DotW: restablecer-servidor, restablecer-cliente o caída silenciosa
Resolution
La discusión de esta semana sobre el tema de la semana fue preguntada por Sly_Cooper sobre cómo decidir si una acción negativa del cortafuegos de Palo Alto Networks debe ser silenciosa o una notificación enviada, y quién debe recibir la notificación.
Miembro veterano de la comunidad Brandon_Wertz inmediatamente golpeó el clavo en la cabeza con su comentario de que habrá varios escenarios y escuelas de pensamiento que se establecerá un administrador a cada lado de la valla.
Para detenerse en la estrategia correcta, es importante enumerar los pros y los contras para todas las opciones disponibles para cada flujo dentro y fuera de la organización. Puede ser beneficioso para las conexiones bloqueadas a los servidores internos notificar a los clientes internos y al servidor para mejorar la capacidad de respuesta de la aplicación y cerrar los sockets abiertos en el servidor más rápido. Los servidores públicos alojados localmente también pueden beneficiarse de un paquete de restablecimiento cuando se termina una conexión, pero es posible que el cliente externo no necesite esta notificación para ayudar a evitar la asignación inversa mediante el uso de portscanning.
No enviar un paquete de restablecimiento a un cliente en Internet puede ayudar a evitar los intentos de análisis o impedir ataques reflexivos en los que un cliente malintencionado falsea su dirección de origen en un intento de desencadenar una víctima para enviar paquetes de restablecimiento a la IP de una víctima secundaria , que es la fuente aparente.
Por otro lado, una caída silenciosa puede ser un regalo muerto un Firewall está bloqueando un puerto para un atacante más experimentado. El envío de mensajes ICMP tipo 3 en una sesión denegada y la activación simultánea de métodos de protección más complejos para el escaneo, como la protección de zonas, proporcionarán una experiencia más fácil para los usuarios externos. Estos usuarios serán notificados inmediatamente su sesión fue denegada, mientras que los intentos de escaneo son frustrados, aprovechando los mecanismos de protección.
En definitiva:
- una caída silenciosa es útil si se prefiere la oscuridad.
- RESET-Client es útil cuando la experiencia del usuario es clave, la aplicación inmediatamente será capaz de hacer saber al usuario que una conexión no está disponible.
- RESET-Server es útil cuando los recursos internos necesitan ser protegidos contra el consumo excesivo de recursos debido a la mitad de los sockets abiertos.
- RESET-ambos proporcionarán la mejor experiencia del usuario y protegerán los recursos de los servidores, pero pueden facilitar el uso malintencionado.
- la protección de la zona agregará mecanismos protectores que permitan una experiencia más fácil mientras que todavía protege contra abuso.
Puede seguir la discusión original aquí RESET-Client vs. Reset-Server
Otros recursos sobre este tema
Acción de denegación configurable
Cómo elegir una política de cortafuegos eficaz para proteger sus servidores
Siéntase libre de dejar un comentario a continuación con sus propias ideas.
Saludos,
Tom