DotW: 复位-服务器, 复位-客户端或无声下降

本周关于本周主题的讨论被 Sly_Cooper 问到如何决定来自帕洛阿尔托网络防火墙的负面行为应该是静音还是发送通知, 以及谁应该收到通知。

资深社区成员 Brandon_Wertz 立即击中头部的钉子, 他说, 将有几个场景和思想流派, 将设置一个管理员的任何一侧的围栏。

要决定正确的策略, 必须列出组织中进出的所有可用选项的优缺点。  它可能有利于阻止与内部服务器的连接, 以通知内部客户端和服务器, 以提高应用程序的响应能力, 并更快地关闭服务器上的打开的套接字。在连接终止时, 本地托管的公用服务器也可能受益于重置数据包, 但外部客户端可能不需要此通知以帮助防止通过使用 portscanning 进行反向映射。

不向 internet 上的客户端发送重置数据包可能有助于防止扫描尝试或防止发生反射性攻击, 恶意客户端欺骗其源地址以试图触发受害者将重置数据包发送到辅助受害者的 IP, 这是明显的来源。

另一方面, 无声的下降可能是一个死的赠品防火墙正在为更有经验的攻击者阻止端口。在被拒绝的会话上发送 ICMP 类型3消息并同时启用更复杂的扫描保护方法, 如区域保护, 将为外部用户提供更 userfriendly 的体验。这些用户将被立即通知他们的会话被拒绝, 而扫描尝试被挫败, 利用保护机制。

简而言之:

• 如果不使用默默无闻, 则静默下降很有用。
• 重置-客户端是有用的, 当用户体验是关键时, 应用程序将立即能够让用户知道一个连接是不可用的。
• 当内部资源由于半打开的套接字而需要保护的资源消耗过多时, 重置服务器非常有用。
• 重置-两者都将提供最佳的用户体验和保护服务器的资源, 但可能会助长恶意使用。
• 区域保护将添加保护机制, 允许更 userfriendly 的经验, 同时仍然防止滥用。

您可以按照这里的原始讨论重置-客户端与重置服务器

本主题的其他资源

可配置的拒绝操作

san ISC 安全论坛

如何选择有效的防火墙策略来保护服务器

丢弃与拒绝

请在下面发表您自己的见解。

问候，

汤姆