Você deve executar firewalls dentro do seu perímetro de rede?

6

A velha questão. Eu vi respostas ir em ambos os sentidos sobre isso, mas nunca uma resposta abrangente a respeito de porque você quer firewalls ativos dentro de sua rede confiável. Quando digo "confiável", normalmente (eu) quero dizer uma LAN que já está por trás de um firewall ativo.

Gostaria de ter razões abrangentes para explicar por que você gostaria disso. O único argumento de que eu já ouvi falar é que firewalls inativos dentro de sua rede confiável levam a um esquema de segurança "crocante e mastigável", onde a violação do firewall externo "crocante e duro" expõe todas as máquinas internas "chewy-chewy".

    
por Avery Payne 04.06.2009 / 08:43

12 respostas

8

Acho que ter firewalls na rede é bom por vários motivos.

  1. Proteja seus dados internos confidenciais de serem modificados / roubados / excluídos. Se cada usuário final da sua empresa tiver acesso à rede a todos os servidores de banco de dados de produção, todas as senhas protegem seus dados. Em alguns casos (contas sql versus contas de domínio), é comum que toda a equipe de desenvolvimento tenha a senha de acesso de gravação em todos esses bancos de dados. A maioria das estatísticas que vi indicam que é muito mais provável que você seja atacado por dentro do que por um invasor externo. Funcionários insatisfeitos podem ser extremamente motivados.
  2. Proteja seus dados internos confidenciais de serem acidentalmente modificados / excluídos. Acidentalmente, apontar um servidor da web do Palco em um servidor de banco de dados de produção acontece com muito mais frequência do que você imagina. Se você desativar o firewall de seus servidores de BD Prod, de modo que somente servidores Web e DBAs possam alcançá-los, você reduzirá significativamente esse risco.
  3. Uma abordagem mais robusta e em camadas. Quanto mais camadas de segurança sensata você adicionar, melhor. Algumas pessoas podem ficar um pouco loucas com isso, mas no geral é uma boa ideia.
  4. À medida que sua rede cresce, você precisa de proteção de si mesmo. Seja em pontos de acesso desonestos ou laptops, é quase impossível ter 100% de certeza de que tudo na sua rede está de acordo com sua política de segurança.
por 04.06.2009 / 08:58
7

Sim, simplesmente porque com apenas um firewall na fronteira, você tem um único ponto de falha. Se esse firewall tiver um bug que permita que ele seja ignorado, sua segurança desaparecerá.

A segurança deve ser uma abordagem em camadas, aplicando a segurança em cada camada, sempre que possível, ou pelo menos rentável, e apropriada para o nível de risco.

Como com todos os avisos de segurança, você deve levar em conta o risco real envolvido se o sistema estiver comprometido. Se tudo o que você perder é uma caixa não crítica sem dados, pode não importar muito. Se você está tentando proteger segredos de estado, contas bancárias ou informações de assistência médica, você precisa empregar muito mais camadas.

    
por 04.06.2009 / 08:48
6

Nunca subestime a capacidade de outro funcionário de levar seu laptop carregado de vírus de casa e conectá-lo ao seu backbone.

    
por 04.06.2009 / 08:52
4

A execução de um firewall em um servidor interno permite controlar quais serviços são realmente usados e evita usos indevidos.

Por exemplo, você tem um servidor solaris destinado a ser usado apenas como servidor NFS. Então um dia você descobre que alguns usuários descobriram que eles são capazes de se conectar a ele usando telnet / ssh / rsh / X e começaram a executar seu trabalho sísmico nele ...

    
por 04.06.2009 / 09:19
4

Uma maneira de ver isso é:

Sua empresa tem algum tipo de segurança de perímetro, certo? Ou seja, um portão com uma cerca, etc.

Pense nisso como seu firewall principal.

Ainda assim, você bloqueia prédios, trava seções de prédios e bloqueia escritórios individuais, etc. Se você tem crachás que você escaneia, alguns crachás de pessoas não os deixam entrar em seções de alguns prédios, muito menos em escritórios individuais.

Cada uma dessas seções bloqueadas é como outro firewall.

Se você for usar firewalls como sua proteção, pense em isolá-los uns dos outros. Você não deve presumir que um pacote é bom apenas porque está dentro do seu perímetro.

    
por 04.06.2009 / 09:49
3

Bem, isso depende de quanta confiança você deposita na sua rede "confiável" ... Por padrão, em uma configuração de rede muito clássica, sua borda de rede é suficiente.

Digamos que você tenha uma grande zona confiável com todos os seus servidores web / cliente / nfs / .... Se alguém for hackeado, ele poderá acessar todos os servidores para infectá-los e espalhar o caos na sua rede.

Acredito firmemente que você precisa ter uma VLAN para cada grupo funcional (uma por cliente, por arquitetura da web) e todas as comunicações de cada VLAN precisam ser filtradas por um firewall. Isso permite que você isole todos os seus grupos funcionais em termos de segurança e evite colidir com toda a sua empresa.

Falando da experiência, a empresa anterior em que eu estava trabalhando morreu por causa disso. Então sim, é usefu: -)

    
por 04.06.2009 / 08:53
3

Eu vi algumas implantações de firewalls dentro de redes para proteger um único host e ter experiência pessoal com dois. Em ambos os casos, o único host protegido era um sistema operacional herdado em execução em uma configuração "certificada" e que não podia ser alterada (uma por motivos de conformidade legal, a outra para continuar recebendo suporte do fornecedor).

Como os hosts expuseram serviços indesejados à rede (e porque, em um caso, o host não oferecia bons recursos de registro para gravar sessões TCP distintas - algo que o Cliente queria ter) e porque as configurações dos hosts eram fixas , optamos por fazer o firewall dos hosts com um dispositivo de firewall dedicado (em um caso, um Cisco PIX e, em outro, um computador baseado em Linux executando um firewall IPtables e um serviço de proxy TCP).

Portanto, se você tiver hosts herdados "presos" em uma configuração abaixo do ideal, considere a possibilidade de implantar um firewall apenas para protegê-los.

    
por 04.06.2009 / 14:51
1

Quão grande você é? A um determinado tamanho (que varia), é provável que seja útil separar contas, folha de pagamento, RH e servidores de produção do acesso não controlado do resto da empresa. (Eu adoraria me dar um aumento de salário. Infelizmente, para algumas pessoas que vão além do wishful thinking.)

    
por 04.06.2009 / 08:56
1

Eu trabalho como consultor em LAN, WLAN e segurança.

Principalmente essa pergunta surge quando há necessidade de um ponto de roteamento para uma nova VLAN / sub-rede.
Minha preferência é definitivamente o firewall (se você souber como gerenciar seu firewall, é claro).

Isso adiciona segurança e confiabilidade de maneira simples

  • um roteador encaminha por padrão, um firewall bloqueia por padrão. Isso significa que somente os serviços necessários serão permitidos.
  • o roteador não reconhece a sessão, um firewall está ciente da sessão. Isso torna a configuração da ACL muito menos onerosa.
  • um firewall tem um registro fácil sobre o que ele bloqueia, uma ACL no roteador geralmente fornece apenas contadores. Isso aprimora a solução de problemas e a visibilidade da sua rede.
O pay-off, é claro, é que um firewall tem, por esse mesmo motivo, um desempenho pior por dólar do que um roteador ou switch de roteamento L3. Com certeza você deve isolar todo tráfego que normalmente não possui tráfego pesado fora de sua VLAN: guest internet, infraestrutura de terceiros (HVAC, controle de acesso), DMZ, APs, VoIP, ...

A questão é o tráfego entre PCs e servidores clientes padrão. Se você executá-lo através de um firewall, a taxa de transferência deverá ser considerada. Também tenha em mente que um firewall sem IDP permite ou bloqueia determinados serviços e não verifica o que acontece dentro desse serviço específico.

Então, aqui temos que equilibrar segurança versus investimento.

Neste momento, a Juniper está lançando uma nova série de firewalls com desempenho incrível, por um preço razoável, o que torna possível substituir seu núcleo de roteamento por um firewall de roteamento. Dê uma olhada na série SRX. Este firewall SRX com taxa de transferência de Gb não custa mais do que o switch de roteamento de marca decente.

    
por 04.06.2009 / 12:42
1

Nós rodamos firewalls em todas as estações de trabalho locais onde eu trabalho e nós vemos isso como uma "coisa boa", como mencionado anteriormente, alguns lunkheads podem trazer um laptop pessoal infectado com um vírus ou worm e liberá-lo a rede corporativa 'confiável'.

Executando uma solução como Symantec ou McAfee, você pode gerenciar centralmente os conjuntos de regras de firewall em todos os clientes para responder rapidamente a um worm de propagação rápida (novamente, se você for um pensador rápido em pé, também poderá criar pré-defina ACLs em switches e roteadores de interconexão dentro de sua LAN para impedir que um código malicioso se espalhe, uma vez que você saiba como ele atravessa uma rede.)

Dito isto, saiba que você POSSIVELMENTE poderá ter problemas com aplicativos nos quais seus clientes precisam se comunicar com servidores em portas específicas, etc.

Para resumir; Firewalls no XP, Vista, etc workstations = coisa boa. Não implante em servidores, a menos que esteja pronto para documentar e ajustar para clientes que se conectam a aplicativos.

    
por 04.06.2009 / 15:08
0

Um filtro de pacotes não é "segurança".

Uma solução abrangente também definitivamente filtrará o tráfego em uma rede interna, mas isso não necessariamente toma a forma de um firewall de filtragem de pacotes.

Inibir, por exemplo, o tráfego entre clientes para retardar a propagação do worm pode ser uma coisa muito boa, mas é melhor configurá-lo em seus switches ou - se não estiver disponível - apenas corrigir todos os endereços IP de não-servidor para 0.0. 0.0 no cache ARP dos clientes.

No que diz respeito aos portáteis de entrada, apenas dar-lhes uma WLAN não encaminhada onde tenham de entrar VPN para alcançar um proxy de pesquisa de vírus pode ser preferível a ter um filtro de pacotes entre cada rede. O 802.11x que permite somente estações de trabalho permanentemente instaladas nas portas do switch pode realmente fornecer isso e os pontos anteriores.

As VLANs também fazem mais do que sua parte, tanto em segurança quanto em desempenho. Nem todo mundo tem que falar com todo mundo, e se você não alternar / rotear entre eles em primeiro lugar, você não precisa filtrar.

    
por 04.06.2009 / 11:55
0

Um dos princípios básicos de segurança é "menos privilégios". Alguém (ou algo assim) só precisa do mínimo de acesso / informações necessárias para realizar seu trabalho.

Se você tiver um banco de dados acessível apenas por um servidor web, por que permitiria que todos os outros servidores da rede o acessassem? O mesmo se aplica a todos os outros sistemas ...

Assim, você precisa de um firewall no perímetro e também dos firewalls baseados em host em cada sistema (iptables, pf, etc) para fornecer um controle mais granular. Dessa forma, se um sistema for comprometido, será muito mais difícil que o ataque se espalhe em sua rede.

Além disso, se você tiver segmentos com diferentes folgas, também precisará de um firewall de perímetro ou pelo menos uma vlan (digamos, separar uma rede de RH do dev ou a DMZ da intranet).

Então, sim, há uma resposta definitiva:)

    
por 04.06.2009 / 14:23