O UFW está atrás de um roteador de gateway de firewall (ed) necessário

0

É realmente necessário executar o UFW por trás do meu Gateway Router, que já possui regras de firewall / porta?

Neste exemplo, estou discutindo a execução do UFW em um servidor com acesso à Internet (Linux) que esteja por trás de um roteador de gateway do Natted Firewall.

Por favor, seja específico, não diga apenas sim, porque existem hackers por aí! (Embora essa seja uma resposta válida)

É apenas para proteção interna? Se assim for, sei que posso confiar na minha LAN, não posso executar o UFW?

    
por FreeSoftwareServers 03.12.2015 / 11:28

2 respostas

0

Em última análise, esta é uma questão de segurança mais do que uma questão unix / linux.

Tecnicamente, a resposta é não, não é necessário executá-lo para que as coisas funcionem corretamente (dependendo do que você está executando).

Não executo firewalls de host em minha rede em casa porque tenho meu modem / roteador / ponto de acesso configurado de forma que não haja conexões de entrada permitidas e, como você, confio em minha lan doméstica.

No entanto, esta é minha casa lan. Eu tenho muito poucos dados interessantes sobre isso e nada para atrair hackers, e principalmente o tipo de defesa que impede a movimentação.

A próxima ameaça é, então, o código malicioso enviado pelo seu navegador da web. Isso realmente significa que você não pode confiar em sua rede doméstica. Nesse cenário, alguém seqüestra um servidor da Web (cross sight scripting, qualquer que seja) e você acaba com algum tipo de bot na sua máquina que, em seguida, verifica sua rede e replica. Havia uma instalação governamental com uma rede secreta "secreta" (significando que os dados eram sigilosos, não a própria rede) que tinham uma infestação pela qual estavam tendo sérios problemas para se livrar, porque o que quer que estivesse em suas máquinas estava se espalhando tão rápido como eles poderiam reimaginar máquinas. Isso, no entanto, era quase todas as máquinas Windows no Active Directory com os problemas de cultura e mono que isso implica [1].

Talvez seja um problema para você, talvez não seja. Essa é sua avaliação para fazer.

Em última análise, em uma rede doméstica com muito pouca ou nenhuma porta de entrada aberta, serviços de rede mínimos em execução e, caso contrário, boas práticas de segurança hospedam firewalls baseados que não proporcionam um ganho significativo na segurança.

No entanto, em um negócio com qualquer tipo de PII, então você vai a milha extra.

QUE DISSE . Todos nós provavelmente deveríamos estar executando firewalls baseados em host. Devemos saber qual atividade de rede o computador está iniciando em nosso nome e cuidando disso.

Mas ocupado e distrac ...

    
por 04.12.2015 / 18:24
0

Além do que o Petro disse, acho que depende das regras que você executaria no UFW. A maneira que eu vejo é que não confio totalmente em nenhuma estação de trabalho dentro da LAN. Uma estação de trabalho pode contratar um vírus de backdoor que permite que um hacker atinja sua rede de dentro para fora. Portanto, ter um FW até possivelmente bloqueando uma estação de trabalho comprometida de atacar seu servidor pode valer a pena. Por outro lado, se você for implementar uma regra que permita, digamos, o ssh de qualquer dispositivo de rede local, os benefícios do UFW diminuirão.

Meu UTM em casa oferece suporte à fácil implementação de VLANs, o que permite que o UTM inspecione e faça o tráfego de firewall entre sub-redes. Isso me permite colocar dispositivos em vários níveis de confiança. Servidores baseados na Web no nível mais baixo de confiança (efetivamente um DMZ), host KVM em uma VLAN separada como o nível mais alto de confiança, servidor de backup em dispositivos vlan privados e de usuário final em uma quarta vlan. Excedente para casa, mas era uma configuração que eu estava testando para o trabalho e deixei no lugar.

    
por 09.12.2015 / 04:42