Zapora sprzętowa vs. Zapora programowa (tabele IP, RHEL)

Moja firma hostingowa twierdzi, że IPTables jest bezużyteczne i nie zapewnia żadnej ochrony . Czy to kłamstwo?

TL; DR
Mam dwa kolokowane serwery. Wczoraj moja firma DC skontaktowała się ze mną, aby mi powiedzieć, że ponieważ używam zapory programowej, mój serwer jest „podatny na wiele krytycznych zagrożeń bezpieczeństwa”, a moje obecne rozwiązanie oferuje „brak ochrony przed jakąkolwiek formą ataku”.

Mówią, że muszę dostać dedykowany firewall Cisco ($ +1.000 instalacja następnie $ 200 / miesiąc każdy ), aby chronić swoje serwery. Zawsze miałem wrażenie, że chociaż zapory sprzętowe są bardziej bezpieczne, coś takiego jak IPTables w RedHat zapewnia wystarczającą ochronę dla przeciętnego serwera.

Oba serwery to tylko serwery sieciowe, nie ma na nich nic krytycznego, ale użyłem IPTables do zablokowania SSH tylko do mojego statycznego adresu IP i zablokowania wszystkiego oprócz podstawowych portów (HTTP (S), FTP i kilku innych standardowych usług ).

Nie dostanę zapory ogniowej, jeśli zhakowano eter serwerów, byłoby to niedogodne, ale działają tylko kilka stron WordPress i Joomla, więc zdecydowanie nie uważam, że warto.

Zapory sprzętowe również uruchamiają oprogramowanie, jedyną prawdziwą różnicą jest to, że urządzenie jest specjalnie zaprojektowane i dedykowane do tego zadania. Zapory programowe na serwerach mogą być tak samo bezpieczne jak zapory sprzętowe, jeśli są odpowiednio skonfigurowane (pamiętaj, że zapory sprzętowe są zazwyczaj „łatwiejsze”, aby przejść do tego poziomu, a zapory programowe są „łatwiejsze” do zepsucia).

Jeśli korzystasz z przestarzałego oprogramowania, prawdopodobnie istnieje znana luka. Podczas gdy twój serwer może być podatny na ten wektor ataku, stwierdzenie, że nie jest chroniony, jest zapalne, mylące lub odważne kłamstwo (zależy od tego, co dokładnie powiedzieli i jak to mieli na myśli). Powinieneś zaktualizować oprogramowanie i załatać wszelkie znane luki, niezależnie od prawdopodobieństwa wykorzystania.

Stwierdzenie, że IPTables jest nieskuteczne, w najlepszym razie wprowadza w błąd . Chociaż znowu, jeśli jedyną zasadą jest zezwalanie na wszystko od wszystkich do wszystkich, to tak, to w ogóle nic by to nie robiło.

Uwaga dodatkowa : wszystkie moje osobiste serwery są oparte na FreeBSD i używają tylko IPFW (wbudowanej zapory programowej). Nigdy nie miałem problemu z tą konfiguracją; Śledzę także komunikaty bezpieczeństwa i nigdy nie widziałem żadnych problemów z tym oprogramowaniem zapory.
W pracy mamy bezpieczeństwo warstwami; zapora brzegowa odfiltrowuje wszystkie oczywiste bzdury (zapora sprzętowa); wewnętrzne zapory ogniowe filtrują ruch dla poszczególnych serwerów lub lokalizacji w sieci (połączenie głównie zapór programowych i sprzętowych).
W przypadku złożonych sieci dowolnego rodzaju najbardziej odpowiednie jest bezpieczeństwo warstw. W przypadku prostych serwerów, takich jak Twój, oddzielna zapora sprzętowa może przynosić pewne korzyści, ale dość niewielka.

Uruchamianie zapory na samym chronionym serwerze jest mniej bezpieczne niż używanie oddzielnej zapory. Nie musi to być zapora „sprzętowa”. Inny serwer Linux ustawiony jako router z IPTables działałby dobrze.

Problem bezpieczeństwa z zaporami ogniowymi na chronionym serwerze polega na tym, że komputer może zostać zaatakowany przez uruchomione usługi. Jeśli osoba atakująca może uzyskać dostęp na poziomie administratora, zaporę ogniową można zmodyfikować lub wyłączyć lub obejść za pomocą zestawu root-kernela.

Oddzielna zapora sieciowa nie powinna mieć uruchomionych żadnych usług oprócz dostępu SSH, a dostęp SSH powinien być ograniczony do zakresów administracyjnych IP. Atak powinien być stosunkowo niewrażliwy, z wyjątkiem błędów w implementacji IPTables lub stosie TCP, oczywiście.

Maszyna zapory może blokować i rejestrować ruch sieciowy, który nie powinien istnieć, dając cenne wczesne ostrzeżenie o pękniętych systemach.

Jeśli ruch jest niski, wypróbuj małą jednostkę Cisco ASA, taką jak 5505 . Jest w przedziale od 500 do 700 USD i jest zdecydowanie specjalnie zaprojektowany. Co-lo daje ci trochę BS, ale ich stawki dla zapory ogniowej są również nieuzasadnione.

Myślę, że zależy to również od wydajności. Zapora oparta na oprogramowaniu / serwerze, wykorzystująca cykle procesora, zapora sprzętowa może zrobić z układami wbudowanymi (ASIC), co prowadzi do lepszej wydajności i przepustowości.

Z twojej perspektywy prawdziwa różnica między zaporami „programowymi” (na samym komputerze) a zaporami „sprzętowymi” polega na tym, że w pierwszym przypadku ruch jest już na maszynie, którą chcesz chronić, więc jest potencjalnie bardziej narażony, jeśli coś zostało przeoczone lub źle skonfigurowany.

Zapora sprzętowa działa zasadniczo jako filtr wstępny, który pozwala tylko określonemu ruchowi dotrzeć do i / lub wyjść z serwera.

Biorąc pod uwagę przypadek użycia i oczywiście przy założeniu, że masz odpowiednie kopie zapasowe, dodatkowy koszt byłby bardzo trudny do uzasadnienia. Osobiście kontynuowałbym to, co masz, chociaż może korzystam z innej firmy hostingowej.

Późno do gry na tym. Tak, usługodawca nie ma pojęcia o czym mówią. Jeśli jesteś kompetentnym administratorem IPTABLES, powiedziałbym, że jesteś bardziej bezpieczny niż gotowa zapora sprzętowa. Powodem jest to, że kiedy ich użyłem, przyjemny interfejs gee-whiz nie odzwierciedla faktycznej konfiguracji ruchu przez który przepuszczany jest ruch. Sprzedawcy starają się go ogłuszyć dla nas, głupich ludzi. Chcę wiedzieć o każdej możliwości wchodzenia i wychodzenia każdego pakietu.

IPTABLES nie jest dla wszystkich, ale jeśli poważnie myślisz o bezpieczeństwie, chcesz być jak najbliżej przewodu. Zabezpieczanie systemu jest łatwe - inżynieria wsteczna nie jest zaporą typu blackbox.