Vraag Waarom zou ik firewall-servers gebruiken?


HOUD ER REKENING MEE DAT: Ik ben niet geïnteresseerd in het maken van dit tot een vlamoorlog! Ik begrijp dat veel mensen overtuigd zijn van dit onderwerp, niet in de laatste plaats omdat ze veel energie hebben gestoken in hun firewall-oplossingen, en ook omdat ze geïndoctrineerd zijn om in hun noodzaak te geloven.

Ik ben echter op zoek naar antwoorden van mensen die dat wel zijn experts in veiligheid. Ik geloof dat dit een belangrijke vraag is en dat het antwoord meer oplevert dan alleen ikzelf en het bedrijf waarvoor ik werk. Ik run ons servernetwerk al enkele jaren zonder compromis, zonder enige firewalling. Geen van de beveiligingscompromissen die we hebben hebben had kunnen voorkomen worden met een firewall.

Ik denk dat ik hier te lang heb gewerkt, want als ik 'servers' zeg, bedoel ik altijd 'services die aan het publiek worden aangeboden', niet 'geheime interne factureringsdatabases'. Als zodanig, alle regels die wij zou in welke firewall dan ook toegang tot het hele internet zou moeten hebben. Onze servers met openbare toegang bevinden zich allemaal in een speciaal datacenter dat gescheiden is van ons kantoor.

Iemand anders stelde een vergelijkbare vraag, en mijn antwoord werd in negatieve cijfers gestemd. Dit doet me geloven dat de mensen die het hebben gestemd mijn antwoord niet echt begrepen, of ik begrijp de beveiliging niet genoeg om te doen wat ik momenteel aan het doen ben.

Dit is mijn benadering van serverbeveiliging:

  1. Volg mijn besturingssysteem beveiligingsrichtlijnen  voor verbinding maken met mijn server met internet.

  2. Gebruik TCP-wrappers om de toegang tot SSH (en andere beheerservices) tot een klein aantal IP-adressen te beperken.

  3. Controleer de status van deze server met Munin. En repareer de enorme beveiligingsproblemen die inherent zijn aan Munin-node in de standaardconfiguratie.

  4. Nmap mijn nieuwe server (ook voordat ik mijn server met internet verbind). Als ik deze server zou firewall, zou dit de nauwkeurige reeks havens moeten zijn de inkomende verbindingen zouden moeten worden beperkt tot.

  5. Installeer de server in de serverruimte en geef deze een openbaar IP-adres.

  6. Houd het systeem veilig door de beveiligingsupdates van mijn besturingssysteem te gebruiken.

Mijn filosofie (en de basis van de vraag) is dat sterke hostgebaseerde beveiliging de noodzaak van een firewall wegneemt. De algehele beveiligingsfilosofie zegt dat sterke hostgebaseerde beveiliging nog steeds vereist is, zelfs als u een firewall heeft (zie beveiligingsrichtlijnen). De reden hiervoor is dat een firewall die openbare services doorstuurt naar een server, een aanvaller net zo goed in staat stelt als helemaal geen firewall. Het is de dienst zelf die kwetsbaar is en omdat het aanbieden van die dienst aan het hele internet een vereiste is voor de werking ervan, is het beperken van de toegang ertoe niet het punt.

Als er zijn poorten beschikbaar op de server die niet door het hele internet hoeven te worden benaderd, dan moest die software in stap 1 worden afgesloten en werd deze bij stap 4 geverifieerd. Mocht een aanvaller met succes inbreken in de server via kwetsbare software en een poort zelf, kan de aanvaller net zo gemakkelijk elke firewall verslaan door in plaats daarvan een uitgaande verbinding op een willekeurige poort te maken. Het punt van veiligheid is niet om jezelf te verdedigen na een succesvolle aanval - dat is al bewezen onmogelijk - het is om de aanvallers op de eerste plaats te houden.

Er is gesuggereerd dat er naast open poorten nog andere veiligheidsoverwegingen zijn - maar voor mij klinkt dat gewoon als het verdedigen van iemands geloof. Alle kwetsbaarheden in het besturingssysteem / TCP-stack moeten even kwetsbaar zijn, ongeacht of er een firewall bestaat, op basis van het feit dat poorten rechtstreeks naar dat besturingssysteem / TCP-stack worden doorgestuurd. Evenzo lijkt het draaien van uw firewall op de server zelf in plaats van deze op de router te hebben (of erger nog, op beide plaatsen) onnodige lagen van complexiteit toe te voegen. Ik begrijp de filosofie "veiligheid komt in lagen", maar er komt een moment waarop het is alsof je een dak bouwt door X-aantal lagen triplex op elkaar te stapelen en vervolgens een gat door alle gaten te boren. Een andere laag multiplex gaat de lekken niet stoppen door dat gat dat je met opzet maakt.

Om eerlijk te zijn, de enige manier waarop ik een firewall gebruik voor servers zie is als het dynamische regels heeft die alle verbindingen met alle servers van bekende aanvallers verhinderen - zoals de RBL's voor spam (wat toevallig zo ongeveer is wat onze mailserver doet) . Helaas kan ik geen firewalls vinden die dat doen. Het beste is een IDS-server, maar die veronderstelt dat de aanvaller niet eerst je echte servers aanvalt, en dat aanvallers de moeite nemen om je hele netwerk te onderzoeken. voor aanvallende. Bovendien is van deze bekend dat ze grote aantallen valse positieven produceren.


101
2017-11-12 21:11


oorsprong


En zo is al het verkeer dat tussen uw servers komt versleuteld? - GregD
Hou ervan. Lokale firewallregels zijn bijna altijd alleen voor voodoo. - unixtippse
Beschikt u ook over desktops / werknemers in uw netwerk? Wat doe je met hen? - Brandon
Deze vraag zou goed geschikt zijn geweest voor security.stackexchange.com - Olivier Lalonde
@routeNpingme: Het lijkt erop dat ik die lekkernij niet heb opgenomen in mijn oorspronkelijke bericht. Al onze servers moeten open zijn voor het publiek en in een speciaal datacenter wonen. Als uw kantoor uw datacenter is, zou het volgens mij nodig zijn om een ​​firewall te hebben tussen uw servernetwerk en uw kantoornetwerk. In dat geval heb ik het over het servernetwerk - waarom een ​​firewall met volledige publieke toegang? - Ernie


antwoorden:


Voordelen van firewall:

  1. U kunt uitgaand verkeer filteren.
  2. Layer 7-firewalls (IPS) kunnen beschermen tegen bekende kwetsbaarheden in toepassingen.
  3. U kunt een bepaald IP-adresbereik en / of poort centraal blokkeren in plaats van te proberen ervoor te zorgen dat er geen service luistert op die poort op elke individuele machine of toegang weigert met behulp van TCP-wrappers.
  4. Firewalls kunnen u helpen als u te maken krijgt met minder beveiligingsbewuste gebruikers / beheerders omdat zij een tweede verdedigingslinie bieden. Zonder hen moet men er absoluut zeker van zijn dat hosts beveiligd zijn, wat een goed begrip van de beveiliging van alle beheerders vereist.
  5. Firewall-logboeken bieden centrale logboeken en helpen bij het detecteren van verticale scans. Firewall-logs kunnen helpen bij het bepalen of een bepaalde gebruiker / client periodiek verbinding probeert te maken met dezelfde poort van al uw servers. Om dit zonder een firewall te doen, zou men logboeken van verschillende servers / hosts moeten combineren om een ​​gecentraliseerde weergave te krijgen.
  6. Firewalls worden ook geleverd met antispam / antivirusmodules die ook bijdragen aan bescherming.
  7. OS onafhankelijke beveiliging. Op basis van host-besturingssysteem zijn verschillende technieken / methoden vereist om de host te beveiligen. TCP Wrappers zijn bijvoorbeeld mogelijk niet beschikbaar op Windows-machines.

Vooral als je geen firewall hebt en het systeem is gecompromitteerd, hoe zou je het dan kunnen detecteren? Probeert een commando 'ps', 'netstat' enz. Uit te voeren op het lokale systeem kan niet vertrouwd worden, omdat die binaire bestanden kunnen worden vervangen. 'nmap' van een systeem op afstand is geen gegarandeerde beveiliging, aangezien een aanvaller ervoor kan zorgen dat rootkit op geselecteerde tijden alleen verbindingen accepteert van geselecteerde bron-IP-adres (sen).

Hardware-firewalls helpen in dergelijke scenario's omdat het uiterst moeilijk is om firewall-besturingssystemen / -bestanden te wijzigen in vergelijking met host-besturingssystemen / -bestanden.

Nadelen van de firewall:

  1. Mensen denken dat de firewall voor de beveiliging zorgt en werkt de systemen niet regelmatig bij en stopt ongewenste services.
  2. Ze kosten. Soms moet jaarlijkse licentiekosten worden betaald. Vooral als de firewall antivirus- en antispammodules heeft.
  3. Extra single point of failure. Als al het verkeer door een firewall gaat en de firewall faalt, stopt het netwerk. We kunnen redundante firewalls hebben, maar het vorige punt over kosten wordt verder versterkt.
  4. Stateful-tracking biedt geen waarde op systemen die naar het publiek zijn gericht en die alle inkomende verbindingen accepteren.
  5. Stateful firewalls vormen een enorme bottleneck tijdens een DDoS-aanval en zijn vaak het eerste dat faalt, omdat ze proberen de status vast te houden en alle inkomende verbindingen te inspecteren.
  6. Firewalls kunnen niet binnen gecodeerd verkeer zien. Sinds al het verkeer moeten eind-tot-eind versleuteld zijn, voegen de meeste firewalls weinig waarde toe aan publieke servers. Sommige firewalls van de volgende generatie kunnen privésleutels krijgen om TLS te beëindigen en binnen het verkeer te kijken, maar hierdoor neemt de gevoeligheid van de firewall voor DDoS nog meer toe en wordt het end-to-end beveiligingsmodel van TLS verbroken.
  7. Besturingssystemen en applicaties worden veel sneller tegen kwetsbaarheden gepatcht dan firewalls. Firewall-leveranciers zitten vaak voor bekende problemen jaar zonder patchen, en het patchen van een firewallcluster vereist meestal downtime voor veel services en uitgaande verbindingen.
  8. Firewalls zijn verre van perfect en velen zijn notoir met fouten. Firewalls zijn slechts software die wordt uitgevoerd op een of andere vorm van besturingssysteem, misschien met een extra ASIC of FPGA naast een (meestal trage) CPU. Firewalls hebben bugs, maar ze lijken weinig tools te bieden om ze aan te pakken. Daarom voegen firewalls complexiteit en een extra bron van moeilijk te diagnosticeren fouten toe aan een toepassingsstack.

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? Intrusion detection is niet de taak van de firewall. Die taak wordt beter afgehandeld door het HIDS (host-gebaseerd inbraakdetectiesysteem), dat onafhankelijk is van de firewall. - Steven Monday
Syslog-servers elimineren de behoefte aan item 5. Als het al iets is, is het het beste om uw firewall-logboeken naar een syslog-server te sturen, voor het geval een aanvaller erin slaagt de firewall in gevaar te brengen en zijn logboeken te verwijderen. Vervolgens moet de aanvaller twee systemen binnendringen om alleen de logboeken te verwijderen, en daar zijn ze misschien niet op voorbereid (vooral niet met geautomatiseerde aanvallen). Evenzo, als al uw systemen gecentraliseerd loggen hebben, krijgt u betere details over de aanval dan firewall-logboeken kunnen bieden. - Ernie
Mijn punt was, omdat HIDS op host woont, we kunnen de output niet vertrouwen. Zelfs als we cryptografisch veilige 'tripwire' als hostgebaseerde IDS gebruiken, kan de aanvaller altijd alle tripwire binaries (twadmin, tripwire, twprint, etc.) vervangen door gecompromitteerde versies die nooit inbraak melden. Zelfs als we proberen bibliotheken / binaire bestanden van een ander systeem te kopiëren, kan er een proces worden uitgevoerd dat deze gecompromitteerde binaire bestanden controleert en deze opnieuw vervangt door een beschadigde versie voor het geval ze worden vervangen of bijgewerkt. Firewall onafhankelijk van host, kan in dergelijke scenario's worden vertrouwd. - Saurabh Barjatiya
Dit antwoord werd geaccepteerd op de meer populaire omdat het betere en uitgebreidere redenen biedt voor het gebruik van een firewall. En niet, wat dat betreft. - Ernie
Stateful packet inspection-firewalls horen NIET thuis voor servers. Ze zijn een grote verantwoordelijkheid bij DDoS-aanvallen en zijn meestal het eerste dat faalt tijdens een aanval. - rmalayter


TCP-wrappers kunnen aantoonbaar een op host gebaseerde firewall-implementatie worden genoemd; je filtert het netwerkverkeer.

Voor het punt dat een aanvaller uitgaande verbindingen op een willekeurige poort maakt, zou een firewall ook een manier kunnen bieden om het uitgaande verkeer te beheersen; een correct geconfigureerde firewall beheert in- en uitstappen op een manier die past bij het risico dat aan het systeem is verbonden.

Op het punt over hoe een TCP-kwetsbaarheid niet wordt gemitigeerd door een firewall, ben je niet bekend met hoe firewalls werken. Cisco heeft een hele reeks regels beschikbaar om te downloaden waarmee pakketten worden geïdentificeerd die zo zijn geconstrueerd dat ze bepaalde problemen met het besturingssysteem veroorzaken. Als je Snort vastpakt en begint met het uitvoeren van de juiste regelset, zul je ook gewaarschuwd worden over dit soort dingen. En natuurlijk kunnen Linux iptables kwaadaardige pakketten filteren.

Kort gezegd is een firewall proactieve bescherming. Hoe verder je weggaat van proactief zijn, hoe waarschijnlijker het is dat je in een situatie terechtkomt waarin je reageert op een probleem in plaats van het probleem te voorkomen. Door je bescherming aan de grens te concentreren, zoals met een speciale firewall, kun je dingen gemakkelijker beheren omdat je een centraal punt hebt in plaats van overal regels te dupliceren.

Maar geen enkel ding is noodzakelijkerwijs een definitieve oplossing. Een goede beveiligingsoplossing is over het algemeen meerlagig, met een firewall aan de rand, TCP-wrappers op het apparaat en waarschijnlijk ook enkele regels voor interne routers. Gewoonlijk moet u het netwerk beschermen tegen internet en de knooppunten van elkaar beschermen. Deze meerlaagse aanpak is niet hetzelfde als een gat boren door meerdere lagen multiplex, het is meer zo dat je een paar deuren opzet, zodat een indringer twee sloten heeft om te breken in plaats van slechts één; dit wordt een man trap in fysieke beveiliging genoemd, en bijna elk gebouw heeft er een voor een reden. :)


33
2017-11-12 22:04



Ook als ze het gebouw binnensluipen en de binnendeur voor hun vriend buiten openen, moeten ze ook de buitendeur ontgrendelen en openen. (d.w.z. zonder een externe firewall kan iemand die op uw server binnenkomt deze openen, terwijl een externe firewall de open poorten van buitenaf blokkeert) - Ricket
@Ricket: misschien wel, maar moderne aanvallers houden zich niet bezig met dit soort dingen. Uw site zou van bijzonder belang moeten zijn voor een aanvaller om meer te doen dan uw server aan een zombieboerderij toe te voegen. - Ernie
@Ernie - nee, het hoeft alleen te bestaan ​​om automatisch gescreend te worden naar gratis opslagruimte voor Warez, klantendatabases, financiële info, wachtwoorden en worden toegevoegd aan een botnet - maar zelfs dat kan al erg genoeg zijn - sommige beheerders zullen je IP graag zwart maken als het erop lijkt dat je zombies host. - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementation+1 voor een goed antwoord. - sjas


(Misschien wilt u lezen "Leven zonder firewalls")

Nu: hoe zit het met het hebben van een legacy-systeem waarvoor geen patches meer worden gepubliceerd? Hoe zit het met het niet kunnen toepassen van de patches op N-machines op het moment dat u dit moet doen, terwijl u ze tegelijkertijd in minder knooppunten in het netwerk (firewalls) kunt toepassen?

Het heeft geen zin om te debatteren over het bestaan ​​of de behoefte van de firewall. Het belangrijkste is dat u een beveiligingsbeleid moet implementeren. Hiertoe gebruikt u de tools die het implementeren en helpt u het te beheren, uit te breiden en te ontwikkelen. Als er firewalls nodig zijn om dat te doen, is dat prima. Als ze niet nodig zijn, is dat ook goed. Het belangrijkste is om een ​​werkende en verifieerbare implementatie van uw beveiligingsbeleid te hebben.


15
2017-11-12 21:31



Heh. Ik run ons servernetwerk al 8 jaar zonder een firewall. Ik zou kunnen hebben geschreven "Leven zonder firewalls", maar hij deed het op een veel betere manier en heeft toch een veel groter netwerk dan ik. - Ernie
@ Erie - ik denk dat je geluk hebt gehad. Hoe weet je dat je niet bent gecompromitteerd? De resultaten van forensisch onderzoek bij veel van mijn klanten hebben een compromis gevonden, soms daterende maanden, terwijl de aanvallers persoonlijke en financiële informatie, klantgegevens, intellectueel eigendom, zakelijke plannen enz. Vonden. Zoals Sean zei - zorg voor een degelijke beveiligingsaudit. - Rory Alsop
Afgezien van het feit dat ons servernetwerk fysiek gescheiden is van ons kantoornetwerk (en dus geen echt gevoelige gegevens kan worden verzameld, zelfs met roottoegang op elke server), heb ik elk compromis kunnen ontdekken dat we heb dat ooit gedaan sinds ik hier begon. Ik zou kunnen doorgaan over de horrorshow die bestond toen ik begon, maar ik heb niet genoeg ruimte. :) Het volstaat te zeggen dat de meeste aanvallen niet subtiel zijn en dat de subtiele ook ontdekt kunnen worden. Oh ja, en scheiding van gebruikersrechten is jouw vriend. - Ernie


De meeste van uw verklaringen lijken de behoefte aan een firewall te weerleggen, maar ik zie geen reden om er een te hebben, behalve de kleine hoeveelheid tijd om er een op te zetten.

Weinig dingen zijn een "noodzaak" in een strikte betekenis van het woord. Beveiliging gaat meer over het instellen van alle blokkades die je kunt. Hoe meer werk er nodig is om in te breken in uw server, betekent minder kans op een succesvolle aanval. U wilt meer werk verzetten om uw machines te betreden dan ergens anders. Het toevoegen van een firewall maakt meer werk.

Ik denk dat een belangrijk gebruik is redundantie in beveiliging. Een ander voordeel van firewalls is dat je eenvoudig pogingen om verbinding te maken met elke poort kunt laten vervallen in plaats van te reageren op afgewezen verzoeken - dit maakt het maken van NMAP iets lastiger voor een aanvaller.

Het belangrijkste voor mij bij de praktische opmerking van uw vraag is dat u SSH-, ICMP- en andere interne services kunt vergrendelen tot lokale subnetten, evenals limiet inkomende verbindingen om DOS-aanvallen te helpen verlichten.

"Het punt van veiligheid is niet om je te verdedigen na een succesvolle aanval - dat is al bewezen onmogelijk - het is om de aanvallers in de eerste plaats buiten te houden."

Ben ik het niet mee eens. Het beperken van schade kan net zo belangrijk zijn. (onder dit ideaal waarom hash-wachtwoorden? of plak je database-software op een andere server dan je webapplicaties?) Ik denk dat het oude gezegde "niet al je eieren in één mandje plakt" hier van toepassing is.


9
2017-11-12 21:30



Nou, je hebt gelijk, ik heb daar niets tegen gedaan. Nadelen: verhoogde netwerkcomplexiteit, single point of failure, enkele netwerkinterface waardoor de bandbreedte wordt beperkt. Op dezelfde manier kunnen administratieve fouten in één firewall uw hele netwerk doden. En goden verbieden dat je jezelf ondertussen afsluit terwijl het een reis van 20 minuten naar de serverruimte is. - Ernie
Dit kan puur retorisch zijn, maar als je zegt: "Beveiliging gaat meer over het instellen van alle blokkades die je kunt", zou ik het liefst willen horen "Beveiliging gaat meer over het standaard blokkeren van alles en het zorgvuldig openen van het strikte minimum om te werken". - MatthieuP
+1 Een uitgebreid beveiligingsplan omvat preventie, detectie en reactie. - Jim OHalloran


Should I firewall my server? Goede vraag. Het lijkt erop dat het weinig zin heeft om een ​​firewall bovenop een netwerkstack te slaan die verbindingspogingen naar al het legitieme open poorten van slechts een handvol poorten afwijst. Als er een kwetsbaarheid in het besturingssysteem is waardoor kwaadwillig vervaardigde pakketten een host kunnen verstoren / exploiteren, zou een firewall op diezelfde host draaien de exploit voorkomen? Goed, kan zijn ...

En dat is waarschijnlijk de sterkste reden om een ​​firewall op elke host uit te voeren: een firewall macht voorkomen dat een kwetsbaarheid van de netwerkstack wordt misbruikt. Is dat een voldoende sterke reden? Ik weet het niet, maar ik veronderstel dat je zou kunnen zeggen: "Niemand is ooit ontslagen omdat hij een firewall heeft geïnstalleerd."

Een andere reden om een ​​firewall op een server uit te voeren, is om deze twee sterk gecorreleerde zaken te ontkoppelen:

  1. Van waar en naar welke poorten accepteer ik verbindingen?
  2. Welke services worden uitgevoerd en luisteren naar verbindingen?

Zonder een firewall bepaalt de set services (samen met de configuraties voor tcpwrappers en dergelijke) volledig welke set poorten de server open heeft en van wie verbindingen worden geaccepteerd. Een op een host gebaseerde firewall biedt de beheerder extra flexibiliteit om nieuwe services op een gecontroleerde manier te installeren en te testen voordat ze op grotere schaal beschikbaar worden. Als dergelijke flexibiliteit niet vereist is, is er minder reden om een ​​firewall op een server te installeren.

Tot slot, er is één item dat niet wordt vermeld in uw beveiligingscontrolelijst die ik altijd toevoeg, en dat is een host-gebaseerd inbraakdetectiesysteem (HIDS), zoals ASSISTENT of Samhain. Een goede HIDS maakt het extreem moeilijk voor een indringer om ongewenste wijzigingen in het systeem aan te brengen en onopgemerkt te blijven. Ik geloof dat alle servers een soort HIDS zouden moeten hebben.


8
2017-11-12 23:10



+1 voor vermelding van HIDS-systemen. - Sam Halicke
HIDS zijn geweldig - als u van plan bent het in te stellen en het te vergeten. En nooit accounts toevoegen of verwijderen. Anders zal de overgrote meerderheid van HIDS-logs lange lijsten zijn van wat je vandaag hebt gedaan, en zal het snel de hele tijd genegeerd worden. - Ernie
Geen pijn, geen winst, zoals ze zeggen. Op servers met veel veranderingen is het mogelijk om de verwachte ruis weg te filteren, zodat u zich kunt concentreren op het onverwachte. - Steven Monday


Een firewall is een hulpmiddel. Het maakt dingen niet op zichzelf veilig, maar het kan een bijdrage leveren als een laag in een beveiligd netwerk. Dat betekent niet dat je er een nodig hebt, en ik maak me zeker zorgen over mensen die blind zeggen: "Ik moet een firewall krijgen" zonder te begrijpen waarom ze op die manier denken en die de sterke en zwakke punten van firewalls niet begrijpen.

Er zijn veel tools die we kunnen zeggen dat we niet nodig hebben ... Is het mogelijk om een ​​Windows-computer zonder Antivirus te gebruiken? Ja, het is ... maar het is een mooie laag verzekering om er een te hebben.

Ik zou hetzelfde zeggen over firewalls - wat je nog meer over hen kunt zeggen, ze zijn een mooi niveau van verzekering. Ze zijn geen vervanging voor patchen, voor het vergrendelen van machines, voor het uitschakelen van diensten die u niet gebruikt, voor logboekregistratie, enz. ... maar ze kunnen een nuttige aanvulling zijn.

Ik zou ook voorstellen dat de vergelijking enigszins verandert, afhankelijk van het feit of je het hebt over het plaatsen van een firewall voor een groep zorgvuldig onderhouden servers, zoals je lijkt te zijn, of een typisch LAN met een mix van werkstations en servers , waarvan sommige misschien behoorlijk behaard zijn, ondanks de inspanningen en wensen van het IT-team.

Nog een ding om te overwegen is het voordeel van het creëren van een duidelijk verhard doelwit. Zichtbare beveiliging, of het nu gaat om felle lichten, zware sloten en een voor de hand liggende alarmbox in een gebouw; of een voor de hand liggende firewall op een reeks IP-adressen van bedrijven kan de toevallige indringer afhouden - ze zullen op zoek gaan naar een gemakkelijkere prooi. Dit zal de vastbesloten indringer niet afschrikken, die weet dat je informatie hebt die ze willen hebben en vastbesloten is om het te krijgen, maar het afschrikken van de informele indringers is nog steeds de moeite waard - vooral als je weet dat elke indringer wiens sondes het afschrikkende voortzetten, bijzonder serieus moet worden genomen .


6
2017-11-12 22:25



Dus de reden dat ik "servers" zei in plaats van "kantoornetwerk"? :) In ons geval zijn met name het datacenter en het kantoor twee fysiek gescheiden entiteiten. - Ernie
Ik begrijp dat Ernie, maar het is de moeite van het onderstrepen waard ... dus dat deed ik. - Rob Moir


Allemaal geweldige vragen. MAAR - Ik ben zeer verrast dat PRESTATIES niet naar de tafel zijn gebracht.

Voor zeer (CPU-gewijs) gebruikte web front-ends, degradeert lokale firewall prestaties, periode. Probeer een belastingstest en zie. Ik zag dit vele keren. Als u de firewall uitschakelt, verhoogt u de prestaties (per seconde) met 70% of meer.

Deze afweging moet worden overwogen.


5
2017-11-13 22:28



Het hangt erg af van de firewallregels die er zijn. Firewallregels worden sequentieel op elk pakket uitgevoerd, dus u wilt geen honderden regels hebben die bekeken moeten worden. Afgelopen winter, toen we een site beheren met een advertentie op de superbowl, waren de firewallregels geen probleem, bijvoorbeeld. Maar ik ben het ermee eens dat je de impact op de prestaties van firewallregels moet begrijpen. - Sean Reifschneider


Een firewall is extra bescherming. Drie specifieke scenario's waar het tegen beschermt, zijn aanvallen op netwerkstacks (dat wil zeggen dat uw serverbesturingssysteem kwetsbaar is voor speciaal vervaardigde pakketten die nooit het niveau van poorten bereiken), een succesvolle indringing die een verbinding maakt met "phone home" (of spam verstuurt, of wat dan ook) ) of een succesvolle inbraak door een serverpoort te openen of, minder detecteerbaar, te kijken naar een poortklopvolgorde voordat een poort wordt geopend. Toegegeven, de laatste twee hebben te maken met het verzachten van de schade van een inbraak in plaats van het te voorkomen, maar dat betekent niet dat het nutteloos is. Vergeet niet dat veiligheid geen alles-of-niets-propositie is; men neemt een gelaagde aanpak, riem en bretels, om een ​​niveau van beveiliging te bereiken dat voldoende is voor uw behoeften.


4
2017-11-13 12:37



+1 Absoluut, verdediging in de diepte is de sleutel. - Jim OHalloran
Ik zie niet hoe ik elke verwachting kan verwachten dat uitgaande verkeer naar enig effect wordt geblokkeerd, vooral wanneer onze klanten verwachten dat veel van onze servers e-mail naar willekeurige hosts op internet verzenden (zoals het geval is met spam). "Telefoneren naar huis" is gewoon een kwestie van verbinding maken met een andere willekeurige host op het net - en ik betwijfel of het blokkeren van alle uitgaande verbindingen, behalve een paar, alles zal helpen - als u het wilt doen iets op het internet. En het blokkeren van slechts enkele poorten lijkt op het opzetten van een tolhuis in het midden van de woestijn. - Ernie


Ik ben absoluut geen beveiligingsexpert, maar het klinkt alsof je een firewall hebt. Het lijkt erop dat u een deel van de kernfunctionaliteit van een firewall hebt gebruikt en deze hebt opgenomen in uw beleid en procedures. Nee, u hebt geen firewall nodig als u zelf hetzelfde werk gaat doen als een firewall. Wat mijzelf betreft, ik doe liever mijn uiterste best om de beveiliging bij te houden, maar laat een firewall over mijn schouder kijken, maar op een gegeven moment wanneer je alles kunt doen wat de firewall doet, begint het irrelevant te worden.


3
2017-11-13 10:47





Een firewall is zeker niet nodig voor kleinere opstellingen. Als u een of twee servers hebt, zijn softwarefirewalls onderhoudbaar. Met dat gezegd, we draaien niet zonder dedicated firewalls, en er zijn een paar redenen waarom ik deze filosofie hanteer:

Scheiding van rollen

Servers zijn voor toepassingen. Firewalls zijn voor pakketinspectie, filtering en beleid. Een webserver moet zich zorgen maken over het bedienen van webpagina's en dat is het dan. Beide functies in één apparaat plaatsen is hetzelfde als uw accountant vragen om ook uw bewaker te zijn.

Software is een bewegend doelwit

De software op de host is altijd aan het veranderen. Toepassingen kunnen hun eigen firewalluitzonderingen maken. Het besturingssysteem is bijgewerkt en gepatcht. Servers zijn een 'admin'-gebied met veel verkeer en uw firewallbeleid / beveiligingsbeleid is vaak veel belangrijker voor de beveiliging dan uw toepassingsconfiguraties. In een Windows-omgeving, stel dat iemand een fout maakt op een bepaald niveau van het groepsbeleid en Windows Firewall uitschakelt op de PC's van desktops, en zich niet realiseert dat het wordt toegepast op de servers. Je bent wijd open in een kwestie van klikken.

Net tegen updates aan, komen firmwareversies van de firewall meestal één of twee keer per jaar uit, terwijl OS- en service-updates een constante stroom zijn.

Herbruikbare services / beleid / regels, beheerbaarheid

Als ik eenmaal een service / beleid met de naam "Web Server" (zeg TCP 80 en TCP 443) heb ingesteld en het op de "webserversgroep" toepassen op firewallniveau, is dat veel efficiënter (een paar configuratiewijzigingen) en exponentieel minder gevoelig voor menselijke fouten dan het opzetten van firewallservices op 10 dozen en het openen van 2 poorten x 10 keer. Wanneer dat beleid moet worden gewijzigd, is dit 1 wijziging ten opzichte van 10.

Ik kan nog steeds een firewall beheren tijdens een aanval of na een compromis

Stel dat mijn host-gebaseerde firewall + toepassingsserver wordt aangevallen en de CPU van de kaart is. Om zelfs te beginnen om erachter te komen wat er gebeurt, ben ik overgeleverd aan de last van mijn lading die minder is dan de aanvaller om er zelfs in te komen en ernaar te kijken.

Een echte ervaring - ik heb eens een firewall-regel verknald (links poorten naar ELK in plaats van een specifieke, en server had een kwetsbare service), en de aanvaller had eigenlijk een live Remote Desktop-sessie naar de doos. Elke keer als ik een sessie begon te krijgen, zou de aanvaller mijn sessie uitschakelen of de verbinding verbreken. Als het niet was om die aanval van een onafhankelijk firewallapparaat te kunnen afsluiten, had dat veel erger kunnen zijn.

Onafhankelijke monitoring

Het loggen in speciale firewall-eenheden is meestal veel beter dan host-gebaseerde softwarefirewalls. Sommige zijn goed genoeg dat u niet eens externe SNMP / NetFlow-controlesoftware nodig hebt om een ​​nauwkeurig beeld te krijgen.

IPv4-conservering

Er is geen reden om twee IP-adressen te hebben als deze voor internet zijn en één voor e-mail. Bewaar de services op afzonderlijke boxen en leid de poorten op de juiste manier via het apparaat dat daarvoor is ontworpen.


3
2017-11-13 16:06





blockquote   Nou, je hebt gelijk, ik heb daar niets tegen gedaan. Nadelen: verhoogde netwerkcomplexiteit, single point of failure, enkele netwerkinterface waardoor de bandbreedte wordt beperkt. Op dezelfde manier kunnen administratieve fouten in één firewall uw hele netwerk doden. En goden verbieden dat je jezelf ondertussen afsluit terwijl het een reis van 20 minuten naar de serverruimte is.

Ten eerste is het toevoegen van maximaal één extra gerouteerde hop via uw netwerk niet ingewikkeld. Ten tweede is geen enkele firewall-oplossing geïmplementeerd met een enkel storingspunt volledig nutteloos. Net zoals u uw belangrijke server of services clustert en gehechte NIC's gebruikt, implementeert u zeer beschikbare firewalls. Niet doen, of niet herkennen en weten dat je dat zou doen, is erg kortzichtig. Eenvoudig stellen dat er een enkele interface is, maakt niet automatisch iets een bottleneck. Die bewering toont aan dat u geen idee heeft hoe u een firewall die groot genoeg is voor het verkeer dat door uw netwerk stroomt, goed kunt plannen en inzetten. Je hebt gelijk als je zegt dat een fout in het beleid schade kan toebrengen aan je hele netwerk, maar ik beweer dat het handhaven van individueel beleid op al je servers veel meer foutgevoelig is dan een enkele plaats.

Wat betreft het argument dat u de beveiligingspatches bijhoudt en beveiligingsgidsen volgt; dat is op zijn best een wankel argument. Doorgaans zijn beveiligingspatches pas beschikbaar nadat een beveiligingslek is ontdekt. Dat betekent dat de hele tijd dat u openbaar adresseerbare servers draait, ze kwetsbaar zijn totdat ze gepatcht zijn. Zoals anderen hebben opgemerkt, kunnen IPS-systemen helpen om compromissen van dergelijke kwetsbaarheden te voorkomen.

Als je denkt dat je systemen zo veilig zijn als ze kunnen zijn, is dat een goed vertrouwen. Ik zou echter aanbevelen dat u een professionele beveiligingsaudit uitvoert op uw netwerk. Het kan gewoon je ogen openen.


2
2017-11-14 03:57



It may just open your eyes. +1 omdat het de laatste spijker in de kist is. - sjas