¿Anti-patrones de firewall?

9

¿Cuáles son algunas de las formas más comunes e incorrectas de configurar un firewall? Comenzaré la lista con lo siguiente:

Bloqueo ciego de ICMP . Esta era una práctica común en 1998 cuando los ataques de los pitufos estaban de moda. Hoy corre el riesgo de crear un agujero negro PMTU y dificultar el diagnóstico de problemas. Si debe bloquear ICMP, al menos permita la fragmentación necesaria y haga eco de las solicitudes / respuestas.

Reglas obsoletas . Es una pena que no podamos establecer una fecha de vencimiento para las reglas. Cuando migro un servicio, a menudo olvido eliminar las reglas para el servicio anterior.

firewall Gerald Combs
fuente
3
Esto podría ser algo discutidor, me parece.
Squillman
Buen punto. He atenuado un poco mi ejemplo. Esperemos que podamos disipar algunos mitos sin ningún tipo de caca.
Gerald Combs

Respuestas:

9

Abriéndolo para que funcione ... luego nunca regresando y bloqueando nada.

Chris S
fuente
1
política predeterminada: aceptar, después de un conjunto de reglas completamente ajustado, porque de lo contrario algunos detalles no funcionarán. Lo he visto demasiadas veces.
Joris
2
+100 - Estuve tentado de ponerme violento la última vez que escuché: "Pero algo podría dejar de funcionar y no podemos perder el tiempo para bloquearlo en un puerto a la vez". PERO ESO ES NUESTRO TRABAJO ... / headdesk
Kara Marfia
6

Posterior al ejemplo de John : no usar comentarios contra reglas si su firewall las admite.

No hay nada peor que ver un firewall por primera vez y ver todo tipo de reglas extrañas que no tienen sentido a simple vista, y los comentarios están en blanco y no hay documentación.

Mark Henderson
fuente
2

Sobre el tema de las reglas obsoletas, según su ejemplo: la documentación y los procedimientos adecuados eliminarán tales problemas. Sugiero que su problema no está en el firewall en absoluto.

John Gardeniers
fuente
1
También ayudará cuando alguien venga y diga "Hmm, ¿por qué estamos bloqueando el puerto de salida 4345 de esta única dirección IP? Me pregunto si simplemente elimino (no deshabilito) esta regla qué sucederá ..." y luego el universo explota .
Mark Henderson
1
Y, por supuesto, abordamos el tema del control de versiones ...
John Gardeniers
1

Personalmente, considero dividir las reglas entrantes y salientes en dos grupos principales como un antipatrón. Tener que lidiar con dos grandes grupos es una pesadilla. Prefiero agrupar reglas para el tráfico entrante y saliente que está relacionado con un determinado protocolo / aplicación. De esta manera es mucho más fácil administrarlos.

halp
fuente
1

Mueve el problema a otra parte.

p.ej. el cortafuegos de las PC locales está deteniendo el funcionamiento de algún servicio o aplicación, así que desactívelo por completo y diga "el cortafuegos en el enrutador de borde estará bien para proteger todas las PC".

gbjbaanb
fuente
1

Elaboración manual y mantenimiento.

Antiguos scripts de terceros que "funcionan lo suficientemente bien como para no molestarnos en reemplazarlos", requieren edición manual en lugar de usar archivos de configuración y son completamente incomprensibles para las personas que no han leído la tesis que describe cómo funcionan.

Andrew
fuente
Suena más como un problema de comentarios / documentación que el hecho de que alguien escribió un guión.
Chris S
@Chris editado en consecuencia.
Andrew