Аппаратный брандмауэр Vs. Программный брандмауэр (IP Tables, RHEL)

36

Моя хостинговая компания утверждает, что IPTables бесполезен и не обеспечивает никакой защиты . Это ложь?

TL; DR У
меня есть два, расположенных рядом сервера. Вчера моя DC-компания связалась со мной, чтобы сообщить, что, поскольку я использую программный брандмауэр, мой сервер «уязвим к множеству критических угроз безопасности», и мое текущее решение предлагает «Без защиты от любой формы атаки».

Они говорят , что мне нужно получить специальный Cisco брандмауэр (установка $ 1000 $ 200 / месяц каждый ) , чтобы защитить свои серверы. У меня всегда было впечатление, что, хотя аппаратные брандмауэры более безопасны, что-то вроде IPTables в RedHat обеспечивает достаточную защиту для вашего среднего сервера.

Оба сервера являются просто веб-серверами, на них нет ничего критически важного, но я использовал IPTables, чтобы заблокировать SSH только для моего статического IP-адреса и заблокировать все, кроме основных портов (HTTP (S), FTP и некоторых других стандартных служб). ).

Я не собираюсь получать брандмауэр, если взломать эфир серверов будет неудобно, но все, что они запускают, - это несколько сайтов WordPress и Joomla, поэтому я определенно не думаю, что это стоит денег.

мазаться
источник
6
Ваша хостинговая компания звучит как кучка шансов! В IPTables нет ничего плохого, и в большинстве случаев он предлагает гораздо больше функций, чем Cisco ASA и т. Д. Здесь вспоминаются последние модули и ограничительные модули.
Найл Донеган
20
Хотите поделиться, что это за компания, чтобы остальные из нас могли держаться подальше?
Hyppy

Ответы:

34

Аппаратные брандмауэры также работают на программном обеспечении, единственное реальное отличие состоит в том, что устройство специально построено и предназначено для этой задачи. Программные брандмауэры на серверах могут быть такими же безопасными, как и аппаратные брандмауэры, при правильной настройке (обратите внимание, что аппаратные брандмауэры обычно «легче» достичь этого уровня, а программные брандмауэры «легче» испортить).

Если вы используете устаревшее программное обеспечение, вероятно, существует известная уязвимость. Хотя ваш сервер может быть восприимчив к этому вектору атаки, утверждение о том, что он не защищен, является подстрекательским, вводящим в заблуждение или полужирной ложью (зависит от того, что именно они сказали и как они это имели в виду). Вам следует обновить программное обеспечение и исправить все известные уязвимости независимо от вероятности их использования.

Утверждение, что IPTables неэффективен, в лучшем случае вводит в заблуждение . Хотя, опять же, если одно правило - разрешать все от всех ко всем, то да, оно вообще ничего не будет делать.

Примечание : все мои личные серверы работают на FreeBSD и используют только IPFW (встроенный программный брандмауэр). У меня никогда не было проблем с этой настройкой; Я также следую за объявлениями по безопасности и никогда не видел проблем с этим программным обеспечением брандмауэра.
На работе у нас есть безопасность в слоях; пограничный межсетевой экран отфильтровывает всю очевидную чушь (аппаратный межсетевой экран); внутренние брандмауэры фильтруют трафик для отдельных серверов или местоположения в сети (в основном это программные и аппаратные брандмауэры).
Для сложных сетей любого типа безопасность в слоях является наиболее подходящей. Для таких простых серверов, как ваш, может быть полезно иметь отдельный аппаратный брандмауэр, но довольно мало.

Крис С
источник
13
+1 - Все брандмауэры являются «программными брандмауэрами». Это скорее «программный брандмауэр с программным обеспечением, которым вы управляете», а не «программный брандмауэр, который представляет собой запечатанный черный ящик». Ограничьте количество открытых портов до минимума, необходимого для работы серверов, отбросьте явно фиктивный трафик и не забывайте выходную фильтрацию, и все будет хорошо.
Эван Андерсон
Да, я стараюсь поддерживать все в актуальном состоянии, и я, вероятно, скажу, что я хорошо понимаю безопасность, я был просто шокирован, когда моя компания DC сообщила мне, что моя защита бесполезна, я всегда предполагал, что таблицы IP хороши для базовые серверы и аппаратные брандмауэры были хороши, если бы вы были, скажем, Sony =)
Smudge
6
+1, IPTables - это то, на чем построено много приличных систем брандмауэров. Ваша хостинговая компания лежит сквозь зубы, пытаясь заработать на вас лишние деньги. Дамп их для уважаемого продавца.
Hyppy
2
allow everything from all to allможет быть так же легко реализовано на аппаратном брандмауэре - с аналогичным эффектом.
CrackerJack9
8

Запуск брандмауэра на самом защищаемом сервере является менее безопасным , чем использование отдельной машины брандмауэра. Это не обязательно должен быть аппаратный брандмауэр. Другой сервер Linux, установленный в качестве маршрутизатора с IPTables, будет работать нормально.

Проблема безопасности брандмауэров на защищаемом сервере заключается в том, что компьютер может быть атакован через запущенные сервисы. Если злоумышленник может получить доступ с правами root, брандмауэр можно изменить, отключить или обойти через руткит ядра.

На отдельном компьютере с брандмауэром не должно быть никаких служб, за исключением доступа по SSH, а доступ по SSH должен быть ограничен диапазонами административных IP-адресов. Он должен быть относительно неуязвим для атаки, конечно, за исключением ошибок в реализации IPTables или стека TCP.

Брандмауэр может блокировать и регистрировать сетевой трафик, который не должен существовать, давая вам ценное раннее предупреждение о взломанных системах.

Зан Рысь
источник
3
Если сервер рутирован, вероятно, не имеет значения, что злоумышленник может открыть другие порты, поскольку они уже могут получить доступ ко всему локальному. Если злоумышленник может получить root-доступ к серверу через порты, разрешенные через брандмауэр, вероятно, не имеет значения, что блокирует брандмауэр. Кроме того, SSH на сервере должен быть ограничен так же, как доступ SSH к компьютеру с брандмауэром.
CrackerJack9
4

Если у вас низкий трафик, попробуйте небольшой модуль Cisco ASA, например 5505 . Он находится в диапазоне от 500 до 700 долларов и определенно создан специально. Со-лота дает вам BS, но их ставки для брандмауэра также неоправданны.

ewwhite
источник
4

Я думаю, что это также зависит от производительности. Что делает программно-серверный межсетевой экран с использованием циклов ЦП, то аппаратный межсетевой экран может делать с помощью специализированных микросхем (ASIC), что приводит к повышению производительности и пропускной способности.

Роберт
источник
1
У вас есть метрики для этого сравнения? Сервер, вероятно, работает на более мощном процессоре и должен будет выполнять вычисления, связанные с TCP, независимо от того, находится ли перед ним аппаратный брандмауэр (например, локальный стек TCP и т. Д.)
CrackerJack9
3

С вашей точки зрения реальная разница между «программными» (на самой машине) и «аппаратными» брандмауэрами заключается в том, что в первом случае трафик уже находится на машине, которую вы хотите защитить, поэтому он потенциально более уязвим, если что-то пропущено или неправильно.

Аппаратный брандмауэр по существу действует как предварительный фильтр, который позволяет только определенному трафику достигать и / или выходить из вашего сервера.

Учитывая ваш вариант использования и, конечно, при условии, что у вас есть правильные резервные копии, дополнительные расходы будет очень трудно оправдать. Лично я продолжу с тем, что у вас есть, хотя, возможно, использую другую хостинговую компанию.

Джон Гарденье
источник
3

Поздно к игре на этом. Да, поставщик услуг понятия не имеет, о чем они говорят. Если вы являетесь компетентным администратором IPTABLES, я бы сказал, что вы более безопасны, чем готовый аппаратный брандмауэр. Причина в том, что когда я их использовал, приятный интерфейс gee-whiz не отражает фактическую конфигурацию того, какой трафик пропускается. Продавцы пытаются заглушить это для нас, тупых людей. Я хочу знать о каждой возможности каждого входящего и исходящего пакета.

IPTABLES не для всех, но если вы серьезно относитесь к безопасности, вы хотите быть как можно ближе к проводу. Обеспечить безопасность системы легко - обратный инжиниринг брандмауэра blackbox - нет.

dalel2000
источник
Я полагаю, что цепочка по умолчанию iptables RHEL есть ACCEPT, в то время как большинство аппаратных брандмауэров по умолчанию DROP. В этом отношении готовое аппаратное обеспечение более безопасно, чем готовое программное обеспечение. Конечно, многие поставщики облачных услуг изменили это значение по умолчанию, и мастер установки позволяет вам указать правила до завершения установки ...
CrackerJack9