Hardware Firewall vs. Firewall de software (tabelas IP, RHEL)

Navegue suas respostas
36

TL; DR
Minha empresa de hospedagem diz que o IP Tables é inútil e não oferece nenhuma proteção . Isso é BS?

Eu tenho dois servidores co-localizados. Ontem, minha empresa da DC me contatou para dizer que, como estou usando um firewall de software, meu servidor é "Vulnerável a várias ameaças críticas de segurança" e minha solução atual oferece "Sem proteção contra qualquer tipo de ataque".

Eles dizem que eu preciso de um firewall Cisco dedicado ($ 1000 de instalação e $ 200 / mês EACH ) para proteger meus servidores. Eu sempre tive a impressão de que, embora os firewalls de hardware sejam mais seguros, algo como o IPTables no RedHat oferecia proteção suficiente para o seu servidor comum.

Ambos os servidores são apenas servidores web, não há nada de criticamente importante neles, mas usei o IPTables para bloquear o SSH para apenas o meu endereço IP estático e bloquear tudo, exceto as portas básicas (HTTP (S), FTP e algumas outros serviços padrão).

Eu não estou indo para obter o firewall, se o éter dos servidores foram hackeados seria um inconveniente, mas todos eles correm é alguns sites Wordpress e Joomla, então eu definitivamente não acho que vale a pena o dinheiro.

    
por Smudge 11.05.2011 / 14:26

6 respostas

31

Os firewalls de hardware também executam software, a única diferença real é que o dispositivo é construído especificamente e dedicado à tarefa. Os firewalls de software nos servidores podem ser tão seguros quanto os firewalls de hardware quando configurados corretamente (note que os firewalls de hardware geralmente são "mais fáceis" para chegar a esse nível, e os firewalls de software são "mais fáceis" de estragar).

Se você estiver executando um software desatualizado, provavelmente há uma vulnerabilidade conhecida. Embora seu servidor possa ser suscetível a esse vetor de ataque, declarar que ele está desprotegido é uma mentira inflamada, enganosa ou em negrito (depende do que exatamente eles disseram e de como eles o disseram). Você deve atualizar o software e corrigir quaisquer vulnerabilidades conhecidas, independentemente da probabilidade de exploração.

Afirmar que o IPTables é ineficaz é enganador na melhor das hipóteses . Embora, novamente, se a única regra for allow everything from all to all , então sim, não estaria fazendo nada.

Nota: Todos os meus servidores pessoais são alimentados pelo FreeBSD e usam apenas o IPFW (firewall de software embutido). Eu nunca tive um problema com essa configuração; Eu também sigo os anúncios de segurança e nunca vi nenhum problema com este software de firewall. No trabalho, temos segurança em camadas; o firewall de borda filtra toda a porcaria óbvia (firewall de hardware); firewalls internos filtram o tráfego para os servidores individuais ou a localização na rede (mistura de firewalls de software e hardware). Para redes complexas de qualquer tipo, a segurança em camadas é mais apropriada. Para servidores simples como o seu, pode haver algum benefício em ter um firewall de hardware separado, mas pouco.

    
por 11.05.2011 / 14:36
8

A execução de um firewall no próprio servidor protegido é menos seguro do que o uso de uma máquina de firewall separada. Não precisa ser um firewall de "hardware". Outro servidor Linux definido como um roteador com IPTables funcionaria bem.

O problema de segurança com firewalls no servidor protegido é que a máquina pode ser atacada por meio de seus serviços em execução. Se o invasor puder obter acesso ao nível da raiz, o firewall poderá ser modificado ou desabilitado ou contornado por meio de um kit raiz do kernel.

Uma máquina de firewall separada não deve ter nenhum serviço em execução, exceto para acesso SSH e esse acesso SSH deve ser limitado a intervalos de IP de administração. Deve ser relativamente invulnerável atacar, bloqueando erros na implementação do IPTables ou na pilha TCP, é claro.

A máquina de firewall pode bloquear e registrar o tráfego de rede que não deveria existir, oferecendo a você um aviso antecipado de sistemas com falhas.

    
por 11.05.2011 / 17:22
4

Se o seu tráfego estiver baixo, experimente um pequeno Unidade Cisco ASA como o 5505 . Está na faixa de US $ 500 a US $ 700 e definitivamente construído para o propósito. O co-lo é sorta dando-lhe BS, mas suas taxas para o firewall também são irracionais.

    
por 11.05.2011 / 15:01
4

Eu acho que isso também depende do desempenho. O que um firewall baseado em software / servidor faz usando ciclos de CPU, um firewall de hardware pode fazer com chips de propósito específico (ASICs), o que leva a um melhor desempenho e rendimento.

    
por 11.05.2011 / 16:13
3

De sua perspectiva, a diferença real entre firewalls de "software" (na própria máquina) e "hardware" é que, no primeiro caso, o tráfego já está na máquina que você quer proteger, então é potencialmente

Um firewall de hardware basicamente atua como um pré-filtro, que permite que apenas tráfego específico alcance e / ou saia do servidor.

Dado o seu caso de uso, e supondo que você tenha backups adequados, a despesa extra seria muito difícil de justificar. Pessoalmente eu continuaria com o que você tem, embora talvez usando uma empresa de hospedagem diferente.

    
por 12.05.2011 / 03:57
3

Tarde para o jogo neste. Sim, o provedor de serviços não tem ideia do que está falando. Se você é um administrador competente do IPTABLES, eu diria que você é mais seguro do que um firewall de hardware pronto para uso. A razão é que, quando os usei, a interface boa e simples não reflete a configuração real do tráfego permitido. Os vendedores tentam simplificar para nós pessoas burras. Eu quero saber sobre todas as possibilidades de cada pacote entrar e sair.

IPTABLES não é para todos, mas se você é sério sobre segurança, você quer estar o mais próximo possível do fio. Proteger um sistema é fácil - a engenharia reversa de um firewall blackbox não é.

    
por 28.07.2011 / 15:01
DNS usando CNAMEs quebra os registros MX? Como posso encontrar os maiores diretórios no unix / Ubuntu?