DotW: restablecer-servidor, restablecer-cliente o caída silenciosa

DotW: restablecer-servidor, restablecer-cliente o caída silenciosa

91877
Created On 09/25/18 19:03 PM - Last Modified 06/12/23 08:29 AM


Resolution


La discusión de esta semana sobre el tema de la semana fue preguntada por Sly_Cooper sobre cómo decidir si una acción negativa del cortafuegos de Palo Alto Networks debe ser silenciosa o una notificación enviada, y quién debe recibir la notificación.

 

2016-05 -02 _09-42 -03. jpg

 

 

Miembro veterano de la comunidad Brandon_Wertz inmediatamente golpeó el clavo en la cabeza con su comentario de que habrá varios escenarios y escuelas de pensamiento que se establecerá un administrador a cada lado de la valla.

 

2016-05 -02 _09-42 -20. jpg

Para detenerse en la estrategia correcta, es importante enumerar los pros y los contras para todas las opciones disponibles para cada flujo dentro y fuera de la organización.  Puede ser beneficioso para las conexiones bloqueadas a los servidores internos notificar a los clientes internos y al servidor para mejorar la capacidad de respuesta de la aplicación y cerrar los sockets abiertos en el servidor más rápido. Los servidores públicos alojados localmente también pueden beneficiarse de un paquete de restablecimiento cuando se termina una conexión, pero es posible que el cliente externo no necesite esta notificación para ayudar a evitar la asignación inversa mediante el uso de portscanning.

 

No enviar un paquete de restablecimiento a un cliente en Internet puede ayudar a evitar los intentos de análisis o impedir ataques reflexivos en los que un cliente malintencionado falsea su dirección de origen en un intento de desencadenar una víctima para enviar paquetes de restablecimiento a la IP de una víctima secundaria , que es la fuente aparente.

 

Por otro lado, una caída silenciosa puede ser un regalo muerto un Firewall está bloqueando un puerto para un atacante más experimentado. El envío de mensajes ICMP tipo 3 en una sesión denegada y la activación simultánea de métodos de protección más complejos para el escaneo, como la protección de zonas, proporcionarán una experiencia más fácil para los usuarios externos. Estos usuarios serán notificados inmediatamente su sesión fue denegada, mientras que los intentos de escaneo son frustrados, aprovechando los mecanismos de protección.

 

 

En definitiva:

  • una caída silenciosa es útil si se prefiere la oscuridad.
  • RESET-Client es útil cuando la experiencia del usuario es clave, la aplicación inmediatamente será capaz de hacer saber al usuario que una conexión no está disponible.
  • RESET-Server es útil cuando los recursos internos necesitan ser protegidos contra el consumo excesivo de recursos debido a la mitad de los sockets abiertos.
  • RESET-ambos proporcionarán la mejor experiencia del usuario y protegerán los recursos de los servidores, pero pueden facilitar el uso malintencionado.
  • la protección de la zona agregará mecanismos protectores que permitan una experiencia más fácil mientras que todavía protege contra abuso.

 

 

 

Puede seguir la discusión original aquí RESET-Client vs. Reset-Server

 

 

Otros recursos sobre este tema

 

Acción de denegación configurable

Foros de SANS ISC InfoSec

Cómo elegir una política de cortafuegos eficaz para proteger sus servidores

Drop versus rechazo

 

 

 

Siéntase libre de dejar un comentario a continuación con sus propias ideas.

 

Saludos,

Tom
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClTaCAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language