Anti-padrões de firewall?

Question

Anti-padrões de firewall?

#1 resposta do (9 votos)
#2 resposta do (6 votos)
#3 resposta do (2 votos)
#4 resposta do (1 votos)
#5 resposta do (1 votos)
#6 resposta do (1 votos)

9

Quais são algumas das maneiras mais comuns e erradas de configurar um firewall? Vou começar a lista com o seguinte:

Blindando cegamente o ICMP . Esta era uma prática comum em 1998, quando os ataques de smurf eram toda a raiva. Hoje você corre o risco de criar um buraco negro PMTU e dificultar o diagnóstico de problemas. Se você precisar bloquear o ICMP, pelo menos, permita a fragmentação necessária e responda / envie solicitações de eco.

Regras antigas . É uma pena que não podemos definir uma data de expiração nas regras. Quando migro um serviço, muitas vezes esqueço-me de remover as regras do serviço antigo.

firewall

por Gerald Combs 10.08.2010 / 22:42

6 respostas

Tags firewall

Pela primeira vez abrindo um servidor SSH à internet, o que verificar vantagens em fechar uma porta onde nenhum serviço está sendo executado

score 9 · Answer 1

Abrindo para fazer funcionar ... depois nunca mais voltar e bloquear qualquer coisa.

score 6 · Answer 2

Após o exemplo de João - não usar comentários contra regras se o seu firewall os aceitar .

Não há nada pior do que ver um firewall pela primeira vez e ver todo tipo de regras estranhas que não fazem sentido a olho nu, e os comentários estão em branco e não há documentação.

score 2 · Answer 3

Sobre o assunto das regras obsoletas, de acordo com o seu exemplo - Documentação e procedimentos adequados ELIMINARÃO tais questões. Eu sugiro que o seu problema não esteja no firewall.

score 1 · Answer 4

Pessoalmente, considero a divisão de regras de entrada e saída em dois grupos principais como um antipadrão. Ter que lidar com dois grupos enormes é um pesadelo. Eu prefiro agrupar regras para tráfego de entrada e saída relacionado a um determinado protocolo / aplicativo. Desta forma é muito mais fácil gerenciá-los.

score 1 · Answer 5

Mova o problema para outro lugar.

por exemplo. O firewall de PCs locais está impedindo que algum serviço ou aplicativo funcione, portanto, desative-o completamente e diga "o firewall no roteador de borda estará ok para proteger todos os PCs".

score 1 · Answer 6

Elaboração e manutenção manual dos mesmos.

Scripts antigos de terceiros que "funcionam bem o suficiente para que não nos incomodemos em substituí-los", exigem edição manual em vez de usar arquivos de configuração e são completamente incompreensíveis para pessoas que não leram a tese descrevendo como funcionam.