В настоящее время межсетевой экран в небольшой компании блокирует многоадресную рассылку в их сети. Должны ли они и дальше блокировать многоадресную рассылку? Есть ли проблемы с безопасностью при его разблокировке? Есть ли преимущества в его разблокировке?
Блокировка многоадресной рассылки на границе есть несколько хороших вещей для этого. Блокировка внутри Я лично не согласен с. Это мнение.
Вот Статья SANS это может пролить свет на проблемы безопасности многоадресной рассылки. Кроме того, было бы неплохо поискать в SF прошлые вопросы о многоадресной рассылке и обратить внимание на набор проблем, которые потенциально могут повлиять на вашу сеть.
Единственные многоадресные приложения, которые я когда-либо использовал, - это инструмент мониторинга Ganglia и иногда ntp (и это не стандартная конфигурация ntp в любом случае). Мне не совсем понятно, сколько многоадресной рассылки действительно используется в наши дни в небольших сетях, подобных описанным вами, поэтому я не уверен, что блокировка имеет слишком большое значение.
В то же время я не вижу смысла блокировать его внутри вашей сети без конкретной угрозы. Я голосую за то, чтобы оставить его разблокированным в вашей сети.
Я бы сказал, заблокируйте его на краю вашей сети, чтобы быть в безопасности, хотя по умолчанию многоадресная рассылка все равно не маршрутизируется, если вы не пройдете дополнительные кольца.
Есть веский аргумент в пользу блокировки всех типов трафика и открытия только того, что вам нужно. Я бы лично не стал распространять это на внутреннюю блокировку многоадресной рассылки в небольшой сети, но это, возможно, вопрос мнения (как говорит sysadmin1138), а не однозначного верного или неправильного.
Если кто-то заблокировал это как часть политики, чтобы блокировать все и открывать только то, что им нужно, то это кажется мне совершенно рациональным.
Если кто-то воспринимает прямую угрозу или проблему от многоадресной рассылки, то он может быть абсолютно прав (например, у него были проблемы в прошлом, и это исправление), или он может быть немного параноиком, что это не то же самое, что неправильно.
Однако если этот блок на месте, потому что кто-то не знает, что делает, и просто заблокировал все, что, по мнению генерального директора, звучало «пугающе», то это ... не так хорошо.