it-swarm.com.de

Warum sollte ich Firewall-Server?

BITTE BEACHTEN SIE: Ich bin nicht daran interessiert, daraus einen Flammenkrieg zu machen! Ich verstehe, dass viele Menschen eine feste Überzeugung zu diesem Thema haben, nicht zuletzt, weil sie viel Aufwand in ihre Firewall-Lösungen gesteckt haben und auch, weil sie indoktriniert wurden, an ihre Notwendigkeit zu glauben.

Ich suche jedoch nach Antworten von Leuten, die Experten für Sicherheit sind. Ich glaube, dass dies eine wichtige Frage ist und die Antwort mehr als nur mir selbst und dem Unternehmen, für das ich arbeite, zugute kommen wird. Ich habe unser Servernetzwerk seit mehreren Jahren ohne Kompromisse und ohne Firewall betrieben. Keiner der Sicherheitskompromisse, die wir haben hatten, konnte mit einer Firewall verhindert werden.

Ich glaube, ich habe zu lange hier gearbeitet, denn wenn ich "Server" sage, meine ich immer "öffentlich angebotene Dienste", nicht "geheime interne Abrechnungsdatenbanken". Daher müssten alle Regeln, die wir würden in Firewalls haben, den Zugriff auf das gesamte Internet ermöglichen. Unsere öffentlich zugänglichen Server befinden sich alle in einem dedizierten Rechenzentrum, das von unserem Büro getrennt ist.

Jemand anderes stellte eine ähnliche Frage, und meine Antwort wurde in negative Zahlen gestimmt. Dies lässt mich glauben, dass entweder die Leute, die es abgelehnt haben, meine Antwort nicht wirklich verstanden haben oder ich die Sicherheit nicht genug verstehe, um das zu tun, was ich gerade tue.

Dies ist mein Ansatz zur Serversicherheit:

  1. Befolgen Sie die Sicherheitsrichtlinien meines Betriebssystems vorher Verbinden Sie meinen Server mit dem Internet.

  2. Verwenden Sie TCP Wrapper, um den Zugriff auf SSH (und andere Verwaltungsdienste) auf eine kleine Anzahl von IP-Adressen zu beschränken.

  3. Überwachen Sie den Status dieses Servers mit Munin . Und beheben Sie die ungeheuren Sicherheitsprobleme, die Munin-node in seiner Standardkonfiguration innewohnt.

  4. Nmap meinen neuen Server (auch bevor ich meinen Server mit dem Internet verbinde). Wenn ich diesen Server als Firewall verwenden würde, sollte dies der genaue Satz von Ports sein, auf den eingehende Verbindungen beschränkt sein sollten.

  5. Installieren Sie den Server im Serverraum und geben Sie ihm eine öffentliche IP-Adresse.

  6. Schützen Sie das System mithilfe der Sicherheitsupdates meines Betriebssystems.

Meine Philosophie (und die Grundlage der Frage) ist, dass eine starke hostbasierte Sicherheit die Notwendigkeit einer Firewall beseitigt. Die allgemeine Sicherheitsphilosophie besagt, dass eine starke hostbasierte Sicherheit auch dann erforderlich ist, wenn Sie über eine Firewall verfügen (siehe Sicherheitsrichtlinien ). Der Grund dafür ist, dass eine Firewall, die öffentliche Dienste an einen Server weiterleitet, einem Angreifer genauso viel ermöglicht wie überhaupt keine Firewall. Es ist der Dienst selbst, der anfällig ist, und da das Anbieten dieses Dienstes für das gesamte Internet eine Voraussetzung für seinen Betrieb ist, ist es nicht der Punkt, den Zugriff darauf zu beschränken.

Wenn auf dem Server are Ports verfügbar sind, auf die nicht über das gesamte Internet zugegriffen werden muss, musste diese Software in Schritt 1 heruntergefahren und in Schritt 4 überprüft werden Der Angreifer bricht erfolgreich über anfällige Software in den Server ein und öffnet selbst einen Port. Der Angreifer kann (und kann) jede Firewall genauso einfach besiegen, indem er stattdessen eine ausgehende Verbindung über einen zufälligen Port herstellt. Der Punkt der Sicherheit besteht nicht darin, sich nach einem erfolgreichen Angriff zu verteidigen - das hat sich bereits als unmöglich erwiesen -, sondern die Angreifer von vornherein fernzuhalten.

Es wurde vermutet, dass es neben offenen Ports noch andere Sicherheitsaspekte gibt - aber für mich klingt das nur so, als würde man seinen Glauben verteidigen. Sicherheitslücken in Betriebssystemen/TCP-Stacks sollten gleichermaßen anfällig sein, unabhängig davon, ob eine Firewall vorhanden ist oder nicht - basierend auf der Tatsache, dass Ports direkt an dieses Betriebssystem/TCP-Stack weitergeleitet werden. Ebenso scheint das Ausführen Ihrer Firewall auf dem Server selbst, anstatt sie auf dem Router zu haben (oder schlimmer noch, an beiden Stellen), unnötige Komplexitätsebenen hinzuzufügen. Ich verstehe die Philosophie "Sicherheit kommt in Schichten", aber irgendwann ist es so, als würde man ein Dach bauen, indem man X Schichten Sperrholz übereinander stapelt und dann ein Loch durch alle bohrt. Eine weitere Schicht Sperrholz wird die Lecks durch das Loch, das Sie absichtlich machen, nicht stoppen.

Um ehrlich zu sein, sehe ich eine Firewall nur dann als nützlich für Server, wenn sie über dynamische Regeln verfügt, die verhindern, dass bekannte Angreifer alle Verbindungen zu allen Servern herstellen - wie die RBLs für Spam (was zufällig so ziemlich das ist, was unser Mailserver tut). . Leider kann ich keine Firewalls finden, die das tun. Das nächstbeste ist ein IDS-Server, aber das setzt voraus, dass der Angreifer Ihre realen Server nicht zuerst angreift und dass Angreifer sich die Mühe machen, Ihr gesamtes Netzwerk zu untersuchen vorher angreifen. Außerdem ist bekannt, dass diese eine große Anzahl von falsch positiven Ergebnissen erzeugen.

105
Ernie

Vorteile der Firewall:

  1. Sie können ausgehenden Datenverkehr filtern.
  2. Layer 7-Firewalls (IPS) können vor bekannten Anwendungsschwachstellen schützen.
  3. Sie können einen bestimmten IP-Adressbereich und/oder Port zentral blockieren, anstatt sicherzustellen, dass auf jedem einzelnen Computer kein Dienst diesen Port überwacht oder den Zugriff mit TCP Wrappers verweigert.
  4. Firewalls können hilfreich sein, wenn Sie mit weniger sicherheitsbewussten Benutzern/Administratoren zu tun haben, da diese eine zweite Verteidigungslinie bieten würden. Ohne sie muss man absolut sicher sein, dass Hosts sicher sind, was ein gutes Sicherheitsverständnis aller Administratoren erfordert.
  5. Firewall-Protokolle bieten zentrale Protokolle und helfen bei der Erkennung vertikaler Scans. Mithilfe von Firewall-Protokollen können Sie feststellen, ob ein Benutzer/Client regelmäßig versucht, eine Verbindung zu demselben Port aller Ihrer Server herzustellen. Um dies ohne eine Firewall zu tun, müssten Protokolle von verschiedenen Servern/Hosts kombiniert werden, um eine zentralisierte Ansicht zu erhalten.
  6. Firewalls werden auch mit Anti-Spam-/Antiviren-Modulen geliefert, die ebenfalls zum Schutz beitragen.
  7. Betriebssystemunabhängige Sicherheit. Basierend auf dem Host-Betriebssystem sind verschiedene Techniken/Methoden erforderlich, um den Host sicher zu machen. Beispiel: TCP Wrapper sind auf Windows-Computern möglicherweise nicht verfügbar.

Vor allem, wenn Sie keine Firewall haben und das System kompromittiert ist, wie würden Sie es dann erkennen? Der Versuch, einen Befehl 'ps', 'netstat' usw. auf dem lokalen System auszuführen, kann nicht als vertrauenswürdig eingestuft werden, da diese Binärdateien ersetzt werden können. 'nmap' von einem Remote-System ist kein garantierter Schutz, da ein Angreifer sicherstellen kann, dass das Root-Kit zu ausgewählten Zeiten nur Verbindungen von ausgewählten Quell-IP-Adressen akzeptiert.

Hardware-Firewalls helfen in solchen Szenarien, da es im Vergleich zu Host-Betriebssystemen/-Dateien äußerst schwierig ist, das Betriebssystem/die Dateien der Firewall zu ändern.

Nachteile der Firewall:

  1. Die Leute glauben, dass die Firewall für die Sicherheit sorgt und die Systeme nicht regelmäßig aktualisiert und unerwünschte Dienste stoppt.
  2. Sie kosten. Manchmal muss eine jährliche Lizenzgebühr gezahlt werden. Insbesondere, wenn die Firewall über Antiviren- und Anti-Spam-Module verfügt.
  3. Zusätzlicher einzelner Fehlerpunkt. Wenn der gesamte Datenverkehr durch eine Firewall geleitet wird und die Firewall ausfällt, wird das Netzwerk gestoppt. Wir können redundante Firewalls haben, aber dann wird der vorherige Kostenpunkt weiter ausgebaut.
  4. Stateful Tracking bietet keinen Wert für öffentlich zugängliche Systeme, die alle eingehenden Verbindungen akzeptieren.
  5. Stateful Firewalls stellen einen massiven Engpass während eines DDoS-Angriffs dar und sind häufig das erste, was fehlschlägt, da sie versuchen, den Status beizubehalten und alle eingehenden Verbindungen zu überprüfen.
  6. Firewalls können den verschlüsselten Datenverkehr nicht sehen. Da der gesamte Datenverkehr durchgehend verschlüsselt werden sollte , bieten die meisten Firewalls vor öffentlichen Servern nur einen geringen Mehrwert. Einige Firewalls der nächsten Generation können private Schlüssel erhalten, um TLS zu beenden und den Datenverkehr zu sehen. Dies erhöht jedoch die Anfälligkeit der Firewall für DDoS noch mehr und bricht das End-to-End-Sicherheitsmodell von TLS.
  7. Betriebssysteme und Anwendungen werden viel schneller als Firewalls gegen Sicherheitslücken gepatcht. Firewall-Anbieter beschäftigen sich häufig Jahre mit bekannten Problemen, ohne zu patchen, und das Patchen eines Firewall-Clusters erfordert normalerweise Ausfallzeiten für viele Dienste und ausgehende Verbindungen.
  8. Firewalls sind alles andere als perfekt und viele sind notorisch fehlerhaft. Firewalls sind nur Software, die auf einem Betriebssystem ausgeführt wird, möglicherweise mit einem zusätzlichen ASIC oder FPGA) zusätzlich zu einer (normalerweise langsamen) CPU. Firewalls weisen Fehler auf, scheinen jedoch nur wenige Tools bereitzustellen Daher erhöhen Firewalls die Komplexität und die zusätzliche Quelle schwer zu diagnostizierender Fehler in einem Anwendungsstapel.
54

TCP-Wrapper könnten wohl als Host-basierte Firewall-Implementierung bezeichnet werden. Sie filtern den Netzwerkverkehr.

Für den Fall, dass ein Angreifer ausgehende Verbindungen an einem beliebigen Port herstellt, bietet eine Firewall auch die Möglichkeit, den ausgehenden Datenverkehr zu steuern. Eine ordnungsgemäß konfigurierte Firewall verwaltet den Ein- und Ausgang auf eine Weise, die dem mit dem System verbundenen Risiko angemessen ist.

In Bezug auf die Frage, wie eine TCP - Sicherheitsanfälligkeit nicht durch eine Firewall gemindert wird, sind Sie nicht mit der Funktionsweise von Firewalls vertraut. Cisco bietet eine ganze Reihe von Regeln zum Herunterladen an, mit denen Pakete identifiziert werden, die in erstellt wurden Ein Weg, der bestimmte Betriebssystemprobleme verursachen würde. Wenn Sie Snort greifen und es mit dem richtigen Regelsatz ausführen, werden Sie auch über solche Dinge informiert. Und natürlich können Linux-Iptables schädliche Pakete herausfiltern.

Grundsätzlich ist eine Firewall ein proaktiver Schutz. Je weiter Sie davon entfernt sind, proaktiv zu sein, desto wahrscheinlicher ist es, dass Sie sich in einer Situation befinden, in der Sie auf ein Problem reagieren, anstatt das Problem zu verhindern. Die Konzentration Ihres Schutzes an der Grenze wie bei einer dedizierten Firewall erleichtert die Verwaltung, da Sie über einen zentralen Choke-Point verfügen, anstatt Regeln überall zu duplizieren.

Aber nichts ist notwendigerweise eine endgültige Lösung. Eine gute Sicherheitslösung ist im Allgemeinen eine mehrschichtige Lösung, bei der Sie eine Firewall an der Grenze haben, TCP Wrapper am Gerät und wahrscheinlich auch einige Regeln für interne Router. Sie sollten normalerweise das Netzwerk schützen aus dem Internet und schützen Sie die Knoten voreinander. Dieser mehrschichtige Ansatz ist nicht wie das Bohren eines Lochs durch mehrere Sperrholzplatten, sondern eher das Aufstellen eines Türpaares, sodass ein Eindringling zwei Schlösser zum Brechen hat, anstatt nur Dies wird als Menschenfalle für physische Sicherheit bezeichnet, und fast jedes Gebäude hat aus einem bestimmten Grund eine. :)

33
dannysauer

(Vielleicht möchten Sie " Leben ohne Firewalls " lesen.)

Jetzt: Wie wäre es mit einem Legacy-System, für das keine Patches mehr veröffentlicht werden? Wie wäre es, wenn Sie die Patches zum gewünschten Zeitpunkt nicht auf N-Maschinen anwenden können, während Sie sie gleichzeitig auf weniger Knoten im Netzwerk (Firewalls) anwenden können?

Es macht keinen Sinn, über die Existenz oder Notwendigkeit der Firewall zu debattieren. Was wirklich wichtig ist, ist, dass Sie eine Sicherheitsrichtlinie implementieren müssen. Zu diesem Zweck verwenden Sie alle Tools, die es implementieren, und helfen Ihnen bei der Verwaltung, Erweiterung und Weiterentwicklung. Wenn dazu Firewalls benötigt werden, ist das in Ordnung. Wenn sie nicht benötigt werden, ist das auch in Ordnung. Was wirklich zählt, ist eine funktionierende und überprüfbare Implementierung Ihrer Sicherheitsrichtlinie.

15
adamo

Die meisten Ihrer Erklärungen scheinen die Notwendigkeit einer Firewall zu widerlegen, aber ich sehe keinen Nachteil darin, eine zu haben, außer der geringen Zeit, die zum Einrichten einer benötigt wird.

Wenige Dinge sind eine "Notwendigkeit" im engeren Sinne des Wortes. Bei Sicherheit geht es mehr darum, alle möglichen Blockaden einzurichten. Je mehr Arbeit erforderlich ist, um in Ihren Server einzudringen, desto geringer ist die Wahrscheinlichkeit eines erfolgreichen Angriffs. Sie möchten, dass mehr Arbeit in Ihre Maschinen eindringt als anderswo. Das Hinzufügen einer Firewall macht mehr Arbeit.

Ich denke, eine Schlüsselverwendung ist Redundanz in der Sicherheit. Ein weiteres Plus an Firewalls ist, dass Sie einfach versuchen können, eine Verbindung zu einem beliebigen Port herzustellen, anstatt auf abgelehnte Anfragen zu antworten. Dies macht das Nmapping für einen Angreifer etwas unpraktischer.

In der praktischen Frage zu Ihrer Frage ist es für mich am wichtigsten, dass Sie SSH, ICMP und andere interne Dienste für lokale Subnetze sperren und eingehende Verbindungen mit einer Geschwindigkeitsbegrenzung begrenzen können, um DOS-Angriffe zu vermeiden.

"Der Punkt der Sicherheit besteht nicht darin, sich nach einem erfolgreichen Angriff zu verteidigen - das hat sich bereits als unmöglich erwiesen -, sondern die Angreifer von vornherein fernzuhalten."

Ich stimme dir nicht zu. Ebenso wichtig kann die Begrenzung von Schäden sein. (Unter diesem Ideal, warum Hash-Passwörter? Oder stecken Sie Ihre Datenbanksoftware auf einen anderen Server als Ihre Webanwendungen?) Ich denke, das alte Sprichwort "Stecken Sie nicht alle Eier in einen Korb" ist hier anwendbar.

9
Joshua Enfield

Should I firewall my server? Gute Frage. Es scheint wenig sinnvoll zu sein, eine Firewall auf einen Netzwerkstapel zu legen, der bereits Verbindungsversuche mit allen außer den wenigen rechtmäßig geöffneten Ports ablehnt. Wenn es eine Sicherheitslücke im Betriebssystem gibt, die es böswillig gestalteten Paketen ermöglicht, einen Host zu stören/auszunutzen, würde eine Firewall , die auf demselben Host ausgeführt wird , den Exploit verhindern? Nun, vielleicht ...

Und das ist wahrscheinlich der stärkste Grund, auf jedem Host eine Firewall auszuführen: Eine Firewall kann verhindern, dass eine Netzwerkstapel-Sicherheitsanfälligkeit ausgenutzt wird. Ist das ein starker Grund? Ich weiß es nicht, aber ich nehme an, man könnte sagen: "Niemand wurde jemals wegen der Installation einer Firewall gefeuert."

Ein weiterer Grund, eine Firewall auf einem Server auszuführen, besteht darin, diese beiden ansonsten stark korrelierten Probleme zu entkoppeln:

  1. Von wo und zu welchen Ports akzeptiere ich Verbindungen?
  2. Welche Dienste werden ausgeführt und warten auf Verbindungen?

Ohne Firewall bestimmt die Gruppe der ausgeführten Dienste (zusammen mit den Konfigurationen für tcpwrapper und dergleichen) vollständig die Anzahl der Ports, über die der Server geöffnet ist und von denen Verbindungen akzeptiert werden. Eine Host-basierte Firewall bietet dem Administrator zusätzliche Flexibilität, um neue Dienste auf kontrollierte Weise zu installieren und zu testen, bevor sie allgemein verfügbar gemacht werden. Wenn eine solche Flexibilität nicht erforderlich ist, gibt es weniger Gründe, eine Firewall auf einem Server zu installieren.

Abschließend gibt es einen Punkt, der in Ihrer Sicherheitscheckliste nicht erwähnt ist und den ich immer hinzufüge, und zwar ein hostbasiertes Intrusion Detection System (HIDS) wie AIDE oder samhain . Ein gutes HIDS macht es einem Eindringling extrem schwer, unerwünschte Änderungen am System vorzunehmen und unentdeckt zu bleiben. Ich glaube, auf allen Servern sollte eine Art HIDS ausgeführt werden.

8
Steven Monday

Eine Firewall ist ein Werkzeug. Es macht die Dinge an und für sich nicht sicher, aber es kann einen Beitrag als Schicht in einem sicheren Netzwerk leisten. Das bedeutet nicht, dass Sie eine brauchen, und ich mache mir sicherlich Sorgen um Leute, die blind sagen "Ich muss eine Firewall bekommen", ohne zu verstehen, warum sie so denken, und die die Stärken und Schwächen von Firewalls nicht verstehen.

Es gibt viele Tools, von denen wir sagen können, dass wir sie nicht benötigen ... Ist es möglich, einen Windows-Computer ohne Antivirus auszuführen? Ja, das ist es ... aber es ist eine schöne Versicherungsschicht, eine zu haben.

Ich würde dasselbe über Firewalls sagen - was auch immer Sie über sie sagen können, sie sind ein gutes Versicherungsniveau. Sie sind kein Ersatz für das Patchen, das Sperren von Maschinen, das Deaktivieren nicht verwendeter Dienste, das Protokollieren usw., können jedoch eine nützliche Ergänzung sein.

Ich würde auch vorschlagen, dass sich die Gleichung etwas ändert, je nachdem, ob Sie eine Firewall vor eine Gruppe sorgfältig gepflegter Server stellen oder nicht, oder ein typisches LAN mit einer Mischung aus Workstations und Servern Einige von ihnen könnten trotz der besten Bemühungen und Wünsche des IT-Teams ziemlich haarige Sachen machen.

Eine weitere zu berücksichtigende Sache ist der Vorteil der Schaffung eines offensichtlich gehärteten Ziels. Sichtbare Sicherheit, ob es sich um helle Lichter, schwere Schlösser und eine offensichtliche Alarmbox an einem Gebäude handelt; oder eine offensichtliche Firewall im IP-Adressbereich eines Unternehmens kann den gelegentlichen Eindringling abschrecken - er wird nach leichterer Beute suchen. Dies wird den entschlossenen Eindringling nicht abschrecken, der weiß, dass Sie Informationen haben, die er möchte, und entschlossen ist, diese zu erhalten, aber es lohnt sich immer noch, die zufälligen Eindringlinge abzuschrecken - insbesondere, wenn Sie wissen, dass jeder Eindringling, dessen Sonden über die Abschreckung hinaus bestehen, besonders ernst genommen werden muss .

6
Rob Moir

Alles tolle Fragen. ABER - Ich bin sehr überrascht, dass PERFORMANCE nicht an den Tisch gebracht wurde.

Bei stark (CPU-weise) genutzten Web-Frontends verschlechtert die lokale Firewall die Leistung erheblich. Versuchen Sie einen Belastungstest und sehen Sie. Ich habe das unzählige Male gesehen. Durch Deaktivieren der Firewall wurde die Leistung (Anforderung pro Sekunde) um 70% oder mehr erhöht.

Dieser Kompromiss muss berücksichtigt werden.

5
Ariel

Eine Firewall ist ein zusätzlicher Schutz. Drei besondere Szenarien, vor denen es schützt, sind Netzwerk-Stack-Angriffe (dh Ihr Server-Betriebssystem ist anfällig für speziell gestaltete Pakete, die niemals die Ebene der Ports erreichen), ein erfolgreicher Eingriff, der eine Verbindung zu "Telefon nach Hause" herstellt (oder Spam sendet oder was auch immer) ) oder ein erfolgreiches Eindringen beim Öffnen eines Server-Ports oder, weniger erkennbar, vor dem Öffnen eines Ports auf eine Port-Klopfsequenz achten. Zugegeben, die letzten beiden haben damit zu tun, den Schaden eines Eindringlings zu mindern, anstatt ihn zu verhindern, aber das bedeutet nicht, dass er nutzlos ist. Denken Sie daran, dass Sicherheit kein Alles-oder-Nichts-Angebot ist. Man verfolgt einen mehrschichtigen Ansatz, Gürtel und Hosenträger, um ein Sicherheitsniveau zu erreichen, das für Ihre Bedürfnisse ausreicht.

4
Greg

Eine Firewall wird für kleinere Setups sicherlich nicht benötigt. Wenn Sie einen oder zwei Server haben, können Software-Firewalls gewartet werden. Trotzdem laufen wir nicht ohne dedizierte Firewalls, und es gibt einige Gründe, warum ich diese Philosophie behalte:

Rollentrennung

Server sind für Anwendungen. Firewalls dienen zur Paketinspektion, Filterung und Richtlinien. Ein Webserver sollte sich um das Bereitstellen von Webseiten kümmern, und das war's. Das Einfügen beider Rollen in ein Gerät entspricht der Aufforderung an Ihren Buchhalter, auch Ihr Sicherheitsbeamter zu sein.

Software ist ein sich bewegendes Ziel

Die Software auf dem Host ändert sich ständig. Anwendungen können ihre eigenen Firewall-Ausnahmen erstellen. Das Betriebssystem wird aktualisiert und gepatcht. Server sind ein stark frequentierter "Admin" -Bereich, und Ihre Firewall-Richtlinien/Sicherheitsrichtlinien sind für die Sicherheit häufig viel wichtiger als Ihre Anwendungskonfigurationen. Angenommen, in einer Windows-Umgebung macht jemand auf Gruppenrichtlinienebene einen Fehler und schaltet die Windows-Firewall auf den Desktops-PCs aus und merkt nicht, dass sie auf die Server angewendet wird. Mit wenigen Klicks sind Sie weit offen.

Nur im Zusammenhang mit Updates werden Firewall-Firmware-Updates in der Regel ein- oder zweimal im Jahr veröffentlicht, während Betriebssystem- und Service-Updates ein ständiger Datenstrom sind.

Wiederverwendbare Dienste/Richtlinien/Regeln, Verwaltbarkeit

Wenn ich einen Dienst/eine Richtlinie mit dem Namen "Webserver" einmal eingerichtet habe (z. B. TCP 80 und TCP 443)) und auf die Gruppe "Webserver" angewendet habe "Auf Firewall-Ebene ist dies viel effizienter (ein paar Konfigurationsänderungen) und exponentiell weniger anfällig für menschliches Versagen als das Einrichten von Firewall-Diensten auf 10 Boxen und das Öffnen von 2 Ports x 10 Mal. Wenn diese Richtlinie geändert werden muss, Es ist 1 Änderung gegen 10.

Ich kann eine Firewall während eines Angriffs oder nach einem Kompromiss weiterhin verwalten

Angenommen, mein Host-basierter Firewall + Anwendungsserver wird angegriffen und die CPU ist nicht in der Tabelle enthalten. Um überhaupt herauszufinden, was passiert, bin ich der Gnade ausgeliefert, dass meine Last geringer ist als die des Angreifers, um überhaupt hineinzukommen und sie sich anzusehen.

Eine tatsächliche Erfahrung - Ich habe einmal eine Firewall-Regel durcheinander gebracht (Ports wurden JEDEM anstelle eines bestimmten überlassen, und der Server hatte einen anfälligen Dienst), und der Angreifer hatte tatsächlich eine Live-Remotedesktopsitzung für die Box. Jedes Mal, wenn ich eine Sitzung beginnen würde, würde der Angreifer meine Sitzung beenden/trennen. Wenn es nicht möglich gewesen wäre, diesen Angriff von einem unabhängigen Firewall-Gerät aus zu beenden, hätte das viel schlimmer sein können.

nabhängige Überwachung

Die Protokollierung in dedizierten Firewall-Einheiten ist Host-basierten Software-Firewalls normalerweise weit überlegen. Einige sind gut genug, dass Sie nicht einmal eine externe SNMP/NetFlow-Überwachungssoftware benötigen, um ein genaues Bild zu erhalten.

IPv4-Erhaltung

Es gibt keinen Grund, zwei IP-Adressen zu haben, wenn eine für das Web und eine für E-Mail ist. Bewahren Sie die Dienste in separaten Boxen auf und leiten Sie die Ports entsprechend über das dafür vorgesehene Gerät weiter.

3
Brandon

Ich bin keineswegs ein Sicherheitsexperte, aber es hört sich so an, als wären Sie eine Firewall. Es scheint, als hätten Sie einige der Kernfunktionen einer Firewall in Ihre Richtlinien und Verfahren aufgenommen. Nein, Sie benötigen keine Firewall, wenn Sie den gleichen Job wie eine Firewall selbst ausführen möchten. Ich selbst würde lieber mein Bestes geben, um die Sicherheit aufrechtzuerhalten, aber eine Firewall über meine Schulter schauen lassen, aber irgendwann, wenn Sie alles tun können, was die Firewall tut, wird sie irrelevant.

3
SteelToad

Im Allgemeinen ist Sicherheit, wie bereits erwähnt, eine Zwiebelsache. Es gibt Gründe, warum Firewalls existieren, und es sind nicht nur alle anderen Lemminge, die dumme Idioten sind.

Diese Antwort kommt, da die Suche nach 'fail2ban' auf dieser Seite keine Ergebnisse erbracht hat. Wenn ich also andere Inhalte verdopple, nimm sie mit. Und entschuldigen Sie, wenn ich ein wenig schimpfe, biete ich einfache Erfahrungen an, da dies für andere nützlich sein könnte. :) :)

Überlegungen zur Vernetzung, lokal oder extern

Dies ist eher Linux-spezifisch und konzentriert sich auf Host-basierte Firewalling, was normalerweise der Anwendungsfall ist. Externe Firewalling geht Hand in Hand mit einer ordnungsgemäßen Netzwerkstruktur, und andere Sicherheitsaspekte gehen normalerweise damit einher. Entweder Sie wissen, was hier impliziert ist, dann werden Sie diesen Beitrag wahrscheinlich nicht benötigen. Oder nicht, dann lesen Sie einfach weiter.

Das externe und lokale Ausführen von Firewalls kann kontraintuitiv und doppelt funktionieren. Dies gibt aber auch die Möglichkeit, die Regeln für die externe zu ändern, ohne die Sicherheit aller anderen dahinter stehenden Hosts zu beeinträchtigen. Die Notwendigkeit könnte entweder aus Debugging-Gründen oder weil jemand es gerade versaut hat, entstehen. Ein weiterer Anwendungsfall wird dort im Abschnitt "Adaptive globale Firewall" aufgeführt, für den Sie sowohl globale als auch lokale Firewalls benötigen.

Kosten und Verfügbarkeit und immer die gleiche Geschichte:

Firewalling ist nur ein Aspekt eines ordnungsgemäß gesicherten Systems. Wenn Sie keine Firewall installieren, da diese Geld kostet, einen SPOF einführt oder was auch immer nur Blödsinn ist, entschuldigen Sie mein Französisch hier. Richten Sie einfach einen Cluster ein. Oh, aber was ist, wenn die Feuerzelle einen Ausfall hat? Richten Sie dann Ihren Cluster so ein, dass er zwei oder mehr Brandabschnitte umfasst.

Aber was ist, wenn das gesamte Rechenzentrum nicht erreichbar ist, da beide externen Spediteure nicht in Betrieb sind (der Bagger hat Ihre Glasfaser getötet)? Machen Sie Ihren Cluster dann einfach über mehrere Rechenzentren.

Das ist teuer? Cluster sind zu komplex? Nun, Paranoia muss bezahlt werden.

Nur über SPOFs zu jammern, aber nicht mehr Geld bezahlen zu wollen oder etwas komplexere Setups zu erstellen, ist ein klarer Fall von Doppelmoral oder nur eine kleine Brieftasche auf Unternehmens- oder Kundenseite.

Dieses Muster gilt für ALLE diese Diskussionen, unabhängig davon, welcher Service aktuell ist. Egal, ob es sich um ein VPN-Gateway, einen Cisco ASA handelt, der nur für Firewalling verwendet wird, eine MySQL- oder PostgreSQL-Datenbank, ein virtuelles System oder Serverhardware, ein Speicher-Backend, Switches/Router, ...

Inzwischen sollten Sie auf die Idee kommen.

Warum sich mit Firewall beschäftigen?

Theoretisch ist Ihre Argumentation vernünftig. (Nur laufende Dienste können ausgenutzt werden.)

Aber das ist nur die halbe Wahrheit. Firewalling, insbesondere Stateful Firewalling, kann viel mehr für Sie tun. Zustandslose Firewalls sind nur wichtig, wenn Leistungsprobleme wie bei anderen bereits erwähnten auftreten.

Einfache, zentrale und diskrete Zugangskontrolle

Sie haben TCP Wrapper erwähnt, die im Grunde die gleiche Funktionalität zum Sichern Ihrer Wrapper implementieren. Nehmen wir für das Argument an, dass jemand tcpd nicht kennt und gerne eine Maus verwendet? fwbuilder könnte in den Sinn kommen.

Der vollständige Zugriff von Ihrem Verwaltungsnetzwerk aus sollte aktiviert sein. Dies ist einer der ersten Anwendungsfälle Ihrer Host-basierten Firewall.

Wie wäre es mit einem Multi-Server-Setup, bei dem die Datenbank an einem anderen Ort ausgeführt wird und Sie aus irgendeinem Grund nicht beide/alle Computer in einem gemeinsam genutzten (privaten) Subnetz platzieren können? Verwenden Sie die Firewall, um den MySQL-Zugriff auf Port 3306 nur für die einzelne angegebene IP-Adresse des anderen Servers zuzulassen.

Und das funktioniert auch bei UDP einwandfrei. Oder welches Protokoll auch immer. Firewalls können so verdammt flexibel sein. ;)

Portscan-Minderung

Darüber hinaus können mit der Firewall allgemeine Portscans erkannt und verringert werden, da die Anzahl der Verbindungen pro Zeitspanne über den Kernel und seinen Netzwerkstapel überwacht werden kann und die Firewall darauf reagieren kann.

Auch ungültige oder undurchsichtige Pakete können verarbeitet werden, bevor sie jemals Ihre Anwendung erreichen.

Begrenzung des ausgehenden Datenverkehrs

Das Filtern des ausgehenden Datenverkehrs ist normalerweise ein Ärgernis. Aber es kann je nach Vertrag ein Muss sein.

Statistiken

Eine andere Sache, die eine Firewall Ihnen geben kann, sind Statistiken. (Denken Sie an watch -n1 -d iptables -vnxL INPUT, Indem Sie oben einige Regeln für spezielle IP-Adressen hinzugefügt haben, um zu sehen, ob Pakete eingehen.)

Sie können bei klarem Tageslicht sehen, ob die Dinge funktionieren oder nicht. Dies ist SEHR nützlich, wenn Sie Fehler beheben und der anderen Person am Telefon mitteilen möchten, dass Sie keine Pakete erhalten, ohne auf gesprächige tcpdump zurückgreifen zu müssen. Networking macht Spaß, die meisten Leute wissen gerade, was sie tun, und allzu oft sind es nur einfache Routing-Fehler. Zur Hölle, selbst ich weiß nicht immer, was ich tue. Obwohl ich buchstäblich mit Dutzenden komplexer Systeme und Geräte gearbeitet habe, oft auch mit Tunnelbau.

IDS/IPS

Layer7-Firewalling ist normalerweise Schlangenöl (IPS/IDS), wenn es nicht ordnungsgemäß besucht und regelmäßig aktualisiert wird. Außerdem sind die Lizenzen verdammt teuer, so dass ich es mir ersparen würde, eine zu bekommen, wenn Sie nicht wirklich alles brauchen, was Sie für Geld kaufen können.

Masqerading

Einfach, versuchen Sie dies einfach mit Ihren Wrappern. : D.

Lokale Portweiterleitung

Siehe Maskieren.

Sichern von Passwortzugriffskanälen mit dynamischen IP-Adressen

Was ist, wenn Kunden dynamische IP-Adressen haben und kein VPN-Setup bereitgestellt wird? Oder andere dynamische Ansätze zur Firewall? Dies ist in der Frage bereits angedeutet, und hier wird ein Anwendungsfall für den Teil kommen. Leider kann ich keine Firewalls finden, die dies tun. Teil .

Das Deaktivieren des Root-Kontozugriffs über ein Passwort ist ein Muss. Auch wenn der Zugriff auf bestimmte IP-Adressen beschränkt ist.

Es ist auch sehr praktisch, ein anderes Blanko-Konto mit einem Kennwort-Login bereit zu haben, wenn SSH-Schlüssel verloren gehen oder die Bereitstellung fehlschlägt, wenn etwas wirklich schief geht (ein Benutzer hat Administratorzugriff auf den Computer und "Dinge sind passiert"?). Es ist die gleiche Idee für den Netzwerkzugriff wie für den Einzelbenutzermodus unter Linux oder die Verwendung von init=/bin/bash Über grub für den lokalen Zugriff wirklich sehr, sehr schlecht und kann aus irgendeinem Grund keine Live-Festplatte verwenden. Nicht lachen, es gibt Virtualisierungsprodukte, die das verbieten. Was ist, wenn eine veraltete Softwareversion ausgeführt wird, der die Funktionalität fehlt, selbst wenn die Funktionalität vorhanden ist?

Selbst wenn Sie Ihren ssh-Daemon auf einem esoterischen Port und nicht auf 22 ausführen, wenn Sie Dinge wie das Klopfen von Ports nicht implementiert haben (um sogar einen anderen Port zu öffnen und damit Portscans zu verringern, die langsam an die Unpraktikabilität grenzen), erkennen Port-Scans Ihre Service schließlich.

Normalerweise richten Sie aus Effizienzgründen auch alle Server mit derselben Konfiguration und denselben Ports und Diensten ein. Sie können ssh nicht auf jedem Computer an einem anderen Port einrichten. Sie können es auch nicht jedes Mal auf allen Computern ändern, wenn Sie es als "öffentliche" Informationen betrachten, da es bereits nach einem Scan erfolgt. Die Frage, ob nmap legal ist oder nicht, ist kein Problem, wenn Sie über eine gehackte Wi-Fi-Verbindung verfügen.

Wenn dieses Konto nicht den Namen "root" trägt, können Benutzer möglicherweise den Namen des Benutzerkontos Ihrer "Hintertür" nicht erraten. Aber sie werden wissen, ob sie einen anderen Server von Ihrem Unternehmen erhalten oder nur einen Webspace kaufen und einen nicht verwurzelten/nicht inhaftierten/nicht enthaltenen Blick auf /etc/passwd Haben.

Zur rein theoretischen Veranschaulichung könnten sie dort eine hackbare Website verwenden, um Zugriff auf Ihren Server zu erhalten und nachzuschlagen, wie die Dinge normalerweise bei Ihnen ausgeführt werden. Ihre Hack-Suchwerkzeuge werden möglicherweise nicht rund um die Uhr ausgeführt (normalerweise nachts aus Gründen der Festplattenleistung für die Dateisystem-Scans?) Und Ihre Virenscanner werden nicht aktualisiert, sobald ein neues Zero-Day das Licht erblickt des Tages, so dass es diese Ereignisse nicht sofort erkennt, und ohne andere Schutzmaßnahmen können Sie möglicherweise nicht einmal wissen, was passiert ist. Um wieder in die Realität zurückzukehren: Wenn jemand Zugriff auf Zero-Day-Exploits hat, ist es sehr wahrscheinlich, dass er ohnehin nicht auf Ihre Server abzielt, da diese nur teuer sind. Dies dient nur zur Veranschaulichung, dass es immer einen Weg in ein System gibt, wenn das "Bedürfnis" entsteht.

Aber zum Thema noch einmal, verwenden Sie einfach kein zusätzliches Passwort-Konto und kümmern Sie sich nicht darum? Bitte lesen Sie weiter.

Selbst wenn Angreifer den Namen und den Port dieses zusätzlichen Kontos abrufen möchten, werden sie durch eine Kombination aus fail2ban + iptables kurz gehalten, selbst wenn Sie nur ein Kennwort mit acht Buchstaben verwendet haben. Außerdem kann fail2ban auch für andere Dienste implementiert werden, wodurch der Überwachungshorizont erweitert wird!

Für Ihre eigenen Dienste, falls dies jemals erforderlich sein sollte: Grundsätzlich kann jeder Dienst, der Fehler in einer Datei protokolliert, durch die Bereitstellung einer Datei Unterstützung für fail2ban erhalten, welche Regex übereinstimmen und wie viele Fehler zulässig sind, und die Firewall sperrt einfach jede IP-Adresse, die sie enthält wird gesagt.

Ich sage nicht, 8-stellige Passwörter zu verwenden! Wenn sie jedoch für fünf falsche Passwortversuche für 24 Stunden gesperrt werden, können Sie sich vorstellen, wie lange sie es versuchen müssen, wenn ihnen trotz dieser miesen Sicherheit kein Botnetz zur Verfügung steht. Und Sie wären erstaunt, welche Passwörter Kunden normalerweise verwenden, nicht nur für ssh. Ein Blick auf die Mail-Passwörter der Leute über Plesk sagt Ihnen alles, was Sie lieber nicht wissen möchten, wenn Sie es jemals tun würden, aber was ich hier natürlich nicht implizieren möchte. :) :)

Adaptives globales Firewalling

fail2ban Ist nur eine Anwendung, die etwas in der Art von iptables -I <chain_name> 1 -s <IP> -j DROP Verwendet, aber Sie können solche Dinge ganz einfach selbst mit etwas Bash-Magie erstellen.

Um so etwas weiter auszubauen, aggregieren Sie alle fail2ban-IP-Adressen von Servern in Ihrem Netzwerk auf einem zusätzlichen Server, der alle Listen kuratiert und diese wiederum an Ihre Kernfirewalls weiterleitet, um den gesamten Datenverkehr zu blockieren, der sich bereits am Rand Ihres Netzwerks befindet.

Solche Funktionen können nicht verkauft werden (natürlich, aber es wird nur ein sprödes System sein und saugen), sondern müssen in Ihre Infrastruktur eingebunden werden.

Währenddessen können Sie auch IP-Adressen auf der schwarzen Liste oder Listen aus anderen Quellen verwenden, sei es von Ihnen selbst oder von externen Quellen.

2
sjas

Blockquote Nun, Sie haben Recht, ich habe dort keine Nachteile festgestellt. Nachteile: Erhöhte Netzwerkkomplexität, Single Point of Failure, Single Network Interface, über die die Bandbreite eingeschränkt wird. Ebenso können administrative Fehler, die an einer Firewall gemacht wurden, Ihr gesamtes Netzwerk zerstören. Und Götter verbieten, dass Sie sich in der Zwischenzeit davon aussperren, wenn es eine 20-minütige Fahrt zum Serverraum ist.

Erstens ist das Hinzufügen von höchstens einem zusätzlichen gerouteten Hop durch Ihr Netzwerk nicht komplex. Zweitens ist keine Firewall-Lösung, die mit einem einzelnen Fehlerpunkt implementiert wurde, völlig nutzlos. So wie Sie wichtige Server oder Dienste gruppieren und verbundene Netzwerkkarten verwenden, implementieren Sie hochverfügbare Firewalls. Nicht zu tun oder nicht zu erkennen und zu wissen, dass Sie dies tun würden, ist sehr kurzsichtig. Die bloße Angabe, dass es eine einzige Schnittstelle gibt, führt nicht automatisch zu einem Engpass. Diese Behauptung zeigt, dass Sie keine Ahnung haben, wie Sie eine Firewall mit der Größe für den Datenverkehr, der durch Ihr Netzwerk fließen würde, richtig planen und bereitstellen können. Sie sagen zu Recht, dass ein Fehler in der Richtlinie Ihr gesamtes Netzwerk schädigen kann, aber ich würde argumentieren, dass die Verwaltung einzelner Richtlinien auf allen Ihren Servern weitaus fehleranfälliger ist als ein einzelner Ort.

Was das Argument betrifft, dass Sie mit Sicherheitspatches Schritt halten und Sicherheitsrichtlinien befolgen; das ist bestenfalls ein wackeliges Argument. In der Regel sind Sicherheitspatches erst verfügbar, nachdem eine Sicherheitsanfälligkeit entdeckt wurde. Das bedeutet, dass sie während der gesamten Zeit, in der Sie öffentlich adressierbare Server ausführen, anfällig sind, bis sie gepatcht werden. Wie andere bereits betont haben, können IPS - Systeme dazu beitragen, Kompromisse bei solchen Sicherheitslücken zu vermeiden.

Wenn Sie der Meinung sind, dass Ihre Systeme so sicher wie möglich sind, ist dies ein gutes Vertrauen. Ich würde jedoch empfehlen, dass Sie ein professionelles Sicherheitsaudit in Ihrem Netzwerk durchführen lassen. Es kann nur Ihre Augen öffnen.

2
Sean

In der physischen Welt sichern Menschen Wertsachen, indem sie sie in Safes legen. Aber es gibt keinen Safe, in den nicht eingebrochen werden kann. Safes oder Sicherheitscontainer werden danach bewertet, wie lange es dauert, bis der Zutritt erzwungen wird. Der Zweck des Safes besteht darin, den Angreifer so lange zu verzögern, bis er erkannt wird, und aktive Maßnahmen den Angriff dann zu stoppen.

Ebenso ist die richtige Sicherheitsannahme, dass Ihre exponierten Computer letztendlich gefährdet werden. Firewalls und Bastion-Hosts sind nicht so eingerichtet, dass sie verhindern, dass Ihr Server (mit Ihren wertvollen Daten) Kompromisse eingeht, sondern dass ein Angreifer sie zuerst kompromittiert und Sie den Angriff erkennen (und abschrecken) können, bevor die Wertsachen verloren gehen.

Beachten Sie, dass weder Firewalls noch Banktresore vor Insider-Bedrohungen schützen. Dies ist ein Grund dafür, dass Bankbuchhalter zwei Wochen hintereinander Urlaub nehmen und Server vollständige interne Sicherheitsvorkehrungen treffen müssen, obwohl sie durch Bastion-Hosts geschützt sind.

Sie scheinen im ursprünglichen Beitrag zu implizieren, dass Sie "Außenwelt" -Pakete über Ihre Firewall direkt an Ihren Server weiterleiten. In diesem Fall macht Ihre Firewall nicht viel. Eine bessere Perimeterverteidigung wird mit zwei Firewalls und einem Bastion-Host erreicht, bei denen keine direkte logische Verbindung von außen nach innen besteht - jede Verbindung endet im DMZ Bastion-Host; jedes Paket wird entsprechend geprüft (und möglicherweise analysiert) vor dem Weiterleiten.

1
mpez0

Zunächst einmal denke ich, dass Sie durch Ihr Gespräch über die Portweiterleitung Firewall mit NATing in Konflikt bringen. Während NATs heutzutage sehr oft als De-facto-Firewalls fungieren, ist dies nicht der Zweck, für den sie entwickelt wurden. NAT ist ein Routing-Tool. Firewalls dienen zur Regulierung des Zugriffs. Für die Klarheit des Denkens ist es wichtig, diese Konzepte eindeutig zu halten.

Es ist natürlich richtig, dass das Platzieren eines Servers hinter einem Feld NAT) und das anschließende Konfigurieren des NAT, um etwas an diesen Server weiterzuleiten, nicht sicherer ist als das Platzieren des Server direkt im Internet. Ich glaube nicht, dass jemand damit streiten würde.

Ebenso ist eine Firewall, die so konfiguriert ist, dass der gesamte Datenverkehr zugelassen wird, überhaupt keine Firewall.

Aber ist "allen Datenverkehr zulassen" wirklich die gewünschte Richtlinie? Hat jemand jemals das Bedürfnis, von einer russischen IP-Adresse auf einen Ihrer Server zu ssh? Braucht die ganze Welt wirklich Zugriff darauf, während Sie an der Konfiguration eines neuen experimentellen Netzwerk-Daemons basteln?

Die Stärke einer Firewall besteht darin, dass Sie nur die Dienste offen halten können, von denen Sie wissen, dass sie geöffnet sein müssen, und einen einzigen Kontrollpunkt für die Implementierung dieser Richtlinie beibehalten können.

1
dfranke

Stateful Packet Inspection Firewalls gehören NICHT vor öffentliche Server. Sie akzeptieren alle Verbindungen, daher ist die Statusverfolgung ziemlich nutzlos. Herkömmliche Firewalls stellen eine große Gefahr bei DDoS-Angriffen dar und sind in der Regel das erste, was bei DDoS-Angriffen fehlschlägt, noch bevor die Verbindungsbandbreite oder die Serverressourcen vollständig verbraucht sind.

Zustandslose Paketfilter auf Routern sind vor öffentlichen Servern sinnvoll, jedoch nur, wenn sie die Leitungsrate des gesamten eingehenden und ausgehenden Datenverkehrs verarbeiten können (z. B. eine Hardware-ACL in einem Router).

Google, Facebook und sogar Microsoft stellen herkömmliche "Firewalls" nicht vor öffentliche Server. Jeder, der öffentliche Webdienste auf der Skala "mehr als ein Server" ausgeführt hat, sollte dies wissen.

Andere Funktionen, die in herkömmlichen Firewalls wie Cisco ASAs oder was auch immer zu finden sind, werden am besten auf den Hosts selbst implementiert, wo sie effektiv skaliert werden können. Protokollierung, IDS usw. sind ohnehin alle Softwarefunktionen in Firewalls, sodass sie nur dann zu einem großen Engpass und DDoS-Ziel werden, wenn sie vor öffentlich zugänglichen Servern platziert werden.

1
rmalayter

Sicherheitslücken sind schwer vorherzusagen. Es ist praktisch unmöglich vorherzusagen, auf welche Weise Ihre Infrastruktur genutzt wird. Eine Firewall legt die Messlatte für einen Angreifer höher, der eine Sicherheitsanfälligkeit ausnutzen möchte. Dies ist der wichtige Teil, BEVOR Sie wissen, um welche Sicherheitsanfälligkeit es sich handelt. Darüber hinaus können die Auswirkungen der Firewall im Voraus leicht verstanden werden, sodass es unwahrscheinlich ist, dass Sie Probleme mit einer Firewall verursachen, die schwerwiegender sind als die Probleme, die Sie wahrscheinlich vermeiden.

Aus diesem Grund wurde "niemand wegen der Installation einer Firewall entlassen". Ihre Implementierung ist sehr risikoarm und es ist sehr wahrscheinlich, dass ein Exploit verhindert oder gemindert wird. Außerdem werden die meisten wirklich bösen Sicherheitslücken von der Automatisierung ausgenutzt, sodass alles, was "ungewöhnlich" ist, einen Bot kaputt macht oder Sie zumindest dazu bringt, Sie zugunsten eines einfacheren Ziels zu überspringen.

Randnotiz; Firewalls sind nicht nur für das Internet. Ihre Buchhaltungsabteilung. benötigt kein ssh/was auch immer für deinen ldap server, also gib es ihnen nicht. Die Aufteilung der internen Dienste kann einen großen Unterschied für die Aufräumarbeiten bedeuten, falls etwas die Burgmauern durchbricht.

1
Enki

Ich muss Ernie sagen, dass Sie, obwohl Sie anscheinend viel tun, um Ihre Server zu härten und Angriffe und Schwachstellen abzuwehren, Ihrer Haltung zu Firewalls nicht zustimmen.

Ich behandle Sicherheit ein bisschen wie eine Zwiebel, da Sie im Idealfall Schichten haben, die Sie durchlaufen müssen, bevor Sie zum Kern gelangen, und ich persönlich halte es für grob falsch, keine Hardware-Firewall an Ihrem Netzwerkrand zu haben.

Ich gebe zu, dass ich dies aus dem Blickwinkel "was ich gewohnt bin" betrachte, aber ich weiß, dass ich jeden Monat eine nette kleine Liste der Patches dieses Monats von Microsoft bekomme, von denen viele in freier Wildbahn ausgenutzt werden . Ich würde mir vorstellen, dass das Gleiche für so ziemlich jedes Betriebssystem und jede Reihe von Anwendungen passiert, an die Sie denken möchten.

Jetzt schlage ich nicht vor, dass Firewalls dies beseitigen, und Firewalls sind auch nicht immun gegen Fehler/Schwachstellen. Offensichtlich ist eine "Hardware" -Firewall nur Software, die auf einem Hardware-Stack ausgeführt wird.

Trotzdem schlafe ich viel sicherer, wenn ich weiß, dass mein Perimeter Juniper sicherstellt, dass nur Port 443 über das Web zugänglich ist, wenn ich einen Server habe, auf den nur Port 443 über das Web zugreifen kann. Darüber hinaus stellt mein Palo Alto sicher, dass der eingehende Datenverkehr entschlüsselt, überprüft, protokolliert und auf IPS/IDS gescannt wird - und nicht, dass die Server sicher und auf dem neuesten Stand gehalten werden müssen. Aber warum sollten Sie diesen Vorteil NICHT finden, da er Zero-Day-Exploits und gute alte menschliche Fehler abschwächen kann?

1
flooble

Warum benötigen alle Ihre Server eine öffentliche Adresse?

Installieren Sie den Server im Serverraum und geben Sie ihm eine öffentliche IP-Adresse.

Von etwa 14 Servern, die ich regelmäßig betreibe, haben nur 2 öffentlich zugängliche Schnittstellen.

Zum Hinzufügen bearbeitet: In anderen Netzwerken, an deren Verwaltung ich beteiligt war, konnten wir Dienste nach Belieben aktivieren/deaktivieren, während wir keinen Zugriff zum Verwalten der Firewall hatten . Ich kann Ihnen nicht einmal sagen, wie oft, natürlich versehentlich, ein nicht benötigter Dienst (SMTP) aktiviert und aktiviert wurde. Das einzige, was uns davor bewahrte, ein Spam-Dump zu werden und dabei auf die schwarze Liste gesetzt zu werden, war eine Firewall.

Ist der gesamte Datenverkehr zwischen den Servern vollständig verschlüsselt?

Sie können sicher ein Auto 100 Meilen pro Stunde ohne Sicherheitsgurte, ohne Airbags und kahle Reifen fahren, aber warum sollten Sie?

0
GregD

Firewalls können verhindern, dass Systembenutzer über das Netzwerk zugängliche Dienste öffnen, die den Administratoren nicht bekannt sind, oder Portweiterleitungen an andere Computer durchführen. Durch die Verwendung des Hash-Limit-Moduls können Firewalls auch Missbrauchsraten basierend auf der Remote-IP begrenzen.

Eine Firewall ist ein weiteres Sicherheitsnetz, das sicherstellt, dass Ihre Richtlinien eingehalten werden. Führen Sie keine Dienste aus, die Sie nicht erwarten.

Ich empfehle auf jeden Fall, dass Software-Updates zum Beispiel rechtzeitig angewendet werden, aber ich empfehle auch Firewalls auf allen Computern. Es ist wie beim Fahren: Sicher versuche ich, Hindernissen und anderen Autos auszuweichen, aber ich trage auch einen Sicherheitsgurt und habe Airbags für den Fall, dass das Unerwartete passiert.

0

Möglicherweise erkennen Sie nicht, wie viel Sie von Firewalls profitieren, nur weil alle else sie verwenden. An einem Tag, an dem buchstäblich jeder, der DSL-Benutzer zu Hause hat, Firewalls installiert hat, wurde das Port-Sniffing als praktikabler Angriffsvektor so gut wie aufgegeben. Ein anständiger Hacker wird seine Zeit nicht damit verschwenden, nach solchen Dingen zu suchen.

0
Spencer Ruport