DotW: Reset-Server, Reset-Client oder Silent Drop
Resolution
In dieser Woche wurde die Diskussion über das Thema der Woche von Sly_Cooper gefragt, wie man entscheiden kann, ob eine negative Aktion der Palo Alto Networks-Firewall schweigen oder eine Benachrichtigung gesendet werden soll und wer die Benachrichtigung erhalten sollte.
Veteran Community-Mitglied Brandon_Wertz traf sofort den Nagel auf den Kopf mit seiner Bemerkung, dass es mehrere Szenarien und Schulen des Denkens, die einen Administrator auf beiden Seiten des Zauns setzen wird.
Um die richtige Strategie zu finden, ist es wichtig, vor-und Nachteile für alle Optionen aufzulisten, die für jeden Flow in und aus der Organisation zur Verfügung stehen. Es kann für blockierte Verbindungen zu internen Servern von Vorteil sein, interne Clients und den Server zu benachrichtigen, um die Reaktionsfähigkeit der Anwendung zu verbessern und offene Steckdosen auf dem Server schneller zu schließen. Lokal gehostete öffentliche Server können auch von einem Reset-Paket profitieren, wenn eine Verbindung beendet wird, aber der externe Client kann diese Benachrichtigung möglicherweise nicht benötigen, um eine umgekehrte Kartierung durch die Verwendung von portscanning zu verhindern.
Wenn ein Reset-Paket nicht an einen Client im Internet gesendet wird, kann es helfen, Scan Versuche zu verhindern oder reflektierende Angriffe zu verhindern, bei denen ein böswilliger Client seine Quelladresse abgibt, um ein Opfer auszulösen, das Reset-Pakete an die IP eines sekundären Opfers sendet. , die die scheinbare Quelle ist.
Auf der anderen Seite kann ein stiller Tropfen ein totes Giveaway sein, eine Firewall blockiert einen Port für einen erfahreneren Angreifer. Das Versenden von ICMP-Nachrichten vom Typ 3 auf einer verweigerten Sitzung und die gleichzeitige Ermöglichung komplexerer Schutzmethoden für das Scannen, wie der Zonen Schutz, werden für externe Nutzer eine benutzerfreundlichere Erfahrung bieten. Diese Benutzer werden sofort benachrichtigt, dass Ihre Sitzung verweigert wurde, während Scan Versuche vereitelt werden und Schutzmechanismen genutzt werden.
Kurzum:
- ein stiller Tropfen ist nützlich, wenn die Dunkelheit bevorzugt wird.
- Reset-Client ist nützlich, wenn die Benutzererfahrung entscheidend ist, wird die Anwendung sofort in der Lage sein, den Benutzer wissen zu lassen, dass eine Verbindung nicht verfügbar ist.
- Reset-Server ist nützlich, wenn interne Ressourcen durch halb offene Steckdosen vor übermäßigem Ressourcenverbrauch geschützt werden müssen.
- Reset-beides wird die beste Benutzererfahrung bieten und die Ressourcen der Server schützen, kann aber eine bösartige Nutzung erleichtern.
- Zonen Schutz wird Schutzmechanismen hinzufügen, die eine benutzerfreundlichere Erfahrung ermöglichen und gleichzeitig vor Missbrauch schützen.
Sie können die ursprüngliche Diskussion hier Reset-Client vs. Reset-Server verfolgen
Weitere Ressourcen zu diesem Thema
Wie Sie eine effektive Firewall-RichtLinie wählen, um Ihre Server zu sichern
Lassen Sie sich einen Kommentar mit ihren eigenen Erkenntnissen hinterlassen.
Viele Grüße,
Tom