Frage Hardware Firewall vs. Softwarefirewall (IP-Tabellen, RHEL)


TL; DR
Mein Hosting-Unternehmen sagt IP-Tabellen ist nutzlos und bietet nicht irgendein Schutz. Ist das BS?

Ich habe zwei, gemeinsam lokalisierte Server. Gestern hat mich meine DC-Firma kontaktiert, um mir zu sagen, dass mein Server "wegen mehrerer kritischer Sicherheitsbedrohungen anfällig ist", da ich eine Software-Firewall verwende und meine aktuelle Lösung "Kein Schutz vor Angriffen jeglicher Art" bietet.

Sie sagen, ich brauche eine dedizierte Cisco-Firewall ($ 1000 Installation, dann $ 200 / Monat) JEDER) um meine Server zu schützen. Ich hatte immer den Eindruck, dass Hardwarefirewalls zwar sicherer sind, aber so etwas wie IPTables auf RedHat ausreichend Schutz für Ihren durchschnittlichen Server bietet.

Beide Server sind nur Web-Server, nichts ist von entscheidender Bedeutung für sie, aber ich habe IPTables verwendet, um SSH auf nur meine statische IP-Adresse zu sperren und alles außer den grundlegenden Ports (HTTP (S), FTP und einigen anderen Standarddiensten zu blockieren) ).

Ich werde die Firewall nicht bekommen, wenn die Server des Servers gehackt wurden, wäre das eine Unannehmlichkeit, aber alles, was sie laufen, sind ein paar Wordpress und Joomla Seiten, also denke ich definitiv nicht, dass es das Geld wert ist.


36
2018-05-11 12:26


Ursprung


Ihr Hosting-Unternehmen klingt wie ein Haufen Chancers! Nichts ist falsch mit IPTables, und in den meisten Fällen bietet es viel mehr Funktionen als Cisco ASA etc. Das neueste Modul und Limit-Modul kommen hier in den Sinn. - Niall Donegan
Möchten Sie mitteilen, welches Unternehmen das ist, damit der Rest von uns klar bleiben kann? - Hyppy


Antworten:


Hardwarefirewalls laufen auch mit Software, der einzige wirkliche Unterschied ist, dass das Gerät speziell für diese Aufgabe entwickelt wurde. Softwarefirewalls auf Servern können bei entsprechender Konfiguration genauso sicher sein wie Hardwarefirewalls (beachten Sie, dass Hardwarefirewalls im Allgemeinen "einfacher" zu erreichen sind und Softwarefirewalls "einfacher" zu vermasseln sind).

Wenn Sie veraltete Software ausführen, ist wahrscheinlich eine Sicherheitslücke bekannt. Während Ihr Server für diesen Angriffsvektor anfällig sein könnte, ist die Behauptung, dass er ungeschützt ist, inflammatorisch, irreführend oder eine fettgedruckte Lüge (hängt davon ab, was genau sie sagten und wie sie es meinten). Sie sollten die Software aktualisieren und bekannte Sicherheitslücken schließen, unabhängig von der Wahrscheinlichkeit einer Ausnutzung.

Die Angabe, dass IPTables ineffektiv ist, ist bestenfalls irreführend. Obwohl, wenn die eine Regel ist allow everything from all to all dann, ja, es würde überhaupt nichts tun.

Side Note: Alle meine persönlichen Server sind FreeBSD-betrieben und verwenden nur IPFW (integrierte Software-Firewall). Ich hatte nie ein Problem mit dieser Einrichtung; Ich befolge auch die Sicherheitsankündigungen und habe nie Probleme mit dieser Firewall-Software gesehen. Bei der Arbeit haben wir Sicherheit in Schichten; Die Edge-Firewall filtert den offensichtlichen Mist (Hardware-Firewall) heraus; Interne Firewalls filtern den Datenverkehr für die einzelnen Server oder den Standort im Netzwerk (Mix aus [meist] Software- und Hardware-Firewalls). Für komplexe Netzwerke jeglicher Art ist die Sicherheit in Schichten am besten geeignet. Für einfache Server wie den Ihren kann es einen Vorteil haben, eine separate Hardware-Firewall zu haben, aber ziemlich wenig.


31
2018-05-11 12:36



+1 - Alle Firewalls sind "Software-Firewalls". Es ist eher eine "Software-Firewall mit Software, die Sie steuern" im Vergleich zu "Software-Firewall, die eine versiegelte Black Box ist". Beschränken Sie Ihre offenen Ports auf das Minimum, das nötig ist, damit die Server funktionieren, lassen Sie offensichtlich gefälschten Datenverkehr fallen, und vergessen Sie nicht, die E-Mail-Filter zu filtern, und Sie werden gut sein. - Evan Anderson
Ja, ich versuche, alles auf dem neuesten Stand zu halten, und ich würde wahrscheinlich sagen, dass ich die Sicherheit ziemlich gut verstehe. Ich war nur ein bisschen geschockt, dass meine DC-Firma mir sagte, dass mein Schutz nutzlos ist. Ich hatte immer angenommen, dass IP-Tabellen gut sind grundlegende Server und Hardware-Firewalls waren gut, wenn Sie sagen, Sony =) - Smudge
+1, IPTables sind das, worauf viele anständige Firewall-Systeme aufbauen. Ihr Hosting-Unternehmen lügt durch ihre Zähne zu versuchen, etwas zusätzliches Geld von Ihnen zu machen. Dump sie für einen seriösen Anbieter. - Hyppy
allow everything from all to all kann ebenso einfach auf der Hardware-Firewall implementiert werden - ähnlich. - CrackerJack9


Ausführen einer Firewall auf dem geschützten Server selbst ist weniger sicher als mit einer separaten Firewall-Maschine. Es muss keine "Hardware" -Firewall sein. Ein anderer Linux-Server, der als Router mit IPTables eingerichtet wurde, funktioniert einwandfrei.

Das Sicherheitsproblem mit Firewalls auf dem geschützten Server besteht darin, dass der Computer durch seine laufenden Dienste angegriffen werden kann. Wenn der Angreifer Zugriff auf Root-Ebene erhalten kann, kann die Firewall über ein Kernel-Root-Kit geändert oder deaktiviert oder umgangen werden.

Auf einem separaten Firewall-Computer sollten außer SSH-Zugriff keine Dienste ausgeführt werden, und der SSH-Zugriff sollte auf Verwaltungs-IP-Bereiche beschränkt sein. Es sollte relativ unverwundbar sein, um Angriffe anzugehen, wobei natürlich Fehler in der IPTables-Implementierung oder dem TCP-Stack ausgeschlossen sind.

Die Firewall-Maschine kann Netzwerkverkehr blockieren und protokollieren, der nicht vorhanden sein sollte, und gibt Ihnen wertvolle Frühwarnung für gecrackte Systeme.


8
2018-05-11 15:22



Wenn der Server rooted ist, ist es wahrscheinlich egal, dass der Angreifer andere Ports öffnen kann, da sie bereits auf etwas Lokales zugreifen können. Wenn der Angreifer Root-Zugriff auf den Server über Ports erhalten kann, die durch die Firewall erlaubt sind, spielt es wahrscheinlich keine Rolle, was die Firewall blockiert. Darüber hinaus sollte SSH auf dem Server genauso eingeschränkt werden wie SSH-Zugriff auf den Firewall-Computer. - CrackerJack9


Wenn Ihr Datenverkehr gering ist, versuchen Sie einen kleinen Cisco ASA-Einheit wie die 5505. Es ist im $ 500- $ 700-Bereich und definitiv zweckorientiert. Die Co-Lo gibt dir BS, aber ihre Raten für die Firewall sind auch unvernünftig.


4
2018-05-11 13:01





Ich denke, es hängt auch von der Leistung ab. Was eine Software / Server-basierte Firewall mit CPU-Zyklen macht, kann eine Hardware-Firewall mit speziell entwickelten Chips (ASICs) ausnutzen, was zu einer besseren Leistung und einem höheren Durchsatz führt.


4
2018-05-11 14:13



Haben Sie Messwerte für diesen Vergleich? Der Server wird wahrscheinlich einen leistungsfähigeren Prozessor ausführen und muss TCP-bezogene Berechnungen durchführen, unabhängig davon, ob eine Hardware-Firewall davor steht (denke an den lokalen TCP-Stack usw.) - CrackerJack9


Aus Ihrer Sicht ist der wirkliche Unterschied zwischen "Software" (auf der Maschine selbst) und "Hardware" -Firewalls, dass im ersten Fall der Verkehr bereits an der Maschine ist, die Sie schützen wollen, so ist es möglicherweise anfälliger, wenn etwas übersehen oder falsch konfiguriert wurde.

Eine Hardware-Firewall fungiert im Wesentlichen als Vorfilter, der nur bestimmten Datenverkehr zulässt und / oder Ihren Server verlässt.

Angesichts Ihres Anwendungsfalls und der Annahme, dass Sie über geeignete Backups verfügen, wären die zusätzlichen Kosten sehr schwer zu rechtfertigen. Persönlich würde ich mit dem fortfahren, was Sie haben, obwohl Sie vielleicht eine andere Hosting-Firma verwenden.


3
2018-05-12 01:57





Bis zum Spiel auf diesem. Ja, der Dienstleister hat keine Ahnung, wovon er spricht. Wenn Sie ein kompetenter IPTABLES-Administrator sind, würde ich sagen, dass Sie sicherer sind als eine sofort einsatzbereite Hardware-Firewall. Der Grund ist, dass, wenn ich sie benutzt habe, die nette Gee-Whiz-Schnittstelle nicht die tatsächliche Konfiguration des erlaubten Datenverkehrs widerspiegelt. Die Verkäufer versuchen es für uns dumme Leute zu vertuschen. Ich möchte über jede Möglichkeit wissen, dass jedes Paket ein- und ausgehen kann.

IPTABLES ist nicht jedermanns Sache, aber wenn Sie die Sicherheit ernst nehmen, möchten Sie so nah wie möglich an der Leitung sein. Die Sicherung eines Systems ist einfach - Reverse Engineering einer Blackbox-Firewall ist dies nicht.


3
2017-07-28 13:01



Ich glaube, RHELs iptables Standardkette ist ACCEPT, während die meisten Hardware-Firewalls standardmäßig verwendet werden DROP. In dieser Hinsicht ist die Out-of-the-Box-Hardware sicherer als die Standardsoftware. Zugegeben, viele Cloud-Anbieter haben diesen Standard geändert, und der Installationsassistent ermöglicht es Ihnen, Regeln festzulegen, bevor die Installation abgeschlossen ist ... - CrackerJack9