Anti-pola firewall?

9

Apa sajakah cara yang paling umum dan salah untuk mengkonfigurasi firewall? Saya akan memulai daftar dengan yang berikut:

Memblokir ICMP secara membuta . Ini adalah praktik umum pada tahun 1998 ketika serangan smurf menjadi hal yang populer. Hari ini Anda berisiko membuat lubang hitam PMTU dan membuatnya sulit untuk mendiagnosis masalah. Jika Anda harus memblokir ICMP, setidaknya biarkan fragmentasi diperlukan dan gema permintaan / balasan melalui.

Aturan Basi . Sayang sekali kami tidak bisa menetapkan tanggal kedaluwarsa pada aturan. Ketika saya memigrasi layanan, saya sering lupa menghapus aturan untuk layanan yang lama.

firewall Gerald Combs
sumber
3
Ini bisa menjadi agak argumentatif, metode.
squillman
Poin yang bagus. Saya sedikit mengurangi contoh saya. Semoga kita bisa menghilangkan beberapa mitos tanpa buang air besar.
Gerald Combs

Jawaban:

9

Membuka untuk membuatnya berfungsi ... lalu tidak pernah kembali dan mengunci sesuatu.

Chris S
sumber
1
kebijakan default: terima, setelah aturan disetel sepenuhnya, karena jika tidak, beberapa detail tidak akan berfungsi. Terlihat terlalu sering.
Joris
2
+100 - Saya tergoda untuk melakukan kekerasan terakhir kali saya mendengar, "Tetapi sesuatu mungkin berhenti bekerja, dan kita tidak dapat meluangkan waktu untuk mengunci satu port pada suatu waktu." TAPI ITU PEKERJAAN KAMI ... / headdesk
Kara Marfia
6

Berikut contoh John - tidak menggunakan komentar terhadap aturan jika firewall Anda mendukungnya.

Tidak ada yang lebih buruk daripada melihat firewall untuk pertama kalinya dan melihat segala macam aturan aneh yang tidak masuk akal dengan mata telanjang, dan komentar semuanya kosong dan tidak ada dokumentasi.

Mark Henderson
sumber
2

Pada subjek aturan basi, sesuai contoh Anda - Dokumentasi dan prosedur yang tepat AKAN menghilangkan masalah tersebut. Saya menyarankan agar masalah Anda tidak ada di firewall sama sekali.

John Gardeniers
sumber
1
Ini juga akan membantu ketika seseorang datang dan berkata, "Hmm, mengapa kita memblokir port 4345 keluar dari alamat IP tunggal ini? Saya ingin tahu apakah saya hanya menghapus (tidak menonaktifkan) aturan ini apa yang akan terjadi ..." dan kemudian alam semesta meledak .
Mark Henderson
1
Dan tentu saja kita kemudian menangani subjek kontrol versi ...
John Gardeniers
1

Secara pribadi saya menganggap membagi aturan masuk dan keluar menjadi dua kelompok utama menjadi anti-pola. Harus berurusan dengan dua kelompok besar adalah mimpi buruk. Saya lebih suka mengelompokkan aturan untuk lalu lintas masuk dan keluar yang terkait dengan protokol / aplikasi tertentu. Cara ini jauh lebih mudah untuk mengelolanya.

halp
sumber
1

Pindahkan masalah ke tempat lain.

misalnya. Firewall PC lokal menghentikan beberapa layanan atau aplikasi yang berfungsi, jadi nonaktifkan sepenuhnya dan katakan "firewall di router tepi akan baik-baik saja untuk melindungi semua PC".

gbjbaanb
sumber
1

Kerajinan tangan dan pelihara mereka.

Skrip pihak ketiga kuno yang "berfungsi cukup baik sehingga kami tidak akan repot-repot menggantinya", memerlukan pengeditan manual alih-alih menggunakan file konfigurasi, dan benar-benar tidak dapat dipahami oleh orang-orang yang belum membaca tesis yang menjelaskan cara kerjanya.

Andrew
sumber
Kedengarannya lebih seperti masalah komentar / dokumentasi daripada fakta bahwa seseorang menulis skrip.
Chris S
@ Chris diedit sesuai
Andrew