Is it safe to turn off Windows Firewall on a private network?
Obviamente, isso depende. Qual rede privada e o que você considera "seguro"?
Eu responderia em três partes:
-
Se você está substituindo o Windows Firewall pelo qualquer produto superior , é claro que é seguro para desativar o Firewall do Windows depois que o outro produto estiver funcionando.
- Esta é a solução ideal, claro.
-
Se você está falando se é seguro não ter firewall de software em redes privadas, então você precisa pensar sobre isso.
- Como uma "rede privada" do Windows é o que você informa ao Windows como uma rede "privada", quais redes você está informando que o Windows é particular?
- Qual é a segurança deles?
- Como você sabe como eles são seguros?
- Por que você acha que o nível atual deles é "seguro" para aqueles que se qualificam?
- Se qualquer um deles for "porque as outras pessoas / máquinas na rede não fazem nada muito arriscado", marque a rede como "insegura". Anúncios pop-up com exploits de dia zero podem atingir qualquer computador que esteja executando qualquer navegador de qualquer site, até mesmo sites nos quais você confia, já que confiar neles NÃO é o mesmo que confiar em sua publicidade.
- Se você classificá-los como seguros porque eles têm uma infra-estrutura de segurança de rede significativa, incluindo firewalls acima do consumidor, dispositivos IDS / IPS, antimalware / antivírus em linha, etc. etc., então você confia na rede deles sozinhos. Isso pode ser válido, mas é algo a considerar cuidadosamente - explorações de dia zero podem atingir QUALQUER UM - KRACK, Heartbleed, Meltdown / Spectre, etc.
- Como uma "rede privada" do Windows é o que você informa ao Windows como uma rede "privada", quais redes você está informando que o Windows é particular?
- Você está usando pessoalmente um firewall de hardware em todas as redes "privadas"? Em caso afirmativo, sim, eu geralmente diria que seu firewall de hardware tornaria o Firewall do Windows supérfluo, se estiver entre seu hardware e TODO o outro hardware.
TL; DR: a segurança é toda sobre camadas
Segurança é sobre camadas. Cada camada pode ser vulnerável a ataques; e, francamente, todas as camadas estarão vulneráveis a ataques em alguns momentos, desde o complemento do seu navegador até a própria CPU. Ter mais e mais camadas permite que você tenha uma chance muito maior de que nem todas as camadas sejam vulneráveis durante a mesma janela de tempo.
Por exemplo, as camadas de uma casa normal incluirão:
- NAT do ISP
- "roteador / firewall" de nível de consumidor
- Com NAT internamente
- Com uma senha padrão "admin", sem patches de firmware e ninguém monitorando seus registros inúteis.
- Wifi com WPA2-Personal usando AES
- Com uma senha padrão fornecida pelo ISP
- Que nunca teve nenhum patch
- LAN local
- seu computador
- Que pode ter um firewall de software para limitar o acesso de entrada
- Que pode ter antivírus
- Que pode ter outro anti-malware
- Cujo registro ninguém provavelmente monitora
Um sistema mais seguro teria: - NAT do ISP - Midline para firewall avançado - Remendado recentemente - Cujos registros são monitorados e / ou fornecem alertas - IDS / IPS no modo IPS - Remendado recentemente - com assinaturas atualizadas - Antivírus / antimalware inline no nível da rede - com assinaturas atualizadas - Wifi com WPA2-Personal com AES - Com uma senha longa e aleatória - Remendado recentemente - Cujos registros são monitorados para ver quais dispositivos estão se conectando - com o isolamento do cliente ativado - LAN local - com VLANs segregando tráfego - Seu dispositivo (como acima)