Анти-паттерны брандмауэра?

9

Каковы некоторые из наиболее распространенных и неправильных способов настройки брандмауэра? Я начну список со следующего:

Слепая блокировка ICMP . Это было обычной практикой в ​​1998 году, когда приступы смарфа были в моде. Сегодня вы рискуете создать черную дыру PMTU и затруднить диагностику проблем. Если вам необходимо заблокировать ICMP, по крайней мере разрешите необходимую фрагментацию и отправьте запрос / ответ через него.

Устаревшие правила . Жаль, что мы не можем установить срок действия правил. При переносе службы я часто забываю удалить правила для старой службы.

firewall Gerald Combs
источник
3
Это может стать несколько спорным, метинкс.
squillman
Хорошая точка зрения. Я немного смягчил свой пример. Надеюсь, мы сможем развеять некоторые мифы без каких-либо шуток.
Джеральд Комбс

Ответы:

9

Открытие его , чтобы получить его работу ... потом никогда не возвращаться и блокировки ничего вниз.

Крис С
источник
1
политика по умолчанию: принять после полностью настроенного набора правил, потому что в противном случае некоторые детали не будут работать. Видел это слишком много раз.
Йорис
2
+100 - В последний раз я испытывал желание получить насилие, когда услышал: «Но что-то может перестать работать, и мы не можем сэкономить время, чтобы заблокировать его по одному порту за раз». НО ЭТО НАША РАБОТА ... / headdesk
Kara Marfia
6

Следуя примеру Джона - не использовать комментарии против правил, если ваш брандмауэр их поддерживает.

Нет ничего хуже, чем первый раз увидеть брандмауэр и увидеть всевозможные странные правила, которые не имеют смысла невооруженным глазом, а все комментарии пусты и нет документации.

Марк Хендерсон
источник
2

Что касается устаревших правил, согласно вашему примеру - надлежащая документация и процедуры БУДУТ устранять такие проблемы. Я полагаю, что ваша проблема вовсе не в брандмауэре.

Джон Гарденье
источник
1
Это также поможет, когда кто-то придет и скажет: «Хм, почему мы блокируем исходящий порт 4345 с этого единственного IP-адреса? Интересно, если я просто удалю (а не отключу) это правило, что произойдет ...», и тогда вселенная взорвется ,
Марк Хендерсон
1
И, конечно же, мы затем займемся вопросом контроля версий ...
Джон Гарденье
1

Лично я считаю разделение входящих и исходящих правил на две основные группы антипаттернами. Необходимость иметь дело с двумя огромными группами - это кошмар. Я предпочитаю группировать правила для входящего и исходящего трафика, который связан с определенным протоколом / приложением. Таким способом им намного легче управлять.

halp
источник
1

Переместить проблему в другое место.

например. Брандмауэр на локальных компьютерах останавливает работу какой-либо службы или приложения, поэтому полностью отключите его и скажите: «Брандмауэр на пограничном маршрутизаторе будет в порядке, чтобы защитить все компьютеры».

gbjbaanb
источник
1

Ручное изготовление и поддержание их.

Древние сторонние скрипты, которые «работают достаточно хорошо, поэтому мы не будем их заменять», требуют ручного редактирования вместо использования файлов конфигурации и совершенно непонятны для людей, которые не читали тезис, описывающий, как они работают.

Андрей
источник
Больше похоже на проблему с комментированием / документацией, чем на то, что кто-то написал сценарий.
Крис С
@Chris отредактировал соответственно.
Андрей