Вопрос: Почему я должен использовать серверы брандмауэра?


ПОЖАЛУЙСТА, ОБРАТИТЕ ВНИМАНИЕ: Я не заинтересован в том, чтобы превратить это в пламенную войну! Я понимаю, что у многих людей есть убежденные убеждения в этом вопросе, в немалой степени, потому что они приложили много усилий для решения своих брандмауэров, а также потому, что им внушали веру в их необходимость.

Тем не менее, я ищу ответы от людей, которые эксперты в безопасности. Я считаю, что это важный вопрос, и ответ будет полезен не только для меня и для компании, в которой я работаю. Я уже несколько лет запускаю нашу серверную сеть без компромиссов, без каких-либо брандмауэров. Ни один из компромиссов в области безопасности, который мы иметь можно было предотвратить с помощью брандмауэра.

Наверное, я работал здесь слишком долго, потому что, когда я говорю «серверы», я всегда имею в виду «услуги, предлагаемые публике», а не «секретные внутренние биллинговые базы данных». Таким образом, любые правила мы бы в каких-либо брандмауэрах придется разрешить доступ ко всему Интернету. Кроме того, наши серверы общего доступа находятся в отдельном центре обработки данных, отделенном от нашего офиса.

Кто-нибудь другой задал аналогичный вопрос, и мой ответ был проголосован за отрицательные цифры. Это заставляет меня думать, что либо люди, голосующие на этом, действительно не понимают моего ответа, либо я недостаточно понимаю безопасность, чтобы делать то, что я сейчас делаю.

Это мой подход к безопасности сервера:

  1. Следуйте за моей операционной системой рекомендации по безопасности  до подключая мой сервер к Интернету.

  2. Используйте TCP-оболочки для ограничения доступа к SSH (и другим службам управления) на небольшое количество IP-адресов.

  3. Контролируйте состояние этого сервера с помощью Munin, И исправить вопиющие проблемы безопасности, присущие Munin-узлу, в конфигурации по умолчанию.

  4. Nmap мой новый сервер (также перед подключением моего сервера к Интернету). Если бы я был на брандмауэре на этом сервере, это должен быть точный набор портов, к которым должны быть подключены входящие соединения.

  5. Установите сервер в серверной комнате и дайте ему общедоступный IP-адрес.

  6. Обеспечьте безопасность системы с помощью функции обновления безопасности моей операционной системы.

Моя философия (и основа вопроса) заключается в том, что сильная защита на основе хоста устраняет необходимость в брандмауэре. В общей философии безопасности говорится, что надежная защита на основе хоста по-прежнему требуется, даже если у вас есть брандмауэр (см. рекомендации по безопасности). Причина этого в том, что брандмауэр, который перенаправляет публичные службы на сервер, позволяет злоумышленнику точно так же, как и никакой брандмауэр. Именно услуга сама по себе уязвима, и, поскольку предоставление этой услуги всему Интернету является требованием ее функционирования, ограничение доступа к ней не является решающим.

Если здесь находятся порты, доступные на сервере, которые не должны быть доступны для всего Интернета, тогда это программное обеспечение необходимо было отключить на шаге 1 и было проверено на шаге 4. Если злоумышленник успешно прорвался на сервер через уязвимое программное обеспечение и открыл порт, злоумышленник может (и делать) так же легко победить любой брандмауэр, сделав вместо этого исходящее соединение на случайном порту. Точка безопасности не защищает себя после успешной атаки - это уже доказано, что невозможно - это должно заставить нападавших выйти в первую очередь.

Было высказано предположение, что помимо открытых портов существуют другие соображения безопасности, но для меня это просто звучит как защита своей веры. Любые уязвимости операционной системы / стека TCP должны быть одинаково уязвимы, независимо от того, существует ли брандмауэр - на основе того факта, что порты перенаправляются непосредственно в эту операционную систему / стек TCP. Аналогично, запуск вашего брандмауэра на самом сервере, а не на его маршрутизаторе (или, что еще хуже, в обоих местах), кажется, добавляет ненужные уровни сложности. Я понимаю, что философия «безопасность идет в слоях», но наступает момент, когда это похоже на строительство крыши, укладывая X количество слоев фанеры поверх друг друга, а затем сверля отверстие через все из них. Другой слой фанеры не остановит утечки через отверстие, которое вы делаете специально.

Честно говоря, единственный способ, с помощью которого я вижу брандмауэр, который используется для серверов, - это иметь динамические правила, предотвращающие все подключения ко всем серверам от известных злоумышленников - например, RBL для спама (что по совпадению - это в значительной степени то, что делает наш почтовый сервер) , К сожалению, я не могу найти никаких брандмауэров, которые это делают. Следующее лучшее - это IDS-сервер, но предполагается, что злоумышленник сначала не атакует ваши настоящие серверы, а злоумышленники пытаются исследовать всю вашу сеть до Атакующий. Кроме того, они, как известно, создают большое количество ложных срабатываний.


101
2017-11-12 21:11


Источник


И поэтому ВСЕ трафик, который проходит между вашими серверами, зашифрован? - GregD
Любить это. Локальные правила брандмауэра почти всегда доступны только для вуду. - unixtippse
У вас есть рабочие столы / сотрудники в вашей сети? Что вы с ними делаете? - Brandon
Этот вопрос был бы хорошо security.stackexchange.com - Olivier Lalonde
@routeNpingme: Похоже, я не включил этот лакомый кусочек в свой оригинальный пост. Все наши серверы должны быть открыты для публики и жить в специализированном центре обработки данных. Если ваш офис является вашим центром обработки данных, я полагаю, что необходимо иметь межсетевой экран между вашей серверной сетью и вашей офисной сетью. В этом случае я говорю о сети сервера - почему брандмауэр имеет что-то, что имеет открытый доступ? - Ernie


Ответы:


Преимущества брандмауэра:

  1. Вы можете фильтровать исходящий трафик.
  2. Брандмауэры уровня 7 (IPS) могут защитить от известных уязвимостей приложений.
  3. Вы можете заблокировать определенный диапазон IP-адресов и / или порт централизованно, а не пытаться убедиться, что нет обслуживания, прослушивающего этот порт на каждом отдельном компьютере, или отказа в доступе, используя Оболочки TCP,
  4. Брандмауэры могут помочь, если вам приходится иметь дело с менее безопасными пользователями / администраторами, поскольку они обеспечат вторую линию защиты. Без них нужно быть абсолютно уверенным в том, что хосты безопасны, что требует хорошего понимания безопасности у всех администраторов.
  5. Журналы брандмауэра предоставят центральные журналы и помогут в обнаружении вертикального сканирования. Журналы брандмауэра могут помочь в определении того, пытается ли какой-либо пользователь / клиент периодически подключаться к одному порту всех ваших серверов. Для этого без брандмауэра вам нужно будет объединять журналы с разных серверов / хостов, чтобы получить централизованное представление.
  6. Брандмауэры также оснащены антиспамовыми / антивирусными модулями, которые также дополняют защиту.
  7. Независимая безопасность ОС. На основе ОС хоста требуются разные методы / методы для обеспечения безопасности хоста. Например, TCP Wrappers могут быть недоступны на компьютерах Windows.

Прежде всего, если у вас нет брандмауэра и система скомпрометирована, то как вы ее обнаружите? Попытка запустить некоторую команду «ps», «netstat» и т. Д. В локальной системе не может быть доверена, так как эти двоичные файлы могут быть заменены. «nmap» из удаленной системы не гарантируется защита, так как злоумышленник может гарантировать, что root-kit принимает соединения только с выбранных IP-адресов (IP-адресов) в выбранные моменты времени.

Брандмауэры оборудования помогают в таких сценариях, поскольку чрезвычайно сложно изменить OS / файлы брандмауэра по сравнению с ОС хоста / файлов.

Недостатки брандмауэра:

  1. Люди считают, что брандмауэр позаботится о безопасности и не будет регулярно обновлять системы и останавливать нежелательные сервисы.
  2. Они стоят. Иногда годовая лицензионная плата должна быть выплачена. Особенно, если брандмауэр имеет антивирусные и антиспамовые модули.
  3. Дополнительная одиночная точка отказа. Если весь трафик проходит через брандмауэр и брандмауэр выходит из строя, сеть остановится. У нас могут быть избыточные брандмауэры, но затем предыдущий пункт по стоимости становится еще более усиленным.
  4. Отслеживание состояния не обеспечивает ценности для общедоступных систем, которые принимают все входящие соединения.
  5. Брандмауэры с активными состояниями являются огромным узким местом во время DDoS-атаки и часто являются первыми, кто терпит неудачу, потому что они пытаются удержать состояние и проверить все входящие соединения.
  6. Брандмауэры не могут видеть внутри зашифрованного трафика. Поскольку весь трафик должен быть зашифрованным от конца до конца, большинство брандмауэров мало ценят перед публичными серверами. Некоторым брандмауэрам следующего поколения могут быть предоставлены закрытые ключи для завершения TLS и просмотра внутри трафика, однако это повышает чувствительность брандмауэра к DDoS еще больше и разбивает сквозную модель безопасности TLS.
  7. Операционные системы и приложения исправлены от уязвимостей гораздо быстрее, чем брандмауэры. Поставщики брандмауэров часто используют известные проблемы для лет без исправления, и для исправления кластера брандмауэра обычно требуется время простоя для многих служб и исходящих соединений.
  8. Брандмауэры далеки от совершенства, и многие из них, как известно, ошибочны. Брандмауэры - это просто программное обеспечение, работающее в какой-то форме операционной системы, возможно, с дополнительной ASIC или FPGA в дополнение к (обычно медленному) процессору. Брандмауэры имеют ошибки, но они, похоже, предоставляют несколько инструментов для их устранения. Поэтому межсетевые экраны добавляют сложность и дополнительный источник жесткой диагностики ошибок в стеке приложений.

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? Обнаружение вторжений не является задачей брандмауэра. Эта работа более корректно обрабатывается HIDS (система обнаружения вторжений на основе хоста), которая не зависит от брандмауэра. - Steven Monday
Серверы Syslog устраняют необходимость в элементе 5. В любом случае лучше отправлять журналы брандмауэра на сервер syslog, если злоумышленник может нарушить брандмауэр и удалить его журналы. Затем злоумышленник должен скомпрометировать две системы только для удаления журналов, и они могут быть не готовы к этому (особенно с автоматическими атаками). Аналогично, если у всех ваших систем есть централизованное ведение журнала, вы получите более подробную информацию об атаке, чем могут предоставить журналы брандмауэра. - Ernie
Моя точка зрения заключалась в том, что HIDS находится на хосте, которому мы не доверяем его выход. Например, даже если мы используем криптографически защищенную «tripwire» как IDS на основе хоста, злоумышленник может всегда заменять все тривичные файлы (twadmin, tripwire, twprint и т. Д.) С помощью скомпрометированных версий, которые никогда не сообщают о вторжении. Даже если мы попытаемся скопировать библиотеки / двоичные файлы из другой системы, может быть запущен процесс, который контролирует эти скомпрометированные двоичные файлы и снова заменяет их поврежденной версией в случае их замены или обновления. Брандмауэр, независимый от хоста, может быть доверен в таких сценариях. - Saurabh Barjatiya
Этот ответ был принят более популярным, потому что он обеспечивает лучший и более полный набор причин для использования брандмауэра. И нет, если на то пошло. - Ernie
Брандмауэры с пакетной проверкой состояния не относятся к серверам. Они являются огромной ответственностью в атаках DDoS, и, как правило, это первое, что не удается атаковать. - rmalayter


TCP Wrappers можно, возможно, назвать реализацией брандмауэра на основе хоста; вы фильтруете сетевой трафик.

Что касается злоумышленника, делающего исходящие соединения на произвольном порту, брандмауэр также обеспечит средство управления исходящим трафиком; правильно настроенный брандмауэр управляет доступом и выходом таким образом, который подходит для риска, связанного с системой.

Что касается того, как какая-либо уязвимость TCP не устранена брандмауэром, вы не знакомы с тем, как работают брандмауэры. Cisco имеет целую кучу правил, доступных для загрузки, которые идентифицируют пакеты, сконструированные таким образом, чтобы вызвать определенные проблемы с операционными системами. Если вы захватите Snort и начнете запускать его с помощью правильного набора правил, вы также получите предупреждение об этом. И, конечно же, Linux iptables может отфильтровывать вредоносные пакеты.

В принципе, брандмауэр является активной защитой. Чем дальше вы избегаете быть активным, тем вероятнее, что вы окажетесь в ситуации, когда вы реагируете на проблему, а не на предотвращение проблемы. Концентрация вашей защиты на границе, как и у выделенного брандмауэра, упрощает управление, потому что у вас есть центральный затвор, а не дублирование правил во всем мире.

Но ни одна вещь не обязательно является окончательным решением. Хорошее решение безопасности, как правило, многоуровневое, где у вас есть брандмауэр на границе, обертки TCP на устройстве и, возможно, некоторые правила и на внутренних маршрутизаторах. Обычно вы должны защищать сеть от Интернета и защищать узлы друг от друга. Этот многослойный подход не похож на сверление отверстия через несколько листов фанеры, это больше похоже на создание пары дверей, чтобы злоумышленник имел два замка, чтобы сломать вместо одного; это называется человеческая ловушка в физической безопасности, и в большинстве случаев у каждого здания есть причина. :)


33
2017-11-12 22:04



Кроме того, если они пробираются внутрь здания и открывают внутреннюю дверь для своего друга снаружи, они должны также разблокировать и открыть наружную дверь. (т. е. без внешнего брандмауэра кто-то, кто попадает на ваш сервер, может открыть его прямо вверх, тогда как внешний брандмауэр все равно блокирует открытые порты извне) - Ricket
@Ricket: Возможно, они могли, но современные нападающие не беспокоятся о таких вещах. Ваш сайт должен будет представлять особый интерес для злоумышленника, чтобы сделать что-то большее, чем добавить ваш сервер в зомби-ферму. - Ernie
@Ernie - нет, он должен существовать только для того, чтобы автоматически исследоваться для свободного места для Warez, баз данных клиентов, финансовой информации, паролей и добавления в ботнет - но даже это может быть достаточно плохо - некоторые администраторы будут счастливо черным вашим IP-адресом если это похоже на то, что вы принимаете зомби. - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementation +1 за отличный ответ. - sjas


(Возможно, вы захотите прочитать "Жизнь без брандмауэров«)

Теперь: Как насчет того, чтобы иметь устаревшую систему, для которой больше не публикуются патчи? Как насчет того, чтобы не применять патчи к N-машинам в то время, когда вам это нужно, и в то же время вы можете применять их в меньшем количестве узлов в сети (брандмауэрах)?

Нет смысла обсуждать существование или необходимость брандмауэра. Важно то, что вам необходимо внедрить политику безопасности. Для этого вы будете использовать любые инструменты, которые будут внедрять его, и помогут вам управлять, расширять и развивать его. Если для этого нужны брандмауэры, все в порядке. Если они не нужны, это тоже хорошо. Что действительно имеет значение, так это работая и проверяемая реализация вашей политики безопасности.


15
2017-11-12 21:31



Хех. За последние 8 лет я работал с нашей серверной сетью без брандмауэра. я мог бы иметь написано «Жизнь без брандмауэров», но он проделал лучшую работу и, в любом случае, стал более крупной сетью, чем я. - Ernie
@Ernie - Наверное, тебе просто повезло. Откуда вы знаете, что вас не скомпрометировали? Результаты судебных расследований многих моих клиентов обнаружили компромисс, иногда встречающийся месяцами, в то время как злоумышленники обнаружили личную и финансовую информацию, информацию о клиенте, интеллектуальную собственность, бизнес-планы и т. Д. Как сказал Шон - выполните надлежащий аудит безопасности. - Rory Alsop
Фактически, помимо того факта, что наша серверная сеть физически отделена от нашей офисной сети (и, таким образом, из нее не могут быть извлечены по-настоящему конфиденциальные данные, даже с корневым доступом на каждом сервере), я смог обнаружить каждый компромисс, который мы с тех пор, как я начал здесь. Я мог бы продолжить шоу ужасов, которое существовало, когда я начинал, но мне не хватает места. :) Достаточно сказать, что большинство атак не тонкие, а тонкие тоже можно обнаружить. О да, и разделение привилегий пользователя - ваш друг. - Ernie


Большинство ваших объяснений, по-видимому, опровергают необходимость в брандмауэре, но я не вижу возможности иметь один, кроме небольшого количества времени, чтобы установить его.

Немногие вещи - это «необходимость» в строгом значении этого слова. Безопасность - это больше о том, как настроить все блокировки. Чем больше работы требуется для взлома вашего сервера, тем меньше вероятность успешной атаки. Вы хотите сделать больше работы, чтобы проникнуть в ваши машины, чем где-либо еще. Добавление брандмауэра делает больше работы.

Я думаю, что ключевое использование - это избыточность в безопасности. Еще один плюс брандмауэров - вы можете просто отказаться от попыток подключиться к любому порту, а не отвечать на отклоненные запросы - это сделает nmapping немного более неудобным для злоумышленника.

Самое важное для меня в практической ноте вашего вопроса: вы можете заблокировать SSH, ICMP и другие внутренние службы до локальных подсети, а также ограничить скорость входящих соединений, чтобы облегчить атаки DOS.

«С точки зрения безопасности не стоит защищаться после успешной атаки - это уже доказано, что это невозможно, - в первую очередь держать нападавших».

Я не согласен. Ограничение ущерба может быть столь же важным. (в соответствии с этим идеалом, почему хеш-пароли? или придерживаться вашего программного обеспечения базы данных на другом сервере, чем ваши веб-приложения?) Я думаю, что старая поговорка «Не придерживайте все яйца в одной корзине» применима здесь.


9
2017-11-12 21:30



Ну, ты прав, я не помещал там никаких минусов. Минусы: повышенная сложность сети, единая точка отказа, один сетевой интерфейс, через который пропускная способность является узким местом. Аналогично, административные ошибки, сделанные на одном брандмауэре, могут убить всю вашу сеть. И боги запрещают вам запирать себя из-за этого, когда это 20 минутная поездка в серверную комнату. - Ernie
Это может быть чисто риторическим, но когда вы говорите: «Безопасность - это больше о настройке всех блокировок, которые вы можете», я бы предпочел услышать: «Безопасность больше касается блокировки всего по умолчанию и тщательного открытия строгого минимума для работы». - MatthieuP
+1 Комплексный план обеспечения безопасности охватывает профилактику, обнаружение и реагирование. - Jim OHalloran


Should I firewall my server? Хороший вопрос. Казалось бы, нет смысла указывать брандмауэр поверх сетевого стека, который уже отклоняет попытки подключения ко всем, кроме нескольких портов, которые законно открыты. Если в ОС есть уязвимость, позволяющая злоумышленным пакетам нарушать / использовать хост, будет ли межсетевой экран работает на том же хосте предотвратить эксплойт? Что ж, может быть ...

И это, вероятно, самая сильная причина запуска брандмауэра на каждом хосте: брандмауэр мог бы предотвратить уязвимость сетевого стека от использования. Это достаточно сильная причина? Я не знаю, но, полагаю, можно было бы сказать: «Никто не был уволен за установку брандмауэра».

Еще одна причина запуска брандмауэра на сервере состоит в том, чтобы отделить эти две, в противном случае, сильно связанные проблемы:

  1. Откуда, и в какие порты я принимаю подключения?
  2. Какие службы работают и слушают подключения?

Без брандмауэра набор запущенных сервисов (вместе с конфигурациями для tcpwrappers и т. Д.) Полностью определяет набор портов, которые сервер будет открыт, и от которых будут приняты соединения. Брандмауэр на базе хоста предоставляет администратору дополнительную гибкость для установки и тестирования новых сервисов контролируемым образом, прежде чем сделать их более доступными. Если такая гибкость не требуется, то нет причин устанавливать брандмауэр на сервере.

В заключительной заметке есть один элемент, который не упоминается в вашем контрольном списке безопасности, который я всегда добавляю, и это система обнаружения вторжений на основе хоста (HIDS), такая как ПАМЯТНАЯ или Самайн, Хорошая HIDS делает чрезвычайно трудным для злоумышленника внесение нежелательных изменений в систему и оставаться незамеченным. Я считаю, что на всех серверах должно быть какое-то HIDS.


8
2017-11-12 23:10



+1 для упоминания систем HIDS. - Sam Halicke
HIDS отлично - если вы намерены установить его и забыть. И никогда не добавляйте и не удаляйте учетные записи. В противном случае подавляющее большинство журналов HIDS будет длинными списками того, что вы делали сегодня, и быстро перестает быть проигнорированным все время. - Ernie
Как говорится, боли нет. На серверах с большим количеством изменений можно отфильтровать ожидаемый шум, оставив вас сосредоточиться на неожиданности. - Steven Monday


Брандмауэр - это инструмент. Он сам не делает вещи безопасными, но может вносить вклад в качестве слоя в защищенной сети. Это не значит, что вам это нужно, и я, конечно, беспокоюсь о людях, которые слепо говорят «Я должен получить брандмауэр», не понимая, почему они так думают и кто не понимает сильных и слабых сторон брандмауэров.

Есть много инструментов, которые мы можем сказать, что нам не нужно ... Возможно ли запустить компьютер с Windows без антивируса? Да, это ... но это хороший слой страхования, чтобы иметь его.

Я бы сказал то же самое о брандмауэрах - что бы вы ни говорили о них, это хороший уровень страхования. Они не заменяют исправления, для блокировки машин, для отключения служб, которые вы не используете, для ведения журнала и т. Д., Но они могут быть полезным дополнением.

Я также предлагаю, чтобы уравнение несколько менялось в зависимости от того, говоришь ли вы о размещении брандмауэра перед группой тщательно обработанных серверов, как вам кажется, или типичной локальной сети со смешанными рабочими станциями и серверами , некоторые из которых могут работать с довольно волосатыми материалами, несмотря на все усилия и пожелания ИТ-команды.

Еще одна вещь, которую следует учитывать, - это преимущество создания явно застывшей цели. Видимая безопасность, будь то яркие огни, тяжелые замки и явная сигнализация на здании; или очевидный брандмауэр на бизнес-диапазоне IP-адресов может сдержать случайный злоумышленник - они пойдут искать более легкую добычу. Это не сдерживает определенного злоумышленника, который знает, что у вас есть информация, которую они хотят, и полон решимости получить его, но сдерживание случайных злоумышленников по-прежнему стоит того, особенно если вы знаете, что любой злоумышленник, чьи зонды сохраняются мимо сдерживающего фактора, должен быть особенно воспринят ,


6
2017-11-12 22:25



Таким образом, причина, по которой я сказал «серверы» вместо «офисной сети»? :) В нашем случае, в частности, датацентр и офис - это два физически отдельных объекта. - Ernie
Я понимаю, что Эрни, но это то, что стоит подчеркнуть ... так и было. - Rob Moir


Брандмауэр - дополнительная защита. Три конкретных сценария, которые он защищает от сетевых атак (например, ваша серверная ОС имеет уязвимость для специально созданных пакетов, которые никогда не достигают уровня портов), успешное вторжение, создающее соединение с «домашним телефоном» (или отправка спама или что-то еще ), или успешное вторжение, открывающее порт сервера или, менее заметное, наблюдение за последовательностью деления порта перед открытием порта. Конечно, последние два связаны с уменьшением ущерба от вторжения, а не с его предотвращением, но это не значит, что это бесполезно. Помните, что безопасность не является предложением «все или ничего»; один использует многоуровневый подход, пояс и подтяжки, чтобы достичь уровня безопасности, достаточного для ваших нужд.


4
2017-11-13 12:37



+1 Совершенно очевидно, что защита по глубине является ключевой. - Jim OHalloran
Я не вижу, как можно ожидать каких-либо ожиданий блокировки исходящего трафика, особенно когда наши клиенты ожидают, что многие наши серверы будут отправлять почту случайным хостам в Интернете (как в случае со спамом). «Домашний звонок» - это просто вопрос подключения к другому случайному хосту в сети - и я сомневаюсь, что блокирование всех исходящих подключений, за исключением нескольких, поможет чему-то вообще, то есть, если вы хотите сделать это что-нибудь в интернете. И блокирование всего нескольких портов - это похоже на создание платной будки в центре пустыни. - Ernie


Все большие вопросы. НО - я очень удивлен. ПРОИЗВОДИТЕЛЬНОСТЬ не доведена до стола.

Для высокопроизводительных (основанных на процессоре) интерфейсов веб-интерфейса локальный межсетевой экран действительно снижает производительность, период. Попробуйте загрузить тест и посмотрите. Я видел это много раз. Отключение брандмауэра увеличило производительность (запрос в секунду) на 70% и более.

Этот компромисс должен быть рассмотрен.


4
2017-11-13 22:28



Это зависит от правил брандмауэра. Правила брандмауэра последовательно запускаются на каждом пакете, поэтому вы не хотите иметь сотни правил, на которые нужно смотреть. Прошлой зимой, когда мы управляли сайтом, на котором была реклама на суперболочке, правила брандмауэра не были проблемой, например. Но я согласен с тем, что вам нужно понять влияние производительности правил брандмауэра. - Sean Reifschneider


Я не эксперт по безопасности, но звучит так, как будто вы брандмауэр. Кажется, что вы использовали некоторые основные функции брандмауэра и сделали его частью своих политик и процедур. Нет, вам не нужен брандмауэр, если вы собираетесь выполнять ту же работу, что и брандмауэр. Что касается меня самого, я предпочел бы сделать все возможное, чтобы поддерживать безопасность, но у меня брандмауэр просматривает мое плечо, но в какой-то момент, когда вы можете делать все, что делает брандмауэр, оно начинает становиться неуместным.


3
2017-11-13 10:47





Брандмауэр, конечно, не нужен для небольших настроек. Если у вас один или два сервера, программные брандмауэры можно обслуживать. С учетом сказанного мы не работаем без специальных брандмауэров, и есть несколько причин, почему я поддерживаю эту философию:

Разделение ролей

Серверы предназначены для приложений. Брандмауэры предназначены для пакетной проверки, фильтрации и политик. Веб-сервер должен беспокоиться о обслуживании веб-страниц, и все. Помещение обеих ролей на одном устройстве - это как просить вашего бухгалтера также быть вашим охранником.

Программное обеспечение - движущаяся цель

Программное обеспечение на хосте всегда меняется. Приложения могут создавать собственные исключения брандмауэра. ОС обновляется и исправляется. Серверы - это «админ» с высоким трафиком, и ваши политики брандмауэра / политики безопасности часто намного важнее безопасности, чем конфигурации вашего приложения. В среде Windows предположим, что кто-то допустил ошибку на уровне групповой политики и отключил брандмауэр Windows на ПК настольных компьютеров и не понимает, что он будет применяться к серверам. Вы широко открыты в процессе кликов.

Просто обновляя обновления прошивки брандмауэра, как правило, выходят один или два раза в год, а обновления ОС и сервисов - постоянный поток.

Многоразовые службы / политики / правила, управляемость

Если я однажды установил службу / политику под названием «Веб-сервер» (скажем, TCP 80 и TCP 443) и применил ее к «группе веб-серверов» на уровне брандмауэра, это намного эффективнее (пара изменений конфигурации) и экспоненциально менее подвержен ошибкам человека, чем настройка служб брандмауэра на 10 ящиков и открытие 2 портов x 10 раз. Когда эта политика должна измениться, это 1 изменение против 10.

Я все еще могу управлять брандмауэром во время атаки или после компромисса

Скажем, мой сервер брандмауэра на базе хоста + атакуется, а CPU отключен от графика. Чтобы даже начать выяснять, что происходит, я нахожусь во власти моего груза меньше, чем атакующий, чтобы даже войти и посмотреть на него.

Фактический опыт: я однажды испортил правило брандмауэра (левые порты вместо ANY вместо определенного, а сервер имел уязвимую службу), и у злоумышленника на самом деле была сеанс удаленного рабочего стола. Каждый раз, когда я начинаю получать сеанс, злоумышленник убьет / отключит сеанс. Если бы не было возможности закрыть эту атаку с независимого устройства брандмауэра, это могло быть намного хуже.

Независимый мониторинг

Регистрация в выделенных блоках брандмауэра обычно намного превосходит протоколы брандмауэров на базе хоста. Некоторые из них достаточно хороши, что вам даже не нужно внешнее программное обеспечение SNMP / NetFlow для получения точной картины.

Сохранение IPv4

Нет причин иметь два IP-адреса, если один для Интернета, а один - для почты. Храните службы в отдельных блоках и соответствующим образом прокладывайте порты через устройство, предназначенное для этого.


3
2017-11-13 16:06