Le regole del firewall di rete dovrebbero essere segrete?

Naviga le tue risposte
4

Sul mio posto di lavoro solo il team di sicurezza ha accesso per vedere le regole sui firewall della rete del server.

Gli sviluppatori e gli ingegneri di sistema non hanno visibilità, quindi si limitano a distribuire le applicazioni ai server e a scoprire cosa è rotto anziché controllare preventivamente i requisiti dell'applicazione rispetto alle regole.

Questo tipo di segretezza è una pratica di sicurezza normale / valida?

    
posta user75247 13.06.2018 - 05:38
fonte

3 risposte

4

È normale che le uniche persone con accesso per visualizzare e rivedere le regole di rete siano gli ingegneri di rete e il team di sicurezza.

Il team di sviluppo dovrebbe sapere quali porte e protocolli sono necessari per utilizzare le loro applicazioni e lavorare con il team delle reti per garantire che siano in vigore le regole appropriate. Se ci sono porte standard in uso da altre applicazioni, queste potrebbero essere riutilizzate. Altrimenti, quando si apportano modifiche per il test o la distribuzione su pungolo, il team delle applicazioni (o il proprietario del prodotto, ecc.) Dovrebbe coordinarsi con il team delle reti. Il team di sicurezza dovrebbe esaminare la richiesta di modifica per garantire che non vengano introdotte vulnerabilità.

    
risposta data 13.06.2018 - 15:56
fonte
1

È normale. Le regole devono essere documentate, ma nessun'altra squadra dovrebbe conoscerle.

Gli sviluppatori e i tecnici di sistema possono richiedere l'aggiunta di regole (o rimuoverle se non sono più necessarie) e questo è più che sufficiente.

Questa è un'ottima pratica di sicurezza e dovrebbe rimanere tale.

    
risposta data 13.06.2018 - 07:11
fonte
0

Sì, è normale, perché:

  1. il set di regole cambia nel tempo, inclusi alcuni ad-hoc - sarebbe molto difficile tradurli in un formato leggibile solo per la documentazione,
  2. il set di regole potrebbe essere semplicemente enorme e anche illeggibile come un semplice dump tecnico,
  3. alcune delle regole potrebbero essere "intelligenti", ovvero potrebbe essere davvero difficile dare esatte condizioni quando sparano - Mi riferisco qui ad alcune regole di Deep Packet Inspection / IDS, le regole del firewall IP sono solitamente deterministiche.
  4. potrebbero esserci buchi aperti in un singolo dispositivo firewall, bloccato in qualche altro livello. L'esposizione del set di regole rende molto più facile lo sfruttamento.
  5. gli sviluppatori devono richiedere l'inserimento non la regola , ma l'effetto : Ho bisogno di A in esecuzione con B, fammi un percorso , non inserire una regola tra 234 e 235 per passare attraverso la porta TCP src da 5548 a 9842 . Questo è un altro motivo per cui non dovrebbero conoscere la stessa ruleet, in quanto sarebbero ingannati a ripetere Problema XY .

In questa domanda stai chiedendo se è giusto che qualcuno abbia scattato una foto di chiavi a casa tua (anche senza spilli ben visibili). Questa non è una minaccia immediata , ma potrebbe esporre alcune informazioni sensibili, ad esempio il produttore e la versione di un blocco, che potrebbe essere vulnerabile ad alcuni attacchi.

    
risposta data 13.06.2018 - 07:18
fonte

Leggi altre domande sui tag

PHP / JavaScript con RSA È in esecuzione uno strumento di cancellazione dopo l'installazione di un sistema operativo sufficiente per garantire che nessun dato della vecchia installazione sia recuperabile?