He estado viendo algunas alertas de PAN con sangrado del corazón. Quiero configurar la acción predeterminada de 'alerta' a 'soltar'. Pero no estoy seguro de si esto bloquearía algunos paquetes legítimos.
Dado que hay una gran cantidad de equipos, es imposible actualizar por completo todos los servidores.
Mi entorno consta de cientos de clientes y servidores.
¿Alguien ha bloqueado los mensajes de Heartbleed a través de su PAN (o cualquier otro firewall)? ¿Efectos secundarios?
Depende en gran medida de la firma que se utiliza para coincidir con el ataque Heartbleed. Desafortunadamente, la mayoría genera falsos positivos. Tengo clientes con Fortigates, donde han usado la regla con una acción de cuarentena de 5 minutos. Los resultados fueron bastante malos, prácticamente hicieron cientos de clientes legítimos. Pero hay una diferencia entre la cuarentena y una simple política de "caída". Tu caso debería ser más suave.
Me gustaría sugerir que monitorees esa alerta por un período de tiempo, por ejemplo. 1 semana e investigue las alertas, y haga un seguimiento con las alertas para examinar si proceden de una fuente legítima o si son exploraciones / intentos malintencionados de explotar el error.
También sugiere realizar un piloto / prueba con un equipo más pequeño en un período de tiempo limitado.
Lea otras preguntas en las etiquetas firewalls heartbleed