Varför blockeras UDP av brandväggar?

Permalänk
Medlem

Varför blockeras UDP av brandväggar?

I min kurslitteratur står det ständigt att UDP blockeras av många brandväggar och att "TCP passes more easily through firewalls".
Hittade dock inget när jag googlade, är det pga avsaknaden av congestion control eller varför på detta viset? Är det sant?

Permalänk
Medlem

Sant och sant - det beror väl på hur brandväggen är konfad...

När det gäller TCP så sätter man oftast upp en grundregel som säger att etablerade sessioner är OK och en annan regel som säger att det är OK för LAN-sidan att starta (etablera) sessioner. Det betyder att du inte har några problem att få igenom TCP-trafik så länge sessionen sätts upp från LAN-sidan.

UDP fungerar inte på samma sätt utan är "stateless" och det är därmed svårare att skriva en enkel grundregel som tillåter UDP.

Permalänk
Medlem
Skrivet av madtop:

Sant och sant - det beror väl på hur brandväggen är konfad...

När det gäller TCP så sätter man oftast upp en grundregel som säger att etablerade sessioner är OK och en annan regel som säger att det är OK för LAN-sidan att starta (etablera) sessioner. Det betyder att du inte har några problem att få igenom TCP-trafik så länge sessionen sätts upp från LAN-sidan.

UDP fungerar inte på samma sätt utan är "stateless" och det är därmed svårare att skriva en enkel grundregel som tillåter UDP.

I alla fall om man inte pratar om kommersiella brandväggar. Där är det lätt konfigurera så att man från insidan till utsidan tillåter att öppna en förbindelse med UDP. Visst, det är inte "three way handshake", men du kan ändå hålla reda på en session. Normalt är dock att den inte alls har samma livslängd som en etablerad TCP-session.

Sedan är det inte alls lika vanligt att man behöver UDP. Visst, det används för IPSec-tunnlar, DNS samt streamingtjänster såsom ljud och bild i realtid (och torrent).
Streamar du en film så kan du buffra upp i förväg vilket gör att TCPs felkorrigering och att varje paket data ska "ackas", men pratar man i telefon är UDP det enda alternativet då man inte kan hålla på att vänta in paket. Försvinner något paket så är det inte hela världen...

När jag tänker efter så är det väl ingen som kör torrent hemifrån som har problem med att inte kunna öppna portar för UDP? UPnP brukar lösa det hur lätt som helst.

Permalänk
Medlem
Skrivet av Talisker00:

När jag tänker efter så är det väl ingen som kör torrent hemifrån som har problem med att inte kunna öppna portar för UDP? UPnP brukar lösa det hur lätt som helst.

Garv... är du ironisk?

Du är väl minst lika aktiv som jag på det här forumet och du kan omöjligt ha missat alla portöppningstrådar. Det är ju ett minst ett dussin trådar i veckan på temat. (Fast det beror nog mest på att många inte begriper vad de håller på med.)

Permalänk
Medlem

UDP används rätt så flitigt för DDoS attacker så jag antar att det nog är just därför man som standard lägger upp regler för UDP trafik i brandväggen.

Permalänk
Medlem
Skrivet av madtop:

Garv... är du ironisk?

Du är väl minst lika aktiv som jag på det här forumet och du kan omöjligt ha missat alla portöppningstrådar. Det är ju ett minst ett dussin trådar i veckan på temat. (Fast det beror nog mest på att många inte begriper vad de håller på med.)

Jo, jag är en stor motståndare till UPnP:)

Men, det brukar väl inte vara svårare att öppna UDP än TCP i de här bredbandsroutrarna i alla fall.

Och om DDOS. Jo, det är oerhört mycket effektivare att köra DDOS med UDP. Anledningen är att det inte kräver "three way handshake" för att öppna en förbindelse. Ska man verkligen öppna förbindelsen mot en server så krävs att man skickar med korrekt IP adress och som sagt betydligt mer.
Kör man DDOS mot DNS så behöver man bara skicka ett intergalaktiskt antal UDP paket på port 53. Dessutom kan man bryta standarden att skicka så små paket som möjligt då routrar ändå brukar skicka vidare dem, men för en server (och oftast en brandvägg) är det mycket jobbigare. Anledningen är att det ryms fler paket på samma bandbredd om de är små, men för en server som ska plocka upp paketet så tar den ett paket per "mottaggarbuffert". Dvs, den får det jobbigare för varje paket är nästan lika jobbiga att ta från nätverkskortet till CPU. Ju fler mindre paket, desto fler paket. Ju fler paket, desto jobbigare för servern alltså...

Permalänk
Medlem
Skrivet av Talisker00:

Jo, jag är en stor motståndare till UPnP:)

Men, det brukar väl inte vara svårare att öppna UDP än TCP i de här bredbandsroutrarna i alla fall.

Och om DDOS. Jo, det är oerhört mycket effektivare att köra DDOS med UDP. Anledningen är att det inte kräver "three way handshake" för att öppna en förbindelse. Ska man verkligen öppna förbindelsen mot en server så krävs att man skickar med korrekt IP adress och som sagt betydligt mer.
Kör man DDOS mot DNS så behöver man bara skicka ett intergalaktiskt antal UDP paket på port 53. Dessutom kan man bryta standarden att skicka så små paket som möjligt då routrar ändå brukar skicka vidare dem, men för en server (och oftast en brandvägg) är det mycket jobbigare. Anledningen är att det ryms fler paket på samma bandbredd om de är små, men för en server som ska plocka upp paketet så tar den ett paket per "mottaggarbuffert". Dvs, den får det jobbigare för varje paket är nästan lika jobbiga att ta från nätverkskortet till CPU. Ju fler mindre paket, desto fler paket. Ju fler paket, desto jobbigare för servern alltså...

Används UDP mer flitigt än TCP i DDOS attacker? Enda jag läst om är TCP SYN flooding.
Men portar för DNS måste väl ändå vara öppna (UDP)?

Permalänk
Medlem
Skrivet av spel565:

Används UDP mer flitigt än TCP i DDOS attacker? Enda jag läst om är TCP SYN flooding.
Men portar för DNS måste väl ändå vara öppna (UDP)?

Tcp syn-flooding kan stoppad av vissa brandväggar (nu pratar vi inte hemmagrejor dock) genom att brandväggen svarar på syn genom att skicka syn ack. När då det tredje paketet kommer från klienten skickas ett syn mot servern innanför. Det ställer då krav på angriparen att använda sin riktiga ip adress då det aldrig blir en förbindelse annars. Syn flooding fungerar givetvis om inte brandväggen har sådan syn-relay genom att då belastas servern, men annars kan alltså servrarna skyddas mot tcp DDOS. en riktig brandvägg kan också förhindra att för många anslutningar skapas från samma klient per sekund.

Dvs, det finns en del skydd man kan använda, men tänk på att ibland är det brandväggen som kan gå på knäna och inte servern innanför också...

Specifikt dns eller andra UDP-anslutningar tillåts givitsvis inte alltid, men många företag och isps har det öppet till sina namnservrar.

Skickades från m.sweclockers.com

Permalänk
Medlem

Per default blockerar du all som du inte själv anger.
I kommersiella FW iaf. Vet ej hur det är med hemmamarknaden.

Visa signatur

"Trust Me, I'm an Engineer"