Donanım Güvenlik Duvarı Vs. Yazılım Güvenlik Duvarı (IP Tablolar, RHEL)

Hosting şirketim IPTables'in işe yaramaz olduğunu ve herhangi bir koruma sağlamadığını söylüyor . Bu bir yalan mı?

TL; DR
İki tane eş merkezli sunucuya sahibim. Dün DC şirketim bana bir yazılım güvenlik duvarı kullandığım için sunucumun "çoklu, kritik güvenlik tehditlerine karşı savunmasız" olduğunu ve şu anki çözümümün "herhangi bir saldırıya karşı koruma yok" sunduğunu söylemem için bana başvurdu.

Sunucularımı korumak için özel bir Cisco güvenlik duvarı ( her biri $ 200 / aylık ) kurulumuna ihtiyacım olduğunu söylüyorlar . Donanım güvenlik duvarları daha güvenli olsa da, RedHat'taki IPTable'lar gibi ortalama bir sunucunuz için yeterli koruma sağladığımı her zaman düşündüm.

Her iki sunucu da sadece web sunucuları, kritik öneme sahip hiçbir şey yok, ancak statik IP adresimi SSH'yi kilitlemek ve temel portlar (HTTP (S), FTP ve diğer birkaç standart servis hariç her şeyi engellemek) için IPTable kullandım ).

Ben güvenlik duvarı almayacağım, eğer sunucuların etiği saldırıya uğradıysa bu bir sakıncalı olurdu, ancak çalıştırdıkları tek şey bir kaç WordPress ve Joomla sitesi olduğundan kesinlikle paraya değmeyeceğini düşünüyorum.

Donanım güvenlik duvarları da yazılım kullanıyor, tek gerçek fark, aygıtın amaç için tasarlanmış ve göreve adanmış olmasıdır. Sunuculardaki yazılım güvenlik duvarları, uygun şekilde yapılandırıldığında donanım güvenlik duvarları kadar güvenli olabilir (donanım güvenlik duvarlarının bu seviyeye ulaşmak için genellikle 'daha kolay' ve yazılım güvenlik duvarlarının bertaraf edilmesinin 'daha kolay' olduğunu unutmayın).

Eski bir yazılımı kullanıyorsanız, muhtemelen bilinen bir güvenlik açığı vardır. Sunucunuz bu saldırı vektörüne duyarlı olabilirken, korunmasız olduğunu belirtmek inflamatuar, yanıltıcı veya kalın bir yalandır (tam olarak ne söylediklerine ve ne anlama geldiklerine bağlıdır). Sömürü olasılığına bakmaksızın yazılımı güncellemeli ve bilinen tüm güvenlik açıklarını düzeltmelisiniz.

IPTable'ların etkisiz olduğunu belirtmek en iyi ihtimalle yanıltıcıdır . Yine de, eğer bir kural herkesten herkese her şeye izin veriyorsa, evet, hiçbir şey yapmazdı.

Yan Not : tüm kişisel sunucularım FreeBSD desteklidir ve sadece IPFW (dahili yazılım güvenlik duvarı) kullanırlar. Bu kurulumla hiçbir zaman bir sorunum olmadı; Ayrıca güvenlik duyurularını takip ediyorum ve bu güvenlik duvarı yazılımıyla ilgili herhangi bir sorun görmedim.
İşyerinde katmanlarda güvenlik var; kenar güvenlik duvarı, bariz pislikleri (donanım güvenlik duvarı) filtreler; iç güvenlik duvarları, tek tek sunucular veya ağdaki konum için trafiği filtreler (çoğunlukla yazılım ve donanım güvenlik duvarlarının karışımı).
Her türlü karmaşık ağlar için katmanlardaki güvenlik en uygunudur. Sizinki gibi basit sunucular için ayrı bir donanım güvenlik duvarına sahip olmanın bazı yararları olabilir, ancak oldukça az.

Korumalı sunucusunun kendisinde bir güvenlik duvarı Koşu olan ayrı bir güvenlik duvarı makinesi kullanarak daha az güvenli. Bir "donanım" güvenlik duvarı olması gerekmez. IPTable özellikli bir yönlendirici olarak ayarlanan başka bir Linux sunucusu iyi çalışacaktır.

Korunan sunucudaki güvenlik duvarlarındaki güvenlik sorunu, makineye çalışan hizmetleri tarafından saldırıya uğramasıdır. Saldırganın kök düzeyinde erişim sağlayabilmesi durumunda, güvenlik duvarı bir çekirdek kök kiti aracılığıyla değiştirilebilir veya devre dışı bırakılabilir.

Ayrı bir güvenlik duvarı makinesinde SSH erişimi dışında çalışan hiçbir hizmet olmamalı ve SSH erişiminin yönetim IP aralıklarıyla sınırlı olması gerekir. Elbette IPTables uygulamasında veya TCP yığında bulunan böcekleri engellemek, saldırıya maruz kalmak göreceli olarak korunmasız olmalıdır.

Güvenlik duvarı makinesi, olmaması gereken ağ trafiğini engelleyebilir ve günlüğe kaydedebilir ve bu sayede çatlak sistemler için size erken uyarı verir.

Trafiğiniz düşükse, 5505 gibi küçük bir Cisco ASA ünitesini deneyin . 500 $ - 700 $ aralığında ve kesinlikle amaca uygun. İşin aslı sana BS veriyor, ama güvenlik duvarı için yaptıkları ücretler de makul değil.

Bence performansa da bağlı. Yazılım / sunucu tabanlı bir güvenlik duvarının CPU döngülerini kullanarak yaptığı şey, bir donanım güvenlik duvarının daha iyi performans ve verimlilik sağlayan, amaçlanan yerleşik yongalarla (ASIC'ler) yapmasıdır.

Bakış açınıza göre "yazılım" (makinenin kendisinde) ve "donanım" güvenlik duvarları arasındaki asıl fark, ilk durumda trafiğin zaten korumak istediğiniz makinede olmasıdır, bu nedenle bir şey gözden kaçırılmışsa potansiyel olarak daha savunmasızdır veya Yanlış yapılandırılmış.

Bir donanım güvenlik duvarı, esasen, yalnızca belirli trafiğin sunucunuza erişmesine ve / veya çıkışına izin vermesine izin veren bir ön filtre görevi görür.

Kullanım durumunuz göz önüne alındığında ve elbette uygun yedeklemeler bulunduğunu varsayarsak, ekstra masrafın haklı çıkması çok zor olacaktır. Şahsen, belki de farklı bir barındırma şirketi kullanıyor olsanız da sahip olduğunuzla devam ediyorum.

Oyunda geç kaldık. Evet, servis sağlayıcısı ne hakkında konuştuğunu bilmiyor. Yetkili bir IPTABLES yöneticisiyseniz, kullanıma hazır bir donanım güvenlik duvarından daha güvenli olduğunuzu söyleyebilirim. Bunun nedeni, onları kullandığımda, hoş gee-whiz arayüzünün hangi trafiğe izin verildiğinin gerçek yapılandırmasını yansıtmamasıdır. Satıcılar bizim için aptal insanlara aptalca davranmaya çalışıyorlar. Her paketin girip çıkma olasılığını bilmek istiyorum.

IPTABLES herkes için değil, ancak güvenlik konusunda ciddiysen, kabloya mümkün olduğunca yakın olmak istiyorsun. Bir sistemi güvence altına almak kolaydır - bir kara kutu güvenlik duvarı tersine mühendislik değildir.