Firewall-Anti-Patterns?

9

Was sind einige der häufigsten und falschesten Methoden zum Konfigurieren einer Firewall? Ich werde die Liste mit folgendem beginnen:

ICMP blind blockieren . Dies war 1998 üblich, als Schlumpfangriffe im Trend lagen. Heute laufen Sie Gefahr, ein PMTU-Schwarzes Loch zu erzeugen und die Diagnose von Problemen zu erschweren. Wenn Sie ICMP blockieren müssen, lassen Sie zumindest die erforderliche Fragmentierung zu und geben Sie die Anforderung / Antwort durch.

Veraltete Regeln . Es ist schade, dass wir kein Ablaufdatum für Regeln festlegen können. Wenn ich einen Dienst migriere, vergesse ich oft, die Regeln für den alten Dienst zu entfernen.

firewall Gerald Combs
quelle
3
Dies könnte etwas argumentativ werden.
Squillman
Guter Punkt. Ich habe mein Beispiel etwas abgeschwächt. Hoffentlich können wir einige Mythen zerstreuen, ohne dass es zu Kotzen kommt.
Gerald Combs

Antworten:

9

Öffnen Sie es , damit es funktioniert ... und kommen Sie dann nie wieder zurück und schließen Sie etwas ab.

Chris S.
quelle
1
Standardrichtlinie: Akzeptieren Sie nach einem vollständig optimierten Regelsatz, da sonst einige Details nicht funktionieren. Viel zu oft gesehen.
Joris
2
+100 - Ich war versucht, gewalttätig zu werden, als ich das letzte Mal hörte: "Aber etwas könnte nicht mehr funktionieren, und wir können nicht die Zeit sparen, es jeweils für einen Port zu sperren." ABER DAS IST UNSER JOB ... / headdesk
Kara Marfia
6

Nach Johns Beispiel - keine Kommentare gegen Regeln verwenden, wenn Ihre Firewall diese unterstützt.

Es gibt nichts Schlimmeres, als zum ersten Mal eine Firewall zu sehen und alle möglichen seltsamen Regeln zu sehen, die mit bloßem Auge keinen Sinn ergeben. Die Kommentare sind alle leer und es gibt keine Dokumentation.

Mark Henderson
quelle
2

Zum Thema veraltete Regeln gemäß Ihrem Beispiel - Durch ordnungsgemäße Dokumentation und Verfahren werden solche Probleme beseitigt. Ich schlage vor, dass Ihr Problem überhaupt nicht an der Firewall liegt.

John Gardeniers
quelle
1
Es wird auch helfen, wenn jemand kommt und sagt "Hmm, warum blockieren wir den ausgehenden Port 4345 von dieser einzelnen IP-Adresse? Ich frage mich, ob ich diese Regel einfach lösche (nicht deaktiviere), was passieren wird ..." und dann explodiert das Universum .
Mark Henderson
1
Und natürlich beschäftigen wir uns dann mit dem Thema Versionskontrolle ...
John Gardeniers
1

Persönlich halte ich die Aufteilung eingehender und ausgehender Regeln in zwei Hauptgruppen für ein Anti-Muster. Mit zwei großen Gruppen fertig zu werden, ist ein Albtraum. Ich bevorzuge es, Regeln für eingehenden und ausgehenden Verkehr zu gruppieren, die sich auf ein bestimmtes Protokoll / eine bestimmte Anwendung beziehen. Auf diese Weise ist es viel einfacher, sie zu verwalten.

halp
quelle
1

Verschieben Sie das Problem an eine andere Stelle.

z.B. Die lokale PC-Firewall beendet die Arbeit eines Dienstes oder einer App. Deaktivieren Sie sie daher vollständig und sagen Sie "Die Firewall auf dem Edge-Router ist in Ordnung, um alle PCs zu schützen".

gbjbaanb
quelle
1

Handarbeit und Pflege.

Alte Skripte von Drittanbietern, die "gut genug funktionieren, damit wir sie nicht ersetzen müssen", müssen manuell bearbeitet werden, anstatt Konfigurationsdateien zu verwenden, und sind für Personen, die die These, die ihre Funktionsweise beschreibt, nicht gelesen haben, völlig unverständlich.

Andrew
quelle
Klingt eher nach einem Kommentar- / Dokumentationsproblem als nach der Tatsache, dass jemand ein Skript geschrieben hat.
Chris S
@ Chris entsprechend bearbeitet.
Andrew