Ho visto alcuni allarmi PAN con Heart-bleed. Voglio impostare l'azione predefinita da "alert" a "drop". Ma non sono sicuro che ciò bloccherebbe alcuni pacchetti legittimi.
Poiché esiste un vasto numero di team, è impossibile aggiornare completamente tutti i server.
Il mio ambiente è costituito da centinaia di client e server.
Qualcuno ha bloccato i messaggi heartbleed attraverso il loro PAN (o qualsiasi altro firewall)? Eventuali effetti collaterali?
Molto dipende dalla firma usata per abbinare l'attacco Heartbleed. Sfortunatamente, la maggior parte genera falsi positivi. Ho clienti con Fortigates, dove hanno utilizzato la regola con un'azione di quarantena di 5 minuti. I risultati sono stati piuttosto negativi, hanno praticamente distrutto centinaia di clienti legittimi. Ma c'è una differenza tra la quarantena e una semplice politica di "drop". Il tuo caso dovrebbe essere più mite.
Vorrei suggerire di monitorare tale avviso per un periodo di tempo, ad es. 1 settimana e indagare gli avvisi e seguire gli avvisi per verificare se questi provengono da una fonte legittima, o sono scansioni / tentativi di sfruttare il bug.
Suggerisci anche di condurre un pilota / prova con una squadra più piccola per un periodo di tempo limitato.
Leggi altre domande sui tag firewalls heartbleed