Моя хостинговая компания утверждает, что IPTables бесполезен и не обеспечивает никакой защиты . Это ложь?
TL; DR У
меня есть два, расположенных рядом сервера. Вчера моя DC-компания связалась со мной, чтобы сообщить, что, поскольку я использую программный брандмауэр, мой сервер «уязвим к множеству критических угроз безопасности», и мое текущее решение предлагает «Без защиты от любой формы атаки».
Они говорят , что мне нужно получить специальный Cisco брандмауэр (установка $ 1000 $ 200 / месяц каждый ) , чтобы защитить свои серверы. У меня всегда было впечатление, что, хотя аппаратные брандмауэры более безопасны, что-то вроде IPTables в RedHat обеспечивает достаточную защиту для вашего среднего сервера.
Оба сервера являются просто веб-серверами, на них нет ничего критически важного, но я использовал IPTables, чтобы заблокировать SSH только для моего статического IP-адреса и заблокировать все, кроме основных портов (HTTP (S), FTP и некоторых других стандартных служб). ).
Я не собираюсь получать брандмауэр, если взломать эфир серверов будет неудобно, но все, что они запускают, - это несколько сайтов WordPress и Joomla, поэтому я определенно не думаю, что это стоит денег.
источник
Ответы:
Аппаратные брандмауэры также работают на программном обеспечении, единственное реальное отличие состоит в том, что устройство специально построено и предназначено для этой задачи. Программные брандмауэры на серверах могут быть такими же безопасными, как и аппаратные брандмауэры, при правильной настройке (обратите внимание, что аппаратные брандмауэры обычно «легче» достичь этого уровня, а программные брандмауэры «легче» испортить).
Если вы используете устаревшее программное обеспечение, вероятно, существует известная уязвимость. Хотя ваш сервер может быть восприимчив к этому вектору атаки, утверждение о том, что он не защищен, является подстрекательским, вводящим в заблуждение или полужирной ложью (зависит от того, что именно они сказали и как они это имели в виду). Вам следует обновить программное обеспечение и исправить все известные уязвимости независимо от вероятности их использования.
Утверждение, что IPTables неэффективен, в лучшем случае вводит в заблуждение . Хотя, опять же, если одно правило - разрешать все от всех ко всем, то да, оно вообще ничего не будет делать.
Примечание : все мои личные серверы работают на FreeBSD и используют только IPFW (встроенный программный брандмауэр). У меня никогда не было проблем с этой настройкой; Я также следую за объявлениями по безопасности и никогда не видел проблем с этим программным обеспечением брандмауэра.
На работе у нас есть безопасность в слоях; пограничный межсетевой экран отфильтровывает всю очевидную чушь (аппаратный межсетевой экран); внутренние брандмауэры фильтруют трафик для отдельных серверов или местоположения в сети (в основном это программные и аппаратные брандмауэры).
Для сложных сетей любого типа безопасность в слоях является наиболее подходящей. Для таких простых серверов, как ваш, может быть полезно иметь отдельный аппаратный брандмауэр, но довольно мало.
источник
allow everything from all to all
может быть так же легко реализовано на аппаратном брандмауэре - с аналогичным эффектом.Запуск брандмауэра на самом защищаемом сервере является менее безопасным , чем использование отдельной машины брандмауэра. Это не обязательно должен быть аппаратный брандмауэр. Другой сервер Linux, установленный в качестве маршрутизатора с IPTables, будет работать нормально.
Проблема безопасности брандмауэров на защищаемом сервере заключается в том, что компьютер может быть атакован через запущенные сервисы. Если злоумышленник может получить доступ с правами root, брандмауэр можно изменить, отключить или обойти через руткит ядра.
На отдельном компьютере с брандмауэром не должно быть никаких служб, за исключением доступа по SSH, а доступ по SSH должен быть ограничен диапазонами административных IP-адресов. Он должен быть относительно неуязвим для атаки, конечно, за исключением ошибок в реализации IPTables или стека TCP.
Брандмауэр может блокировать и регистрировать сетевой трафик, который не должен существовать, давая вам ценное раннее предупреждение о взломанных системах.
источник
Если у вас низкий трафик, попробуйте небольшой модуль Cisco ASA, например 5505 . Он находится в диапазоне от 500 до 700 долларов и определенно создан специально. Со-лота дает вам BS, но их ставки для брандмауэра также неоправданны.
источник
Я думаю, что это также зависит от производительности. Что делает программно-серверный межсетевой экран с использованием циклов ЦП, то аппаратный межсетевой экран может делать с помощью специализированных микросхем (ASIC), что приводит к повышению производительности и пропускной способности.
источник
С вашей точки зрения реальная разница между «программными» (на самой машине) и «аппаратными» брандмауэрами заключается в том, что в первом случае трафик уже находится на машине, которую вы хотите защитить, поэтому он потенциально более уязвим, если что-то пропущено или неправильно.
Аппаратный брандмауэр по существу действует как предварительный фильтр, который позволяет только определенному трафику достигать и / или выходить из вашего сервера.
Учитывая ваш вариант использования и, конечно, при условии, что у вас есть правильные резервные копии, дополнительные расходы будет очень трудно оправдать. Лично я продолжу с тем, что у вас есть, хотя, возможно, использую другую хостинговую компанию.
источник
Поздно к игре на этом. Да, поставщик услуг понятия не имеет, о чем они говорят. Если вы являетесь компетентным администратором IPTABLES, я бы сказал, что вы более безопасны, чем готовый аппаратный брандмауэр. Причина в том, что когда я их использовал, приятный интерфейс gee-whiz не отражает фактическую конфигурацию того, какой трафик пропускается. Продавцы пытаются заглушить это для нас, тупых людей. Я хочу знать о каждой возможности каждого входящего и исходящего пакета.
IPTABLES не для всех, но если вы серьезно относитесь к безопасности, вы хотите быть как можно ближе к проводу. Обеспечить безопасность системы легко - обратный инжиниринг брандмауэра blackbox - нет.
источник
ACCEPT
, в то время как большинство аппаратных брандмауэров по умолчаниюDROP
. В этом отношении готовое аппаратное обеспечение более безопасно, чем готовое программное обеспечение. Конечно, многие поставщики облачных услуг изменили это значение по умолчанию, и мастер установки позволяет вам указать правила до завершения установки ...