FireWall Kontest

Firewall Kontest

Na těchto stránkách naleznete informace o průběhu Firewall Kontestu. Cílem tohoto počinu je otestovat v reálném a co možná nejdivočejším provozu velké množství firewallů, především hardwareových. Informace naleznete jednak na tomto webu a díky laskavosti magazínu ROOT.CZ, též na adrese: http://root.cz/clanek.phtml?id=1128, kde jsou i pravidla kontestu. Aktuality a vyhodnocení se objeví na tomto, či alternativním webu recenze pak na některém Inetovém magazínu, nejspíše na www.technet.cz. Odkaz na každou recenzi bude k dispozici zde.

KANDIDÁT: INFORMACE: IP: TERMÍN: POZNÁMKY:
RoBoX Internet Firewall GB-25 Software: GNAT Box Firewall 3.2.4s
Hardware: AMD 133MHz + Embedded FreeBSD 147.230.190.20 18.4. - 25.4.2002 Recenze ještě není
Zapůjčil:

Výsledky testu:
Na stroj umístený za firewallem nepronikl dle logu žádný paket. Firewall tento první test tedy splnil. Ostatně byla by opravdu ostuda, kdyby ne. Upozornuji však, že tento výsledek nelze nijak přeceňovat. Problematikou mj. nevhodného hodnocení testu se zabývá tento článek na Kryptě. Rozhodně dopoučuji k přečtení, neboť každá informace, která pomáhá rozkrývat sítě marketingových kouzelníků, se může nejen hodit, ale i vyplatit:)
Log chráněného stroje: zcela prázdný (všech asi 10 logu které má smysl sledovat)
Log Firewallu: Bohužel veškerá data jsou uchovávána v rotačním registru na RAMdisku. Default konfigurace neodesílá log na jiný stroj a (což jsem netušil) pri rebootu, kterému jsem se nevyhnul se obsah tohoto souboru nevratně maže. Ono to není až tak nečekané, ale protože první test byl zcela v intencích nastavení od výrobce, neměnil jsem je ani v tomto případě.

Druhý test - ze života: Na FW je otevřeno několik portů, je k němu připojeno několik počítačů. Nelze stanovit předem výsledek, zda Firewall obstál či nikoli, vše bude vyhodnoceno z logsouboů, případně z ohořelých součástek firewallu. Data z logů budou shromáždována na jednom stroji, včetně exportovaného logu Firewallu. Protože však jsem zapnul velmi upovídané nastavení, nemohu slíbit, že je sem vystavím všechny. Ty důležité vystavím minimálně jako odkazy ke stažení

RoBoX Internet Firewall GB-25 147.230.190.20 7.5. - 14.5.2002
možná déle Výsledky: Jsou v recenzi na Technetu.
Redakce recenzi rozdělila na díly: 1.dil, 2.dil, 3.dil, 4.dil, 5.dil

Pravidla:
Na firewallu jsou otevřené tyto porty:
TCP/443, 77, 76, 113, 80(*), 22, 25;
UDP/520, 53
ICMP/24, 9, 10, 8
IGMP/24
* - nestihl jsem nainstalovat webserver, takže port 80 je přesměrovaný na ECHO (TCP/7).
Pokud byste toužili po otevření dalšího portu a mělo by to rozumný důvod, pošlete mail.

Konfigurace:
RoBoX má 3 NICy, vše 10/100Mbit. Na každém konektoru je připojená jiná síť pod jiným IP.
EXTERNAL: 147.230.190.20 255.255.255.0 sis1
HELP: 192.168.191.20 255.255.255.0 sis2
PROTECTED: 192.168.190.20 255.255.255.0 sis0

Na EXTERNAL portu je RoBoX ppřipojený do Internetu. Lze jej libovolně skenovat, pingat atd. Další sítě jsou skryté a nedá (nemělo by se dát) na ně dosta, s výjimkou 3 tunelů, které spojují EXTERNAL (147.230.190.20) se stroji uvnitř na portech TCP/22 25 80. Systém by vás měl skrze tyto tunely pustit na stroj v HELP síti. Ten má IP: 192.168.191.21 a krom těch tří portů by měl být neviditelný. V síti PROTECTED je umístěn stroj 192.168.190.111, který vše loguje a neměl by být jakkoli přístupný. Z obou skrytých strojů se dá dostat ven do Internetu. Zatím není z nějakého důvodu přístupný stroj v HELP síti, ale to vyřeším, tunely fungují, je to věcí konfigurace toho stroje. Pro kontest to není podstatné, protože nejde o hackování stroje schovanéhov síti, ale o průniky firewallem. Nelze říci dopředu, co je a co není úspěšný pokus. Po skončení vyhodnotím logy a uvidíme, zda firewall obstál či nikoli. S dalšími dotazy se obracejte na Firew@sweb.cz (pokud by i nadále hlásil plný mailbox ... je tam přesně jeden mail + byl tam jeden červík, využijte prosím druhou adresu), nebo na Radoomek@pinknet.cz.
Firewallu můžete provádět prakticky cokoli, ale prosím omezte se jen na něj a stroje za ním, ať netrpí zbytek školy. Díky. Přeji mnoho štěstí.

Rád bych poděkoval pracovníkum Katedry Informatiky TU v Liberci a Cesnetu.
Též velmi děkuji zapůjčitelům testovaných firewallů

E-mail: Firew@sweb.cz Web: FireWall Kontest (http://sweb.cz/Firew/index.html)

Za podporu též děkuji:

KANDIDÁT:	INFORMACE:	IP:	TERMÍN:	POZNÁMKY:
RoBoX Internet Firewall GB-25	Software: GNAT Box Firewall 3.2.4s Hardware: AMD 133MHz + Embedded FreeBSD	147.230.190.20	18.4. - 25.4.2002	Recenze ještě není Zapůjčil:
Výsledky testu: Na stroj umístený za firewallem nepronikl dle logu žádný paket. Firewall tento první test tedy splnil. Ostatně byla by opravdu ostuda, kdyby ne. Upozornuji však, že tento výsledek nelze nijak přeceňovat. Problematikou mj. nevhodného hodnocení testu se zabývá tento článek na Kryptě. Rozhodně dopoučuji k přečtení, neboť každá informace, která pomáhá rozkrývat sítě marketingových kouzelníků, se může nejen hodit, ale i vyplatit:) Log chráněného stroje: zcela prázdný (všech asi 10 logu které má smysl sledovat) Log Firewallu: Bohužel veškerá data jsou uchovávána v rotačním registru na RAMdisku. Default konfigurace neodesílá log na jiný stroj a (což jsem netušil) pri rebootu, kterému jsem se nevyhnul se obsah tohoto souboru nevratně maže. Ono to není až tak nečekané, ale protože první test byl zcela v intencích nastavení od výrobce, neměnil jsem je ani v tomto případě.
Druhý test - ze života: Na FW je otevřeno několik portů, je k němu připojeno několik počítačů. Nelze stanovit předem výsledek, zda Firewall obstál či nikoli, vše bude vyhodnoceno z logsouboů, případně z ohořelých součástek firewallu. Data z logů budou shromáždována na jednom stroji, včetně exportovaného logu Firewallu. Protože však jsem zapnul velmi upovídané nastavení, nemohu slíbit, že je sem vystavím všechny. Ty důležité vystavím minimálně jako odkazy ke stažení
RoBoX Internet Firewall GB-25		147.230.190.20	7.5. - 14.5.2002 možná déle	Výsledky: Jsou v recenzi na Technetu. Redakce recenzi rozdělila na díly: 1.dil, 2.dil, 3.dil, 4.dil, 5.dil
Pravidla: Na firewallu jsou otevřené tyto porty: TCP/443, 77, 76, 113, *80(), 22, 25*; UDP/520, 53 ICMP/24, 9, 10, 8 IGMP/24 - nestihl jsem nainstalovat webserver, takže port 80 je přesměrovaný na ECHO (TCP/7). Pokud byste toužili po otevření dalšího portu a mělo by to rozumný důvod, pošlete mail. Konfigurace: RoBoX má 3 NICy, vše 10/100Mbit. Na každém konektoru je připojená jiná síť pod jiným IP. EXTERNAL: 147.230.190.20 255.255.255.0 sis1 HELP: 192.168.191.20 255.255.255.0 sis2 PROTECTED: 192.168.190.20 255.255.255.0 sis0 Na EXTERNAL portu je RoBoX ppřipojený do Internetu. Lze jej libovolně skenovat, pingat atd. Další sítě jsou skryté a nedá (nemělo by se dát) na ně dosta, s výjimkou 3 tunelů, které spojují EXTERNAL (147.230.190.20) se stroji uvnitř na portech TCP/22 25 80. Systém by vás měl skrze tyto tunely pustit na stroj v HELP síti. Ten má IP: 192.168.191.21 a krom těch tří portů by měl být neviditelný. V síti PROTECTED je umístěn stroj 192.168.190.111, který vše loguje a neměl by být jakkoli přístupný. Z obou skrytých strojů se dá dostat ven do Internetu. Zatím není z nějakého důvodu přístupný stroj v HELP síti, ale to vyřeším, tunely fungují, je to věcí konfigurace toho stroje. Pro kontest to není podstatné, protože nejde o hackování stroje schovanéhov síti, ale o průniky firewallem. Nelze říci dopředu, co je a co není úspěšný pokus. Po skončení vyhodnotím logy a uvidíme, zda firewall obstál či nikoli. S dalšími dotazy se obracejte na Firew@sweb.cz (pokud by i nadále hlásil plný mailbox ... je tam přesně jeden mail + byl tam jeden červík, využijte prosím druhou adresu), nebo na Radoomek@pinknet.cz. Firewallu můžete provádět prakticky cokoli, ale prosím omezte se jen na něj a stroje za ním, ať netrpí zbytek školy. Díky. Přeji mnoho štěstí.