren.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Das sehe ich ein bisschen anders.
Selbst wenn ein Caching DNS-server im Einsatz ist, muss dieser auch gefragt werden. TTL kennt nur der Cache, ist daher auch wurscht. (ich vernachlässige mal, das auch die TTL irgendwann abläuft, und ich in genau diesem Moment ne (akademisch gesehen) nervige Verzögerung für diesen Query in Kauf nehmen muss, die von der Standard-Response-Zeit abweicht).
Das Caching an sich verschlimmert lediglich die folgend geschilderte Verhaltensweise nicht zusätzlich.
Ein DNS-Query (Reverse-Lookup) bedeutet üblicherweise 6 DNS-Pakete, die zwischen dem anfragenden Host und dem DNS-server kommuniziert werden müssen.
Je nach Einsatzgebiet mag eine Aufwandserhöhung um den Faktor 6 (im besten Falle aller neu aufgebauten Connections, im schlimmsten Falle jedes Packets) akzeptabel sein. Bei hochperformanten Anbindungen jedoch, die ne Menge Traffic zu handlen haben von hunderten bis tausenden unterschiedlicher zeitgleicher Connections kann ich mir durchaus vorstellen, dass das Probleme macht.
Vorausgesetzt ich brauche für jeden "erlaubten" Server eine Regel, ist das mit den 6 DNS-Paketen zudem kein fixer Wert.
Wenn beispielsweise 5 Regeln Mailserver spezifizieren, von denen Connections per SMTP angenommen werden dürfen sind wir schon bei 30 Paketen _pro_ Verbindungsversuch auf Port 25. Je nach Last kommen da schon widerliche Szenarien bei raus :oops:
Bei selten genutzten Anwendungen (SSM) mag es ja gehen, aber da wo wirklich Last anfällt .. hum hum...
Thema Antwortzeiten.. Wie lange soll die Firewall maximal warten, bis Sie ihre DNS-Reply erhält ? Und demnach ihre Entscheidung treffen kann (Grant| Deny) ?
Thema Verfügbarkeit: Was passiert, wenn DNS aus welchen Gründen auch immer, momentan nicht verfügbar ist ? Dann kommen (Beispiel Mailserver) keine Mails mehr rein.. Nicht zuletzt baut man durch die Verwendung namens-basierter Regeln eine weitere Abhängigkeit eines Dienstes ein.
Klar, vor allem das Thema Verfügbarkeit lässt sich sicherlich entschärfen, aber..
Will man diesen Aufwand betreiben, um eine geringfügig nützliche Funktionalität zu erhalten, die sehr selten tatsächlich etwas bringt ? Wie häufig wechseln die IPs gültiger Kommunikationspartner ? Persönlich brauche ich es nicht. Nice to have.. aber wie gesagt.. den Rattenschwanz an möglichen Probs,den man sich dadurch einhandelt, halte ich für überflüssig.
Gruß, Christof.
Selbst wenn ein Caching DNS-server im Einsatz ist, muss dieser auch gefragt werden. TTL kennt nur der Cache, ist daher auch wurscht. (ich vernachlässige mal, das auch die TTL irgendwann abläuft, und ich in genau diesem Moment ne (akademisch gesehen) nervige Verzögerung für diesen Query in Kauf nehmen muss, die von der Standard-Response-Zeit abweicht).
Das Caching an sich verschlimmert lediglich die folgend geschilderte Verhaltensweise nicht zusätzlich.
Ein DNS-Query (Reverse-Lookup) bedeutet üblicherweise 6 DNS-Pakete, die zwischen dem anfragenden Host und dem DNS-server kommuniziert werden müssen.
Je nach Einsatzgebiet mag eine Aufwandserhöhung um den Faktor 6 (im besten Falle aller neu aufgebauten Connections, im schlimmsten Falle jedes Packets) akzeptabel sein. Bei hochperformanten Anbindungen jedoch, die ne Menge Traffic zu handlen haben von hunderten bis tausenden unterschiedlicher zeitgleicher Connections kann ich mir durchaus vorstellen, dass das Probleme macht.
Vorausgesetzt ich brauche für jeden "erlaubten" Server eine Regel, ist das mit den 6 DNS-Paketen zudem kein fixer Wert.
Wenn beispielsweise 5 Regeln Mailserver spezifizieren, von denen Connections per SMTP angenommen werden dürfen sind wir schon bei 30 Paketen _pro_ Verbindungsversuch auf Port 25. Je nach Last kommen da schon widerliche Szenarien bei raus :oops:
Bei selten genutzten Anwendungen (SSM) mag es ja gehen, aber da wo wirklich Last anfällt .. hum hum...
Thema Antwortzeiten.. Wie lange soll die Firewall maximal warten, bis Sie ihre DNS-Reply erhält ? Und demnach ihre Entscheidung treffen kann (Grant| Deny) ?
Thema Verfügbarkeit: Was passiert, wenn DNS aus welchen Gründen auch immer, momentan nicht verfügbar ist ? Dann kommen (Beispiel Mailserver) keine Mails mehr rein.. Nicht zuletzt baut man durch die Verwendung namens-basierter Regeln eine weitere Abhängigkeit eines Dienstes ein.
Klar, vor allem das Thema Verfügbarkeit lässt sich sicherlich entschärfen, aber..
Will man diesen Aufwand betreiben, um eine geringfügig nützliche Funktionalität zu erhalten, die sehr selten tatsächlich etwas bringt ? Wie häufig wechseln die IPs gültiger Kommunikationspartner ? Persönlich brauche ich es nicht. Nice to have.. aber wie gesagt.. den Rattenschwanz an möglichen Probs,den man sich dadurch einhandelt, halte ich für überflüssig.
Gruß, Christof.
-
lst-escheburg
- Beiträge: 96
- Registriert: Do 08.03.2007, 18:18
Naja, wer es nicht braucht kann es ja abschalten. Aber es ist schon nicht schlecht, denn durch diese Namensauflösung wird vieles vereinfacht. Und bei der A****o funktioniert diese Funktion einwandfrei.
-
Andre
- Beiträge: 20
- Registriert: Di 13.03.2007, 13:10
- Wohnort: Hannover, Stuttgart, Schwäbisch Gmünd
- Kontaktdaten:
Moin
Der ISA Server hat dieses auch, genau so wie die Fortinet's.
Eine nette Sache, und von Performaceverlusten ist wenig zu spüren. Wenn es mal an der Performance hakt, dann hängt das in der Regel an anderen Diensten, z.B. Proxy.
Gruß
Andre
Der ISA Server hat dieses auch, genau so wie die Fortinet's.
Eine nette Sache, und von Performaceverlusten ist wenig zu spüren. Wenn es mal an der Performance hakt, dann hängt das in der Regel an anderen Diensten, z.B. Proxy.
Gruß
Andre
Moin,
wir denke über eine Aufnahme nach ... Probleme was passiert wenn ich zu einer Adresse(google.de) mehrer IPs bekommen.
Performance der FW?
Ausserdem müsste sich das Regwerk alle x-Minuten neustarten um die Namen in IPs aufzulösen ... dann wären in dieser Zeit keine Verbindungen möglich.
wir denke über eine Aufnahme nach ... Probleme was passiert wenn ich zu einer Adresse(google.de) mehrer IPs bekommen.
Performance der FW?
Ausserdem müsste sich das Regwerk alle x-Minuten neustarten um die Namen in IPs aufzulösen ... dann wären in dieser Zeit keine Verbindungen möglich.
There are 10 types of people in the world... those who understand binary and those who don\'t.