V clanku se mluvi o pouziti principu "default permit" a duslednem pouzivani demilitarizovanych zon. Problem je v tom, ze "default permit" je casto interpretovana prilis doslova jako zakazani veskereho chovani, o kterem nevime jestli je spravne. Jiste, bezpecnost to zvysi, ale za cenu svobody (v dnesni dobe obvykly problem). Sit zabezpecena metodou default permit znamena nejen spoustu prace, aby slo vubec pracovat (zvlast v pripade, ze se zaroven v dane siti provadi vyvoj software), ale zaroven spolehlive zabranuje "obycejnym" uzivatelum, typicky univerzitnim studentum, v experimentovani s vlastnimi programy a tim i ve vyuce.
Proto univerzity jen zridka pouzivaji princip default permit a proto si myslim, ze to neni dobra metoda (stejne jako druhy extrem). Resenim musi byt stredni cesta, i kdyz to neni snadne reseni, at uz se stavi na default permit nebo default allow.
Kruci. Nojo, nechal jsem se splest tim, ze ta zminena kapitola (kterou jsem cetl) se jmenuje Default Permit (a mluvi o tom, ze se ma misto toho pouzivat Default Deny) ... prehodte v prispevku "Permit" na "Deny" a "Allow" na "Permit", pak to zacne davat smysl.
The opposite of "Default Permit" is "Default Deny" and it is a really good idea. It takes dedication, thought, and understanding to implement a "Default Deny" policy, which is why it is so seldom done. It's not that much harder to do than "Default Permit" but you'll sleep much better at night.
Zlata stredni cesta jde rict i jinak:
Nenechte se ukolebat tvrzenimi, ze default deny neni "that much harder". Pokud ji implementujete jednoduse, tak neni "that much harder" ve srovnani s vasi predchozi "default permit" konfiguraci (ktera byla udelata spatne, protoze prilis jednoduse), ale take je to SPATNE. Implementovat ji spravne je tezsi nez je vetsina administratoru ochotna udelat. Implementovat spravne default permit taky, tam se to ovsem projevi na te bezpecnosti misto na svobode.
Pochopitelne je rada mist, kde je lepsi mit spatne udelanou Default Deny nez spatne udelanou Default Permit. Pocinaje NSA, pres NASA a pravidla, rikajicim co muze z internetu na vas webovsky server, k neostre hranici. Na druhou stranu je rada mist, kde je lepsi mit Default Permit - pocinaje sitemi ISP pro domaci uzivatele pres konfiguraci skolniho pocitacoveho labu a konfiguraci pravidel mezi internetem a pocitaci zamestnancu-programatoru opet k neostre hranici. Mezi obema hranicemi je oblast, ve ktere administrator proste musi byt pripraven provadet zmeny konfigurace nejmene obden.
Mimochodem, mensi rozvedeni pripadu se zamestnancem-programatorem: pochopitelne default-permit policy centralniho routeru je doplnena default-deny policy firewallu na pocitaci programatora. Programator tento firewall umi ovladat (a ma na to prava) a chape, ze nastavit ho na everything-permit je spatny napad a proc.