Anti-pattern del firewall?

9

Quali sono alcuni dei modi più comuni e sbagliati per configurare un firewall? Inizierò l'elenco con il seguente:

ICMP che blocca ciecamente . Questa era una pratica comune nel 1998 quando gli attacchi di puffi erano di gran moda. Oggi corri il rischio di creare un buco nero PMTU e di rendere difficile la diagnosi dei problemi. Se è necessario bloccare ICMP, almeno consentire la frammentazione necessaria ed echo richiesta / risposte.

Regole stantie . Peccato che non possiamo fissare una data di scadenza sulle regole. Quando migra un servizio spesso mi dimentico di rimuovere le regole per il vecchio servizio.

firewall

— Gerald Combs
fonte

3

Questo potrebbe diventare un po 'polemico, penso.

— Squillman,

Buon punto. Ho attenuato un po 'il mio esempio. Speriamo di poter sfatare alcuni miti senza scappare.

— Gerald Combs

9

Aprendolo per farlo funzionare ... quindi non tornare mai indietro e bloccare qualcosa.

— Chris S
fonte

1

politica di default: accetta, dopo un set di regole completamente ottimizzato, perché altrimenti alcuni dettagli non funzioneranno. Visto troppe volte.

— Joris,

2

+100 - L'ultima volta che ho sentito sono stato tentato di diventare violento, "Ma qualcosa potrebbe smettere di funzionare e non possiamo risparmiare tempo per bloccarlo una porta alla volta". MA QUELLO È IL NOSTRO LAVORO ... / headdesk

— Kara Marfia,

6

In seguito all'esempio di John - non usare commenti contro le regole se il firewall li supporta.

Non c'è niente di peggio che vedere un firewall per la prima volta e vedere ogni sorta di strane regole che non hanno senso a occhio nudo, e i commenti sono tutti vuoti e non c'è documentazione.

— Mark Henderson
fonte

2

Per quanto riguarda le regole obsolete, come nel tuo esempio - Una documentazione e procedure adeguate elimineranno tali problemi. Suggerisco che il tuo problema non sia affatto al firewall.

— John Gardeniers
fonte

1

Aiuterà anche quando qualcuno arriva e dice "Hmm, perché stiamo bloccando la porta in uscita 4345 da questo singolo indirizzo IP? Mi chiedo se elimini (non disabilito) questa regola cosa accadrà ..." e poi l'universo esplode .

— Mark Henderson,

1

E ovviamente affrontiamo quindi l'argomento del controllo della versione ...

— John Gardeniers,

1

Personalmente ritengo che suddividere le regole inbound e outbound in due gruppi principali sia un anti-pattern. Dover trattare con due grandi gruppi è un incubo. Preferisco raggruppare le regole per il traffico in entrata e in uscita relative a un determinato protocollo / applicazione. In questo modo è molto più facile gestirli.

— halp
fonte

1

Sposta il problema altrove.

per esempio. il firewall del PC locale sta interrompendo il funzionamento di alcuni servizi o app, quindi disabilitarlo completamente e dire "il firewall sul router perimetrale sarà ok per proteggere tutti i PC".

— gbjbaanb
fonte

1

Lavorazione manuale e manutenzione.

Antichi script di terze parti che "funzionano abbastanza bene da non disturbarci a sostituirli", richiedono la modifica manuale invece di utilizzare i file di configurazione e sono completamente incomprensibili per le persone che non hanno letto la tesi che descrive come funzionano.

— Andrew
fonte

Sembra più un problema di commento / documentazione che il fatto che qualcuno abbia scritto una sceneggiatura.

— Chris S,

@ Chris è stato modificato di conseguenza.

— Andrew,