Anti-padrões de firewall?

9

Quais são algumas das maneiras mais comuns e erradas de configurar um firewall? Vou começar a lista com o seguinte:

Bloqueando cegamente o ICMP . Essa era uma prática comum em 1998, quando ataques de smurf eram a fúria. Hoje você corre o risco de criar um buraco negro de PMTU e dificultar o diagnóstico de problemas. Se você deve bloquear o ICMP, permita pelo menos a fragmentação necessária e faça eco das solicitações / respostas.

Regras obsoletas . Pena que não podemos definir uma data de validade para as regras. Quando migro um serviço, geralmente esqueço de remover as regras do serviço antigo.

Gerald Combs
fonte
3
Isso pode ficar um pouco argumentativo, acho.
squillman
Bom ponto. Eu diminuí um pouco meu exemplo. Espero que possamos dissipar alguns mitos sem cocô.
Gerald Combs

Respostas:

9

Abri-lo para fazê-lo funcionar ... e nunca mais voltar e trancar qualquer coisa.

Chris S
fonte
1
política padrão: aceite, após um conjunto de regras totalmente ajustado, caso contrário, alguns detalhes não funcionarão. Vi isso muitas vezes.
Joris
2
+100 - Fiquei tentado a ser violento da última vez que ouvi: "Mas algo pode parar de funcionar e não podemos poupar tempo para trancá-lo uma porta de cada vez". Mas esse é o nosso trabalho ... / headdesk
Kara Marfia
6

Posteriormente ao exemplo de John - não usando comentários contra regras se o seu firewall as suportar.

Não há nada pior do que ver um firewall pela primeira vez e ver todo tipo de regras estranhas que não fazem sentido a olho nu, e os comentários estão em branco e não há documentação.

Mark Henderson
fonte
2

Sobre o assunto de regras obsoletas, conforme seu exemplo - a documentação e os procedimentos adequados eliminarão esses problemas. Sugiro que seu problema não esteja no firewall.

John Gardeniers
fonte
1
Também ajuda quando alguém aparece e diz: "Hmm, por que estamos bloqueando a porta de saída 4345 desse único endereço IP? Gostaria de saber se simplesmente excluo (não desabilito) esta regra o que acontecerá ..." e então o universo explode .
Mark Henderson
1
E, claro, em seguida, abordar o assunto de controle de versão ...
John Gardeniers
1

Pessoalmente, considero a divisão de regras de entrada e saída em dois grupos principais um antipadrão. Ter que lidar com dois grandes grupos é um pesadelo. Prefiro agrupar regras para tráfego de entrada e saída relacionadas a um determinado protocolo / aplicativo. Dessa forma, é muito mais fácil gerenciá-los.

halp
fonte
1

Mova o problema para outro lugar.

por exemplo. o firewall de PCs locais está interrompendo o funcionamento de algum serviço ou aplicativo; portanto, desative-o completamente e diga "o firewall no roteador de borda estará ok para proteger todos os computadores".

gbjbaanb
fonte
1

Hand-crafting e manutenção deles.

Scripts antigos de terceiros que "funcionam bem o suficiente para não nos incomodarmos em substituí-los", exigem edição manual em vez de usar arquivos de configuração e são completamente incompreensíveis para quem não leu a tese descrevendo como eles funcionam.

Andrew
fonte
Parece mais um problema de comentários / documentação do que o fato de alguém ter escrito um script.
Chris S
@ Chris editado de acordo.
Andrew