Anti-padrões de firewall?

9

Quais são algumas das maneiras mais comuns e erradas de configurar um firewall? Vou começar a lista com o seguinte:

Blindando cegamente o ICMP . Esta era uma prática comum em 1998, quando os ataques de smurf eram toda a raiva. Hoje você corre o risco de criar um buraco negro PMTU e dificultar o diagnóstico de problemas. Se você precisar bloquear o ICMP, pelo menos, permita a fragmentação necessária e responda / envie solicitações de eco.

Regras antigas . É uma pena que não podemos definir uma data de expiração nas regras. Quando migro um serviço, muitas vezes esqueço-me de remover as regras do serviço antigo.

    
por Gerald Combs 10.08.2010 / 22:42

6 respostas

9

Abrindo para fazer funcionar ... depois nunca mais voltar e bloquear qualquer coisa.

    
por 10.08.2010 / 22:22
6

Após o exemplo de João - não usar comentários contra regras se o seu firewall os aceitar .

Não há nada pior do que ver um firewall pela primeira vez e ver todo tipo de regras estranhas que não fazem sentido a olho nu, e os comentários estão em branco e não há documentação.

    
por 13.04.2017 / 14:14
2

Sobre o assunto das regras obsoletas, de acordo com o seu exemplo - Documentação e procedimentos adequados ELIMINARÃO tais questões. Eu sugiro que o seu problema não esteja no firewall.

    
por 11.08.2010 / 02:31
1

Pessoalmente, considero a divisão de regras de entrada e saída em dois grupos principais como um antipadrão. Ter que lidar com dois grupos enormes é um pesadelo. Eu prefiro agrupar regras para tráfego de entrada e saída relacionado a um determinado protocolo / aplicativo. Desta forma é muito mais fácil gerenciá-los.

    
por 10.08.2010 / 22:30
1

Mova o problema para outro lugar.

por exemplo. O firewall de PCs locais está impedindo que algum serviço ou aplicativo funcione, portanto, desative-o completamente e diga "o firewall no roteador de borda estará ok para proteger todos os PCs".

    
por 11.08.2010 / 01:08
1

Elaboração e manutenção manual dos mesmos.

Scripts antigos de terceiros que "funcionam bem o suficiente para que não nos incomodemos em substituí-los", exigem edição manual em vez de usar arquivos de configuração e são completamente incompreensíveis para pessoas que não leram a tese descrevendo como funcionam.

    
por 11.08.2010 / 17:56

Tags