¿Deben ser secretas las reglas del firewall de la red?

4

En mi lugar de trabajo, solo el equipo de seguridad tiene acceso para ver las reglas de los servidores de seguridad de la red del servidor.

Los desarrolladores e ingenieros de sistemas no tienen ninguna visibilidad, por lo que solo implementan aplicaciones en los servidores y descubren lo que está roto en lugar de verificar los requisitos de las aplicaciones con las reglas de antemano.

¿Este tipo de secreto es una práctica de seguridad normal / válida?

    
pregunta user75247 13.06.2018 - 05:38
fuente

3 respuestas

4

Es normal que las únicas personas con acceso para ver y revisar las reglas de la red sean los ingenieros de la red y el equipo de seguridad.

El equipo de desarrollo debe saber qué puertos y protocolos se requieren para usar sus aplicaciones y trabajar con el equipo de redes para garantizar que se implementen las reglas adecuadas. Si hay otras aplicaciones en uso por puertos estándar, estos pueden ser reutilizados. De lo contrario, al realizar cambios para realizar pruebas o implementaciones, el equipo de aplicaciones (o el propietario del producto, etc.) debe coordinar con el equipo de redes. El equipo de seguridad debe revisar la solicitud de cambio para asegurarse de que no se presenten vulnerabilidades.

    
respondido por el AndyMac 13.06.2018 - 15:56
fuente
1

Es normal. Las reglas deben estar documentadas, pero ningún otro equipo debe conocerlas.

Los desarrolladores e ingenieros de sistemas pueden solicitar que se agreguen reglas (o se eliminen si ya no son necesarias) y eso es más que suficiente.

Esta es una muy buena práctica de seguridad y debería seguir siéndolo.

    
respondido por el Overmind 13.06.2018 - 07:11
fuente
0

Sí, esto es normal, porque:

  1. el conjunto de reglas cambia con el tiempo, incluidas algunas ad-hoc; sería muy difícil traducirlas a un formato legible por humanos solo para documentación,
  2. el conjunto de reglas puede ser simplemente enorme y también ilegible como un simple volcado técnico,
  3. Algunas de las reglas pueden ser "inteligentes", es decir, puede ser realmente difícil dar la condición exacta cuando se activan. Me refiero a algunas reglas de Inspección de paquetes profundos / IDS, las reglas de firewall IP suelen ser deterministas.
  4. puede haber agujeros abiertos en un solo dispositivo de firewall, bloqueados en alguna capa siguiente. Exponer el conjunto de reglas hace que sea mucho más fácil de explotar.
  5. los desarrolladores deben solicitar la inserción, no la regla , sino el efecto : necesito A corriendo con B, hazme una ruta , no inserte una regla entre 234 y 235 para pasar a través del puerto TCP src 5548 a 9842 . Esta es otra razón por la que no deberían conocer el conjunto de reglas, ya que serían engañados para repetir Problema XY .

En esta pregunta, está preguntando si está bien que alguien haya tomado una foto de las llaves de su casa (incluso sin alfileres claramente visibles). Esta no es una amenaza inmediata , pero puede exponer algunas informaciones confidenciales, por ejemplo, el productor y la versión de un bloqueo, que podría ser vulnerable a algún ataque.

    
respondido por el Tomasz Pala 13.06.2018 - 07:18
fuente

Lea otras preguntas en las etiquetas