Nerdepost, men det trengs også. Å sperre trafikk er ikke bare å sperre trafikk.
Å benytte drop og dermed oppnå silent drop er som regel mye bedre enn deny når trafikk kommer fra internett.
For Palo Alto Networks kan action være flere forskjellige ting, og action drop er en viktig en:
I et Least Privilege regelsett skal de fleste regler så klart være allow, men det vil være regler med andre actions også:
Inngående drop regelsett, der action er nettopp drop istedenfor deny for “silent drop” og på den måten ikke svare noe som helst til de fra internett som prøver seg på ting.
En utgående regel vil ha en annen action:
Action drop på mange regler
Jeg bruker action drop på mange regler. En ting man kan gjøre er å se i loggene etter trafikk fra internett og inn som ikke er tillatt:
- ( zone.src eq ‘Internett’ ) and ( action neq ‘allow’ ) and ( action neq ‘drop’)
Om man finner treff i loggene, sjekk reglene og endre fra deny til drop.
Leave a Reply