<html>
<head>
</head>
<body>
Sorry for changing the subject, but what is the general state of the art
on application-level firewalls? Are any of them ready for prime time?<br>
-hedd<br>
<br>
Dug Song wrote:<br>
<blockquote type="cite" cite="mid:20020418143408.GV29490@...5263...">
  <pre wrap="">On Wed, Apr 17, 2002 at 11:11:54PM +0000, Dragos Ruiu wrote:<br><br></pre>
  <blockquote type="cite">
    <pre wrap="">First, this is not a snort-only issue, as I would wager other idses<br>have as many if not more evasion modes as well as sharing these with<br>Snort...<br></pre>
    </blockquote>
    <pre wrap=""><!----><br>absolutely correct. Snort, i'd wager, does much better than most.<br><br>most stateful inspection firewalls and "intrusion prevention" or other<br>application-layer content filtering devices (e.g. Cisco NBAR) have<br>similar vulnerabilities that may be tested with fragroute.<br><br></pre>
    <blockquote type="cite">
      <pre wrap="">Most firewalls these days (especially Linux and OpenBSD ones)<br>actually do reassembly inbound.<br></pre>
      </blockquote>
      <pre wrap=""><!----><br>this isn't quite true. most stateful inspection firewalls do "virtual<br>reassembly" for IP fragments, and a few do basic window tracking for<br>TCP connections, but will still allow most fragroute-style attacks<br>through (e.g. duplicate overwriting TCP segments with older TCP<br>timestamp options for PAWS elimination, short TTLs, etc.).<br><br>your best bet (for the truly paranoid) is an application-layer<br>firewall, but we all knew that already. :-)<br><br>TCP scrubbers, as proposed by Malan, Paxson, et al. [1] [2] and<br>implemented by Provos, Paxson, et al. [3] [4] are a good intermediate<br>solution, but haven't found widespread deployment.<br><br></pre>
      <blockquote type="cite">
        <pre wrap="">This was an interesting point discovered recently when it was<br>realized that the snort defragger was actually never getting touched<br>at all in some installations.<br></pre>
        </blockquote>
        <pre wrap=""><!----><br>IP fragmentation is rare to begin with [5], so i wouldn't chalk this<br>up to firewall magic - especially when all major firewalls still pass<br>fragments in their default configuration, and ONLY OpenBSD pf and<br>Linux netfilter can actually be configured to reassemble. even fewer<br>track TCP windows, options, etc...<br><br>-d.<br><br>[1] <a class="moz-txt-link-freetext" href="http://www.eecs.umich.edu/~rmalan/publications/mwjhInfocomm2000.ps.gz">http://www.eecs.umich.edu/~rmalan/publications/mwjhInfocomm2000.ps.gz</a><br>[2] <a class="moz-txt-link-freetext" href="http://www.icir.org/vern/papers/norm-usenix-sec-01.ps.gz">http://www.icir.org/vern/papers/norm-usenix-sec-01.ps.gz</a><br>[3] <a class="moz-txt-link-freetext" href="http://www.openbsd.org/cgi-bin/cvsweb/src/sys/net/pf_norm.c">http://www.openbsd.org/cgi-bin/cvsweb/src/sys/net/pf_norm.c</a><br>[4] <a class="moz-txt-link-freetext" href="http://www.mirrors.wiretapped.net/security/netwo
rk-intrusion-detection/norm/">http://www.mirrors.wiretapped.net/security/network-intrusion-detection/norm/</a><br>[5] <a class="moz-txt-link-freetext" href="http://www.caida.org/outreach/papers/2001/Frag/">http://www.caida.org/outreach/papers/2001/Frag/</a><br><br>---<br><a class="moz-txt-link-freetext" href="http://www.monkey.org/~dugsong/">http://www.monkey.org/~dugsong/</a><br><br></pre>
        </blockquote>
        <br>
        </body>
        </html>