DotW: Reset-serveur, Reset-client ou Drop silencieux
Resolution
La discussion de cette semaine sur le sujet de la semaine a été posée par Sly_Cooper sur la façon de décider si une action négative du pare-feu de Palo Alto Networks devrait être silencieuse ou une notification envoyée, et qui devrait recevoir la notification.
Membre de la communauté vétéran Brandon_Wertz immédiatement frappé le clou sur la tête avec sa remarque qu'il y aura plusieurs scénarios et des écoles de pensée qui va mettre un administrateur de chaque côté de la clôture.
Pour faire face à la bonne stratégie, il est important de répertorier les avantages et les inconvénients de toutes les options disponibles pour chaque flux entrant et sortant de l'organisation. Il peut être bénéfique pour les connexions bloquées à des serveurs internes pour notifier les clients internes et le serveur pour améliorer la réactivité de l'application et fermer les sockets ouverts sur le serveur plus rapide. Les serveurs publics hébergés localement peuvent également bénéficier d'un paquet de réinitialisation lorsqu'une connexion est terminée, mais le client externe peut ne pas avoir besoin de cette notification pour empêcher la cartographie inversée par L'utilisation de portscanning.
Ne pas envoyer un paquet de réinitialisation à un client sur Internet peut aider à empêcher des tentatives de balayage ou empêcher des attaques réfléchissantes où un client malveillant usurpe son adresse source dans une tentative de déclencher une victime pour envoyer des paquets de réinitialisation à l'IP d'une victime secondaire , qui est la source apparente.
D'autre part, une baisse silencieuse peut être un cadeau mort d'un pare-feu bloque un port pour un attaquant plus expérimenté. L'envoi de messages ICMP de type 3 lors d'une session refusée et l'activation simultanée de méthodes de protection plus complexes pour la numérisation, comme la protection des zones, fourniront une expérience plus convivial pour les utilisateurs externes. Ces utilisateurs seront notifiés immédiatement leur session a été refusée, tandis que les tentatives de numérisation sont contrecarrées, en tirant parti des mécanismes de protection.
En bref :
- une chute silencieuse est utile si l'obscurité est préférée.
- Reset-le client est utile lorsque l'expérience utilisateur est la clé, l'application sera immédiatement en mesure de faire savoir à l'utilisateur une connexion n'est pas disponible.
- Reset-Server est utile lorsque les ressources internes doivent être protégées contre la consommation excessive de ressources dues à des sockets semi-ouverts.
- Reset-les deux fourniront la meilleure expérience utilisateur et de protéger les ressources des serveurs, mais peut faciliter l'utilisation malveillante.
- la protection de zone ajoutera des mécanismes de protection qui permettent une expérience plus convivial tout en protégeant contre l'abus.
Vous pouvez suivre la discussion originale ici Reset-client vs Reset-Server
Autres ressources sur ce sujet
Comment choisir une stratégie de pare-feu efficace pour sécuriser vos serveurs
N'hésitez pas à laisser un commentaire ci-dessous avec vos propres idées.
Cordialement,
Tom