Анти-паттерны брандмауэра?

9

Каковы некоторые из наиболее распространенных и неправильных способов настройки брандмауэра? Я начну список со следующего:

Слепая блокировка ICMP . Это было обычной практикой в 1998 году, когда приступы смарфа были в моде. Сегодня вы рискуете создать черную дыру PMTU и затруднить диагностику проблем. Если вам необходимо заблокировать ICMP, по крайней мере разрешите необходимую фрагментацию и отправьте запрос / ответ через него.

Устаревшие правила . Жаль, что мы не можем установить срок действия правил. При переносе службы я часто забываю удалить правила для старой службы.

firewall

— Gerald Combs
источник

3

Это может стать несколько спорным, метинкс.

— squillman

Хорошая точка зрения. Я немного смягчил свой пример. Надеюсь, мы сможем развеять некоторые мифы без каких-либо шуток.

— Джеральд Комбс

9

Открытие его , чтобы получить его работу ... потом никогда не возвращаться и блокировки ничего вниз.

— Крис С
источник

1

политика по умолчанию: принять после полностью настроенного набора правил, потому что в противном случае некоторые детали не будут работать. Видел это слишком много раз.

— Йорис

2

+100 - В последний раз я испытывал желание получить насилие, когда услышал: «Но что-то может перестать работать, и мы не можем сэкономить время, чтобы заблокировать его по одному порту за раз». НО ЭТО НАША РАБОТА ... / headdesk

— Kara Marfia

6

Следуя примеру Джона - не использовать комментарии против правил, если ваш брандмауэр их поддерживает.

Нет ничего хуже, чем первый раз увидеть брандмауэр и увидеть всевозможные странные правила, которые не имеют смысла невооруженным глазом, а все комментарии пусты и нет документации.

— Марк Хендерсон
источник

2

Что касается устаревших правил, согласно вашему примеру - надлежащая документация и процедуры БУДУТ устранять такие проблемы. Я полагаю, что ваша проблема вовсе не в брандмауэре.

— Джон Гарденье
источник

1

Это также поможет, когда кто-то придет и скажет: «Хм, почему мы блокируем исходящий порт 4345 с этого единственного IP-адреса? Интересно, если я просто удалю (а не отключу) это правило, что произойдет ...», и тогда вселенная взорвется ,

— Марк Хендерсон

1

И, конечно же, мы затем займемся вопросом контроля версий ...

— Джон Гарденье

1

Лично я считаю разделение входящих и исходящих правил на две основные группы антипаттернами. Необходимость иметь дело с двумя огромными группами - это кошмар. Я предпочитаю группировать правила для входящего и исходящего трафика, который связан с определенным протоколом / приложением. Таким способом им намного легче управлять.

— halp
источник

1

Переместить проблему в другое место.

например. Брандмауэр на локальных компьютерах останавливает работу какой-либо службы или приложения, поэтому полностью отключите его и скажите: «Брандмауэр на пограничном маршрутизаторе будет в порядке, чтобы защитить все компьютеры».

— gbjbaanb
источник

1

Ручное изготовление и поддержание их.

Древние сторонние скрипты, которые «работают достаточно хорошо, поэтому мы не будем их заменять», требуют ручного редактирования вместо использования файлов конфигурации и совершенно непонятны для людей, которые не читали тезис, описывающий, как они работают.

— Андрей
источник

Больше похоже на проблему с комментированием / документацией, чем на то, что кто-то написал сценарий.

— Крис С

@Chris отредактировал соответственно.

— Андрей