Anti-modèles de pare-feu?

9

Quelles sont les façons les plus courantes et les plus erronées de configurer un pare-feu? Je vais commencer la liste par ce qui suit:

Blocage aveugle d'ICMP . C'était une pratique courante en 1998, lorsque les attaques de schtroumpfs faisaient fureur. Aujourd'hui, vous courez le risque de créer un trou noir PMTU et de compliquer le diagnostic des problèmes. Si vous devez bloquer ICMP, autorisez au moins la fragmentation nécessaire et faites écho aux demandes / réponses.

Règles périmées . C'est dommage que nous ne puissions pas fixer de date d'expiration sur les règles. Lorsque je migre un service, j'oublie souvent de supprimer les règles de l'ancien service.

firewall Gerald Combs
la source
3
Cela pourrait devenir quelque peu argumentatif, il me semble.
squillman
Bon point. J'ai un peu atténué mon exemple. J'espère que nous pourrons dissiper certains mythes sans aucune caca.
Gerald Combs

Réponses:

9

L'ouvrir pour le faire fonctionner ... puis ne jamais revenir et verrouiller quoi que ce soit.

Chris S
la source
1
stratégie par défaut: accepter, après un ensemble de règles entièrement réglé, car sinon certains détails ne fonctionneront pas. Vu trop souvent.
Joris
2
+100 - J'ai été tenté de devenir violent la dernière fois que j'ai entendu: "Mais quelque chose pourrait cesser de fonctionner, et nous ne pouvons pas épargner le temps de le verrouiller un port à la fois." MAIS C'EST NOTRE TRAVAIL ... / headdesk
Kara Marfia
6

À la suite de l'exemple de John - ne pas utiliser de commentaires par rapport aux règles si votre pare-feu les prend en charge.

Il n'y a rien de pire que de voir un pare-feu pour la première fois et de voir toutes sortes de règles étranges qui n'ont aucun sens à l'œil nu, et les commentaires sont tous vides et il n'y a pas de documentation.

Mark Henderson
la source
2

En ce qui concerne les règles périmées, selon votre exemple - Une documentation et des procédures appropriées élimineront ces problèmes. Je suggère que votre problème n'est pas du tout le pare-feu.

John Gardeniers
la source
1
Cela aidera aussi quand quelqu'un arrive et dit "Hmm, pourquoi bloquons-nous le port sortant 4345 de cette adresse IP unique? Je me demande si je supprime (pas désactive) cette règle ce qui va se passer ..." puis l'univers explose .
Mark Henderson
1
Et bien sûr, nous abordons ensuite le sujet du contrôle de version ...
John Gardeniers
1

Personnellement, je considère que la division des règles entrantes et sortantes en deux groupes principaux est un anti-modèle. Devoir faire face à deux énormes groupes est un cauchemar. Je préfère regrouper les règles pour le trafic entrant et sortant lié à un certain protocole / application. De cette façon, il est beaucoup plus facile de les gérer.

halp
la source
1

Déplacez le problème ailleurs.

par exemple. le pare-feu des PC locaux arrête certains services ou applications de fonctionner, alors désactivez-le complètement et dites "le pare-feu sur le routeur périphérique sera correct pour protéger tous les PC".

gbjbaanb
la source
1

Fabriquer à la main et les entretenir.

Les anciens scripts tiers qui "fonctionnent assez bien pour que nous n'ayons pas la peine de les remplacer", nécessitent une édition manuelle au lieu d'utiliser des fichiers de configuration et sont complètement incompréhensibles pour les personnes qui n'ont pas lu la thèse décrivant leur fonctionnement.

Andrew
la source
Cela ressemble plus à un problème de commentaires / documentation qu'au fait que quelqu'un a écrit un script.
Chris S
@Chris a été modifié en conséquence.
Andrew