Zapora sprzętowa vs. Zapora programowa (tabele IP, RHEL)

36

Moja firma hostingowa twierdzi, że IPTables jest bezużyteczne i nie zapewnia żadnej ochrony . Czy to kłamstwo?

TL; DR
Mam dwa kolokowane serwery. Wczoraj moja firma DC skontaktowała się ze mną, aby mi powiedzieć, że ponieważ używam zapory programowej, mój serwer jest „podatny na wiele krytycznych zagrożeń bezpieczeństwa”, a moje obecne rozwiązanie oferuje „brak ochrony przed jakąkolwiek formą ataku”.

Mówią, że muszę dostać dedykowany firewall Cisco ($ +1.000 instalacja następnie $ 200 / miesiąc każdy ), aby chronić swoje serwery. Zawsze miałem wrażenie, że chociaż zapory sprzętowe są bardziej bezpieczne, coś takiego jak IPTables w RedHat zapewnia wystarczającą ochronę dla przeciętnego serwera.

Oba serwery to tylko serwery sieciowe, nie ma na nich nic krytycznego, ale użyłem IPTables do zablokowania SSH tylko do mojego statycznego adresu IP i zablokowania wszystkiego oprócz podstawowych portów (HTTP (S), FTP i kilku innych standardowych usług ).

Nie dostanę zapory ogniowej, jeśli zhakowano eter serwerów, byłoby to niedogodne, ale działają tylko kilka stron WordPress i Joomla, więc zdecydowanie nie uważam, że warto.

Plama
źródło
6
Twoja firma hostingowa brzmi jak grupa kanclerzy! Nie ma nic złego w IPTables, a w większości przypadków oferuje on o wiele więcej funkcji niż Cisco ASA itp. Tutaj przychodzi na myśl najnowszy moduł i moduł limitów.
Niall Donegan
20
Chcesz się podzielić z tym, jaka to firma, aby reszta z nas mogła się obejść?
Hyppy

Odpowiedzi:

34

Zapory sprzętowe również uruchamiają oprogramowanie, jedyną prawdziwą różnicą jest to, że urządzenie jest specjalnie zaprojektowane i dedykowane do tego zadania. Zapory programowe na serwerach mogą być tak samo bezpieczne jak zapory sprzętowe, jeśli są odpowiednio skonfigurowane (pamiętaj, że zapory sprzętowe są zazwyczaj „łatwiejsze”, aby przejść do tego poziomu, a zapory programowe są „łatwiejsze” do zepsucia).

Jeśli korzystasz z przestarzałego oprogramowania, prawdopodobnie istnieje znana luka. Podczas gdy twój serwer może być podatny na ten wektor ataku, stwierdzenie, że nie jest chroniony, jest zapalne, mylące lub odważne kłamstwo (zależy od tego, co dokładnie powiedzieli i jak to mieli na myśli). Powinieneś zaktualizować oprogramowanie i załatać wszelkie znane luki, niezależnie od prawdopodobieństwa wykorzystania.

Stwierdzenie, że IPTables jest nieskuteczne, w najlepszym razie wprowadza w błąd . Chociaż znowu, jeśli jedyną zasadą jest zezwalanie na wszystko od wszystkich do wszystkich, to tak, to w ogóle nic by to nie robiło.

Uwaga dodatkowa : wszystkie moje osobiste serwery są oparte na FreeBSD i używają tylko IPFW (wbudowanej zapory programowej). Nigdy nie miałem problemu z tą konfiguracją; Śledzę także komunikaty bezpieczeństwa i nigdy nie widziałem żadnych problemów z tym oprogramowaniem zapory.
W pracy mamy bezpieczeństwo warstwami; zapora brzegowa odfiltrowuje wszystkie oczywiste bzdury (zapora sprzętowa); wewnętrzne zapory ogniowe filtrują ruch dla poszczególnych serwerów lub lokalizacji w sieci (połączenie głównie zapór programowych i sprzętowych).
W przypadku złożonych sieci dowolnego rodzaju najbardziej odpowiednie jest bezpieczeństwo warstw. W przypadku prostych serwerów, takich jak Twój, oddzielna zapora sprzętowa może przynosić pewne korzyści, ale dość niewielka.

Chris S.
źródło
13
+1 - Wszystkie zapory ogniowe są „zaporami programowymi”. To bardziej „zapora programowa z oprogramowaniem, które kontrolujesz” w porównaniu do zapory programowej, która jest zapieczętowaną czarną skrzynką ”. Ogranicz swoje otwarte porty do minimum niezbędnego do działania serwerów, zrzuć oczywiście fałszywy ruch i nie zapomnij o wyjściu z filtrowania, a będziesz dobry.
Evan Anderson
Tak, staram się utrzymywać wszystko na bieżąco i prawdopodobnie powiedziałbym, że rozumiem bezpieczeństwo całkiem dobrze, byłem trochę zszokowany, że moja firma DC powiedziała mi, że moja ochrona jest bezużyteczna, zawsze zakładałem, że tabele IP są dobre dla podstawowe serwery i sprzętowe zapory ogniowe były dobre, jeśli na przykład Sony =)
Smudge
6
+1, IPTables jest podstawą wielu porządnych systemów zapory ogniowej. Twoja firma hostingowa leży za zębami, aby spróbować zarobić na tobie trochę gotówki. Zrzuć je dla renomowanego dostawcy.
Hyppy
2
allow everything from all to allmożna równie łatwo wdrożyć na sprzętowej zaporze ogniowej - z podobnym skutkiem.
CrackerJack9
8

Uruchamianie zapory na samym chronionym serwerze jest mniej bezpieczne niż używanie oddzielnej zapory. Nie musi to być zapora „sprzętowa”. Inny serwer Linux ustawiony jako router z IPTables działałby dobrze.

Problem bezpieczeństwa z zaporami ogniowymi na chronionym serwerze polega na tym, że komputer może zostać zaatakowany przez uruchomione usługi. Jeśli osoba atakująca może uzyskać dostęp na poziomie administratora, zaporę ogniową można zmodyfikować lub wyłączyć lub obejść za pomocą zestawu root-kernela.

Oddzielna zapora sieciowa nie powinna mieć uruchomionych żadnych usług oprócz dostępu SSH, a dostęp SSH powinien być ograniczony do zakresów administracyjnych IP. Atak powinien być stosunkowo niewrażliwy, z wyjątkiem błędów w implementacji IPTables lub stosie TCP, oczywiście.

Maszyna zapory może blokować i rejestrować ruch sieciowy, który nie powinien istnieć, dając cenne wczesne ostrzeżenie o pękniętych systemach.

Zan Lynx
źródło
3
Jeśli serwer jest zrootowany, prawdopodobnie nie będzie miało znaczenia, że ​​osoba atakująca może otworzyć inne porty, ponieważ ma już dostęp do dowolnego lokalnego pliku. Jeśli osoba atakująca może uzyskać dostęp do serwera root za pośrednictwem portów dozwolonych przez zaporę, prawdopodobnie nie ma znaczenia, co zapora blokuje, a ponadto SSH na serwerze powinien być ograniczony tak samo jak dostęp SSH do maszyny zapory.
CrackerJack9
4

Jeśli ruch jest niski, wypróbuj małą jednostkę Cisco ASA, taką jak 5505 . Jest w przedziale od 500 do 700 USD i jest zdecydowanie specjalnie zaprojektowany. Co-lo daje ci trochę BS, ale ich stawki dla zapory ogniowej są również nieuzasadnione.

ewwhite
źródło
4

Myślę, że zależy to również od wydajności. Zapora oparta na oprogramowaniu / serwerze, wykorzystująca cykle procesora, zapora sprzętowa może zrobić z układami wbudowanymi (ASIC), co prowadzi do lepszej wydajności i przepustowości.

Robert
źródło
1
Czy masz jakieś dane do tego porównania? Serwer prawdopodobnie działa na bardziej wydajnym procesorze i będzie musiał wykonywać obliczenia związane z TCP, niezależnie od
stojącej
3

Z twojej perspektywy prawdziwa różnica między zaporami „programowymi” (na samym komputerze) a zaporami „sprzętowymi” polega na tym, że w pierwszym przypadku ruch jest już na maszynie, którą chcesz chronić, więc jest potencjalnie bardziej narażony, jeśli coś zostało przeoczone lub źle skonfigurowany.

Zapora sprzętowa działa zasadniczo jako filtr wstępny, który pozwala tylko określonemu ruchowi dotrzeć do i / lub wyjść z serwera.

Biorąc pod uwagę przypadek użycia i oczywiście przy założeniu, że masz odpowiednie kopie zapasowe, dodatkowy koszt byłby bardzo trudny do uzasadnienia. Osobiście kontynuowałbym to, co masz, chociaż może korzystam z innej firmy hostingowej.

John Gardeniers
źródło
3

Późno do gry na tym. Tak, usługodawca nie ma pojęcia o czym mówią. Jeśli jesteś kompetentnym administratorem IPTABLES, powiedziałbym, że jesteś bardziej bezpieczny niż gotowa zapora sprzętowa. Powodem jest to, że kiedy ich użyłem, przyjemny interfejs gee-whiz nie odzwierciedla faktycznej konfiguracji ruchu przez który przepuszczany jest ruch. Sprzedawcy starają się go ogłuszyć dla nas, głupich ludzi. Chcę wiedzieć o każdej możliwości wchodzenia i wychodzenia każdego pakietu.

IPTABLES nie jest dla wszystkich, ale jeśli poważnie myślisz o bezpieczeństwie, chcesz być jak najbliżej przewodu. Zabezpieczanie systemu jest łatwe - inżynieria wsteczna nie jest zaporą typu blackbox.

dalel2000
źródło
Wierzę, że domyślnym łańcuchem iptables RHEL jest ACCEPT, podczas gdy większość zapór sprzętowych domyślnie DROP. Pod tym względem sprzęt po wyjęciu z pudełka jest bezpieczniejszy niż oprogramowanie po wyjęciu z pudełka. To prawda, że ​​wielu dostawców usług w chmurze zmodyfikowało to ustawienie domyślne, a kreator instalacji pozwala określić reguły przed zakończeniem instalacji ...
CrackerJack9