Frage Warum sollte ich Firewall-Server?


BITTE BEACHTEN SIE: Ich bin nicht daran interessiert, daraus einen Flammenkrieg zu machen! Ich verstehe, dass viele Menschen Überzeugungen zu diesem Thema haben, nicht zuletzt, weil sie viel Mühe in ihre Firewall-Lösungen gesteckt haben, und auch, weil sie so indoktriniert wurden, dass sie an ihre Notwendigkeit glauben.

Ich suche jedoch nach Antworten von Leuten, die es sind Experten in Sicherheit. Ich glaube, dass dies eine wichtige Frage ist, und die Antwort wird mehr als nur ich selbst und die Firma, für die ich arbeite, profitieren. Ich betreibe unser Server-Netzwerk seit mehreren Jahren ohne Kompromisse, ohne Firewalls. Keine der Kompromisse der Sicherheit, die wir haben Hätte mit einer Firewall verhindert werden können.

Ich denke, ich arbeite hier schon zu lange, denn wenn ich von "Servern" spreche, meine ich immer "Dienstleistungen für die Öffentlichkeit", nicht "geheime interne Abrechnungsdatenbanken". Als solche, irgendwelche Regeln wir würde In irgendwelchen Firewalls müsste der Zugriff auf das gesamte Internet erlaubt sein. Außerdem befinden sich unsere öffentlich zugänglichen Server in einem dedizierten Datacenter getrennt von unserem Büro.

Jemand anderes fragte eine ähnliche Frage, und meine Antwort wurde in negative Zahlen gewählt. Das führt mich zu der Annahme, dass entweder die Leute, die sie abstimmen, meine Antwort nicht wirklich verstanden haben, oder ich verstehe die Sicherheit nicht genug, um das zu tun, was ich gerade tue.

Dies ist mein Ansatz zur Serversicherheit:

  1. Folge meinem Betriebssystem Sicherheitsrichtlinien  Vor Verbinden Sie meinen Server mit dem Internet.

  2. Verwenden Sie TCP-Wrapper, um den Zugriff auf SSH (und andere Verwaltungsdienste) auf eine kleine Anzahl von IP-Adressen zu beschränken.

  3. Überwachen Sie den Status dieses Servers mit Munin. Und beheben Sie die ungeheuren Sicherheitsprobleme, die der Munin-Knoten in seiner Standardkonfiguration mit sich bringt.

  4. Nmap meinen neuen Server (auch bevor ich meinen Server mit dem Internet verbinde). Wenn ich diesen Server firewall würde, sollte dies die genaue Menge von Ports sein, auf die eingehende Verbindungen beschränkt sein sollten.

  5. Installieren Sie den Server im Serverraum und geben Sie ihm eine öffentliche IP-Adresse.

  6. Halten Sie das System sicher, indem Sie die Sicherheitsupdates des Betriebssystems verwenden.

Meine Philosophie (und die Basis der Frage) ist, dass eine starke hostbasierte Sicherheit die Notwendigkeit einer Firewall beseitigt. Die allgemeine Sicherheitsphilosophie besagt, dass eine starke hostbasierte Sicherheit auch dann noch erforderlich ist, wenn Sie über eine Firewall verfügen (siehe Sicherheitsrichtlinien). Der Grund dafür ist, dass eine Firewall, die öffentliche Dienste an einen Server weiterleitet, einem Angreifer genau so viel wie gar keine Firewall ermöglicht. Es ist der Dienst selbst, der verwundbar ist, und da die Bereitstellung dieses Dienstes für das gesamte Internet eine Voraussetzung für seinen Betrieb ist, ist die Beschränkung des Zugriffs darauf nicht der Punkt.

Wenn da sind Ports, die auf dem Server verfügbar sind, auf die nicht das gesamte Internet zugreifen muss, dann musste diese Software in Schritt 1 heruntergefahren werden und wurde durch Schritt 4 verifiziert. Sollte ein Angreifer erfolgreich durch anfällige Software in den Server einbrechen und eine Wenn der Angreifer sich selbst portiert, kann (und tut er) genauso gut jede Firewall besiegen, indem er stattdessen eine ausgehende Verbindung an einem zufälligen Port herstellt. Der Punkt der Sicherheit besteht nicht darin, sich nach einem erfolgreichen Angriff zu verteidigen - das ist bereits bewiesen, dass es unmöglich ist - es ist, die Angreifer an erster Stelle zu halten.

Es wird vermutet, dass es neben offenen Ports noch andere Sicherheitsaspekte gibt - aber für mich klingt das nur nach Verteidigung des eigenen Glaubens. Alle Schwachstellen des Betriebssystems / TCP-Stacks sollten gleichermaßen anfällig sein, unabhängig davon, ob eine Firewall existiert oder nicht - basierend auf der Tatsache, dass Ports direkt an diesen Betriebssystem- / TCP-Stack weitergeleitet werden. Ebenso scheint die Firewall auf dem Server selbst ausgeführt zu werden, anstatt sie auf dem Router zu betreiben (oder schlimmer noch, an beiden Orten), was unnötige Komplexitätsebenen hinzufügt. Ich verstehe die Philosophie "Sicherheit kommt in Schichten", aber es gibt einen Punkt, an dem es so ist, als würde man ein Dach bauen, indem man X Schichten übereinander legt und dann ein Loch durch alle Löcher bohrt. Eine weitere Sperrholzschicht wird die Lecks durch das Loch, das Sie absichtlich machen, nicht aufhalten.

Um ehrlich zu sein, die einzige Möglichkeit, eine Firewall für Server einzusetzen, ist, wenn sie dynamische Regeln enthält, die alle Verbindungen von bekannten Angreifern zu allen Servern verhindern - wie die RBLs für Spam (was übrigens ziemlich genau das ist, was unser Mail-Server tut). . Leider kann ich keine Firewalls finden, die das tun. Die nächstbeste Lösung ist ein IDS-Server, der jedoch davon ausgeht, dass der Angreifer nicht zuerst Ihre echten Server angreift und dass Angreifer Ihr gesamtes Netzwerk untersuchen Vor anzugreifen. Außerdem ist bekannt, dass diese eine große Anzahl von falsch positiven Ergebnissen produzieren.


101
2017-11-12 21:11


Ursprung


Und so ist der gesamte Verkehr, der zwischen Ihren Servern läuft, verschlüsselt? - GregD
Liebe es. Lokale Firewall-Regeln sind fast immer nur Voodoo-Regeln. - unixtippse
Haben Sie auch Desktops / Mitarbeiter in Ihrem Netzwerk? Was machst du mit ihnen? - Brandon
Diese Frage wäre gut geeignet gewesen für Sicherheit.stackexchange.com - Olivier Lalonde
@routeNpingme: Es sieht so aus, als hätte ich diesen Leckerbissen nicht in meinen ursprünglichen Beitrag aufgenommen. Alle unsere Server müssen für die Öffentlichkeit zugänglich sein und in einem dedizierten Rechenzentrum leben. Wenn es sich bei Ihrem Büro um Ihr Rechenzentrum handelt, ist vermutlich eine Firewall zwischen Ihrem Server-Netzwerk und Ihrem Büronetzwerk erforderlich. In diesem Fall spreche ich über das Server-Netzwerk - warum Firewall etwas, das vollständig öffentlich zugänglich ist? - Ernie


Antworten:


Vorteile der Firewall:

  1. Sie können ausgehenden Datenverkehr filtern.
  2. Layer-7-Firewalls (IPS) können vor bekannten Anwendungsschwachstellen schützen.
  3. Sie können einen bestimmten IP-Adressbereich und / oder -Port zentral blockieren, anstatt zu versuchen, sicherzustellen, dass auf diesem Port auf jedem einzelnen Computer kein Dienst überwacht wird oder der Zugriff verweigert wird TCP-Wrapper.
  4. Firewalls können helfen, wenn Sie mit weniger sicherheitsbewussten Benutzern / Administratoren umgehen müssen, da diese eine zweite Verteidigungslinie darstellen. Ohne sie muss man absolut sicher sein, dass Hosts sicher sind, was ein gutes Sicherheitsverständnis von allen Administratoren erfordert.
  5. Firewall-Protokolle bieten zentrale Protokolle und helfen bei der Erkennung von vertikalen Scans. Mithilfe von Firewall-Protokollen können Sie feststellen, ob ein Benutzer / Client versucht, in regelmäßigen Abständen eine Verbindung mit dem gleichen Port aller Server herzustellen. Um dies ohne eine Firewall zu tun, müsste man Protokolle von verschiedenen Servern / Hosts kombinieren, um eine zentralisierte Ansicht zu erhalten.
  6. Firewalls kommen auch mit Anti-Spam / Anti-Virus-Modulen, die auch zum Schutz beitragen.
  7. Betriebssystemunabhängige Sicherheit. Basierend auf dem Host-Betriebssystem sind verschiedene Techniken / Methoden erforderlich, um den Host zu sichern. Beispielsweise sind TCP-Wrapper möglicherweise nicht auf Windows-Computern verfügbar.

Vor allem, wenn Sie keine Firewall haben und das System kompromittiert ist, wie würden Sie es dann erkennen? Der Versuch, einen Befehl 'ps', 'netstat' usw. auf dem lokalen System auszuführen, kann nicht als vertrauenswürdig angesehen werden, da diese Binärdateien ersetzt werden können. 'nmap' von einem Remote-System ist kein garantierter Schutz, da ein Angreifer sicherstellen kann, dass Root-Kit Verbindungen nur von ausgewählten Quell-IP-Adressen zu ausgewählten Zeiten akzeptiert.

Hardware-Firewalls helfen in solchen Szenarien, da Firewall-OS / -Dateien im Vergleich zu Host-OS / -Dateien extrem schwierig zu ändern sind.

Nachteile der Firewall:

  1. Die Leute glauben, dass die Firewall für die Sicherheit sorgt und die Systeme nicht regelmäßig aktualisiert und unerwünschte Dienste stoppt.
  2. Sie kosten. Manchmal muss eine jährliche Lizenzgebühr bezahlt werden. Vor allem, wenn die Firewall Anti-Virus- und Anti-Spam-Module enthält.
  3. Zusätzlicher einzelner Fehlerpunkt. Wenn der gesamte Datenverkehr durch eine Firewall verläuft und die Firewall ausfällt, wird das Netzwerk gestoppt. Wir können redundante Firewalls haben, aber der vorherige Punkt zu den Kosten wird noch verstärkt.
  4. Stateful Tracking bietet keinen Wert für öffentliche Systeme, die alle eingehenden Verbindungen akzeptieren.
  5. Stateful-Firewalls sind ein massiver Engpass während eines DDoS-Angriffs und sind häufig das erste, was fehlschlägt, weil sie versuchen, den Zustand zu halten und alle eingehenden Verbindungen zu überprüfen.
  6. Firewalls können verschlüsselten Datenverkehr nicht sehen. Seit dem ganzen Verkehr sollte Da die Firewalls Ende-zu-Ende verschlüsselt sind, bieten die meisten Firewalls vor öffentlichen Servern nur wenig Wert. Einige Firewalls der nächsten Generation können private Schlüssel erhalten, um TLS zu terminieren und innerhalb des Datenverkehrs zu sehen. Dies erhöht jedoch die Anfälligkeit der Firewall für DDoS noch mehr und durchbricht das Ende-zu-Ende-Sicherheitsmodell von TLS.
  7. Betriebssysteme und Anwendungen werden viel schneller gegen Sicherheitsanfälligkeiten gepatcht als Firewalls. Firewall-Anbieter sitzen oft auf bekannten Problemen Jahre ohne Patching und Patchen eines Firewall-Clusters erfordert in der Regel Ausfallzeiten für viele Dienste und ausgehende Verbindungen.
  8. Firewalls sind bei weitem nicht perfekt, und viele sind notorisch fehlerhaft. Firewalls sind nur Software, die auf irgendeiner Art von Betriebssystem läuft, vielleicht mit einem zusätzlichen ASIC oder FPGA zusätzlich zu einer (normalerweise langsamen) CPU. Firewalls haben Bugs, aber sie scheinen nur wenige Tools zu bieten. Daher fügen Firewalls Komplexität und eine zusätzliche Quelle von schwer zu diagnostizierenden Fehlern zu einem Anwendungsstapel hinzu.

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? Intrusion Detection ist nicht die Aufgabe der Firewall. Dieser Job wird durch das HIDS (Host-based Intrusion Detection System), das unabhängig von der Firewall ist, besser gehandhabt. - Steven Monday
Syslog-Server machen Punkt 5 überflüssig. Am besten senden Sie Ihre Firewall-Protokolle an einen Syslog-Server, falls ein Angreifer die Firewall kompromittieren und seine Protokolle löschen kann. Dann muss der Angreifer zwei Systeme kompromittieren, nur um die Protokolle zu löschen, und sie sind möglicherweise nicht darauf vorbereitet (insbesondere bei automatisierten Angriffen). Wenn alle Ihre Systeme eine zentrale Protokollierung aufweisen, erhalten Sie außerdem genauere Informationen zum Angriff, als Firewall-Protokolle bereitstellen können. - Ernie
Mein Punkt war, seit HIDS auf dem Host residiert, können wir seiner Ausgabe nicht vertrauen. Selbst wenn wir kryptografisch sicheres Tripwire als hostbasiertes IDS verwenden, kann der Angreifer immer alle Tripwire-Binärdateien (twadmin, tripwire, twprint usw.) durch kompromittierte Versionen ersetzen, die niemals Eindringlinge melden. Selbst wenn wir versuchen, Bibliotheken / Binärdateien von einem anderen System zu kopieren, kann ein Prozess ausgeführt werden, der diese kompromittierten Binärdateien überwacht und sie wieder durch eine beschädigte Version ersetzt, falls sie ersetzt oder aktualisiert werden. Eine Firewall, die unabhängig vom Host ist, kann in solchen Szenarien vertrauenswürdig sein. - Saurabh Barjatiya
Diese Antwort wurde gegenüber der populäreren akzeptiert, da sie bessere und umfassendere Gründe für die Verwendung einer Firewall bietet. Und nicht, in der Tat. - Ernie
Stateful Packet Inspection Firewalls gehören NICHT zu den Servern. Sie sind eine große Gefahr bei DDoS-Angriffen und sind in der Regel die ersten, die bei einem Angriff versagen. - rmalayter


TCP-Wrapper könnten wohl als Host-basierte Firewall-Implementierung bezeichnet werden; Sie filtern den Netzwerkverkehr.

Für einen Angreifer, der ausgehende Verbindungen an einem beliebigen Port herstellt, bietet eine Firewall eine Möglichkeit, den ausgehenden Datenverkehr zu steuern. Eine ordnungsgemäß konfigurierte Firewall verwaltet den Eintritt und Austritt auf eine Weise, die dem systembedingten Risiko angemessen ist.

Auf den Punkt, wie eine TCP-Schwachstelle nicht durch eine Firewall gemildert wird, sind Sie nicht vertraut mit der Funktionsweise von Firewalls. Cisco stellt eine ganze Reihe von Regeln zum Herunterladen zur Verfügung, die Pakete identifizieren, die so konstruiert sind, dass bestimmte Betriebssystemprobleme auftreten. Wenn du Snort schnappst und es mit dem richtigen Regelsatz startest, wirst du auch auf diese Art von Dingen aufmerksam gemacht. Und natürlich können Linux iptables bösartige Pakete herausfiltern.

Grundsätzlich ist eine Firewall proaktiver Schutz. Je weiter Sie davon entfernt sind, proaktiv zu sein, desto wahrscheinlicher ist es, dass Sie sich in einer Situation befinden, in der Sie auf ein Problem reagieren, anstatt das Problem zu verhindern. Wenn Sie Ihren Schutz an der Grenze konzentrieren, wie dies bei einer dedizierten Firewall der Fall ist, können Sie die Verwaltung vereinfachen, da Sie einen zentralen Engpasspunkt haben, anstatt Regeln überall zu duplizieren.

Aber keine einzige Sache ist notwendigerweise eine endgültige Lösung. Eine gute Sicherheitslösung ist in der Regel mehrschichtig, wo Sie eine Firewall am Rand, TCP-Wrapper am Gerät und wahrscheinlich auch einige Regeln für interne Router haben. Sie sollten das Netzwerk normalerweise vor dem Internet schützen und die Knoten voneinander schützen. Dieser mehrschichtige Ansatz ist nicht so, als würde man ein Loch durch mehrere Sperrholzplatten bohren, es ist eher so, als würde man zwei Türen aufstellen, so dass ein Eindringling zwei Schlösser statt nur eines hat; Dies wird in der physischen Sicherheit als eine Menschenfalle bezeichnet, und die meisten Gebäude haben einen Grund. :)


33
2017-11-12 22:04



Auch wenn sie sich in das Gebäude schleichen und die Innentür für ihren Freund öffnen, müssen sie auch die Außentür aufschließen und öffnen. (d. h. ohne eine externe Firewall kann jemand, der in Ihren Server gelangt, diesen direkt öffnen, während eine externe Firewall die offenen Ports weiterhin von außen blockiert) - Ricket
@ Ricket: Vielleicht könnten sie das, aber moderne Angreifer kümmern sich nicht um solche Dinge. Ihre Website wäre für einen Angreifer von besonderem Interesse, um mehr als nur das Hinzufügen Ihres Servers zu einer Zombiefarm zu tun. - Ernie
@Ernie - nein, es muss nur vorhanden sein, um automatisch nach freiem Speicherplatz für Warez, Kundendatenbanken, Finanzinformationen, Passwörtern und einem Botnet zu suchen - aber selbst das kann schlimm genug sein - einige Admins werden deine IP gerne schwarz schreiben wenn es so aussieht, als ob du Zombies bewirbst. - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementation+1 für eine großartige Antwort. - sjas


(Vielleicht möchten Sie lesen "Leben ohne Firewalls")

Jetzt: Was ist mit einem Legacy-System, für das keine Patches mehr veröffentlicht werden? Was ist, wenn Sie die Patches nicht zur gleichen Zeit auf N-machines anwenden können, während Sie sie gleichzeitig auf weniger Knoten im Netzwerk (Firewalls) anwenden können?

Es hat keinen Sinn, über die Existenz oder Notwendigkeit der Firewall zu diskutieren. Was wirklich zählt ist, dass Sie eine Sicherheitsrichtlinie implementieren müssen. Um dies zu tun, verwenden Sie die Tools, mit denen Sie es implementieren und verwalten, erweitern und weiterentwickeln. Wenn dazu Firewalls benötigt werden, ist das in Ordnung. Wenn sie nicht benötigt werden, ist das auch in Ordnung. Was wirklich zählt, ist eine funktionierende und überprüfbare Umsetzung Ihrer Sicherheitspolitik.


15
2017-11-12 21:31



Heh. Ich betreibe unser Server-Netzwerk in den letzten 8 Jahren ohne Firewall. ich könnte haben geschrieben "Leben ohne Firewalls", aber er hat einen besseren Job gemacht und läuft sowieso ein viel größeres Netzwerk als ich. - Ernie
@Ernie - Ich denke du hättest einfach Glück haben können. Woher weißt du, dass du nicht kompromittiert worden bist? Die Ergebnisse von forensischen Untersuchungen bei vielen meiner Kunden haben einen Kompromiss gefunden, der manchmal Monate zurückreicht, während die Angreifer persönliche und finanzielle Informationen, Kundendaten, geistiges Eigentum, Geschäftspläne usw. fanden. Wie Sean sagte - eine angemessene Sicherheitsüberprüfung durchführen lassen. - Rory Alsop
Abgesehen von der Tatsache, dass unser Server-Netzwerk physisch von unserem Büronetzwerk getrennt ist (und somit keine wirklich sensiblen Daten daraus gewonnen werden können, sogar mit Root-Zugriff auf jedem Server), konnte ich jeden einzelnen Kompromiss entdecken habe ich schon seit ich hier angefangen habe. Ich könnte über die Horror-Show, die es gab, als ich angefangen habe, weitergehen, aber ich habe nicht genug Platz. :) Es genügt zu sagen, dass die meisten Angriffe nicht subtil sind, und die subtilen sind auch erkennbar. Oh ja, und Benutzer-Privileg-Trennung ist dein Freund. - Ernie


Die meisten deiner Erklärungen scheinen eine Notwendigkeit für eine Firewall zu widerlegen, aber ich sehe keinen Grund, eine zu haben, abgesehen von der kleinen Menge an Zeit, um eine einzurichten.

Wenige Dinge sind eine "Notwendigkeit" in einer strengen Bedeutung des Wortes. Bei der Sicherheit geht es darum, alle möglichen Blockaden einzurichten. Je mehr Arbeit benötigt wird, um in den Server einzubrechen, desto geringer ist die Wahrscheinlichkeit eines erfolgreichen Angriffs. Sie möchten es besser machen, in Ihre Maschinen einzudringen als irgendwo anders. Das Hinzufügen einer Firewall macht mehr Arbeit.

Ich denke, ein Schlüsseleinsatz ist Redundanz in der Sicherheit. Ein weiterer Vorteil von Firewalls besteht darin, dass Sie Versuche, eine Verbindung zu einem beliebigen Port herzustellen, einfach fallen lassen können, anstatt auf abgelehnte Anfragen zu antworten - dies macht das Nmapping für einen Angreifer etwas unpraktischer.

Am wichtigsten für mich bei der praktischen Anmerkung Ihrer Frage ist, dass Sie SSH, ICMP und andere interne Dienste auf lokale Subnetze sperren können und eingehende Verbindungen begrenzen können, um DOS-Angriffe zu lindern.

"Der Punkt der Sicherheit ist es nicht, sich nach einem erfolgreichen Angriff zu verteidigen - das ist bereits bewiesen, dass es unmöglich ist - es ist, die Angreifer an erster Stelle zu halten."

Ich stimme dir nicht zu. Die Begrenzung von Schäden kann genauso wichtig sein. (unter diesem Ideal, warum Hash-Passwörter? Oder stecken Sie Ihre Datenbank-Software auf einem anderen Server als Ihre Web-Anwendungen?) Ich denke, das alte Sprichwort "kleben Sie nicht alle Ihre Eier in einem Korb" ist hier anwendbar.


9
2017-11-12 21:30



Nun, du hast Recht, ich habe dort keine Nachteile gesehen. Nachteile: erhöhte Netzwerkkomplexität, Single-Point-of-Failure, einzelne Netzwerkschnittstelle, durch die die Bandbreite knapp wird. Ebenso können administrative Fehler in einer Firewall Ihr gesamtes Netzwerk zerstören. Und Gottheiten verbieten, dass du dich zwischenzeitlich aussperrst, wenn es 20 Minuten zum Serverraum geht. - Ernie
Dies mag rein rhetorisch sein, aber wenn Sie sagen: "Sicherheit geht es darum, alle möglichen Blockaden aufzustellen", würde ich lieber hören "Sicherheit bedeutet mehr, alles standardmäßig zu blockieren und sorgfältig das strenge Minimum zu öffnen, um zu funktionieren". - MatthieuP
+1 Ein umfassender Sicherheitsplan umfasst Prävention, Erkennung und Reaktion. - Jim OHalloran


Should I firewall my server? Gute Frage. Es scheint, dass es wenig Sinn macht, eine Firewall oben auf einen Netzwerkstapel zu schlagen, der Verbindungsversuche zu allen außer den wenigen Ports, die rechtmäßig geöffnet sind, bereits zurückweist. Wenn es eine Sicherheitslücke im Betriebssystem gibt, die es böswillig manipulierten Paketen erlaubt, einen Host zu stören / auszunutzen, würde eine Firewall erforderlich sein läuft auf demselben Host den Exploit verhindern? Gut, könnte sein ...

Und das ist wahrscheinlich der stärkste Grund, eine Firewall auf jedem Host auszuführen: Eine Firewall könnte Verhindern, dass eine Netzwerk-Stack-Schwachstelle ausgenutzt wird. Ist das ein starker Grund? Ich weiß es nicht, aber ich denke, man könnte sagen: "Niemand wurde jemals entlassen, weil er eine Firewall installiert hat."

Ein weiterer Grund für das Ausführen einer Firewall auf einem Server besteht darin, diese beiden stark korrelierten Probleme zu entkoppeln:

  1. Von wo und zu welchen Ports akzeptiere ich Verbindungen?
  2. Welche Dienste laufen und überwachen Verbindungen?

Ohne eine Firewall bestimmt die Menge der ausgeführten Dienste (zusammen mit den Konfigurationen für tcpwrappers und dergleichen) vollständig die Menge der Ports, die der Server geöffnet hat und von denen Verbindungen akzeptiert werden. Eine hostbasierte Firewall bietet dem Administrator zusätzliche Flexibilität, um neue Dienste auf kontrollierte Art und Weise zu installieren und zu testen, bevor sie breiter verfügbar gemacht werden. Wenn eine solche Flexibilität nicht erforderlich ist, gibt es weniger Grund, eine Firewall auf einem Server zu installieren.

Zu guter Letzt gibt es einen Punkt, der in Ihrer Sicherheitscheckliste nicht erwähnt wird, den ich immer hinzufüge, und zwar ein Host-basiertes Intrusion Detection System (HIDS), wie z BERATER oder Samhain. Ein gutes HIDS macht es einem Eindringling extrem schwer, unerwünschte Änderungen am System vorzunehmen und unentdeckt zu bleiben. Ich glaube, dass alle Server eine Art von HIDS ausführen sollten.


8
2017-11-12 23:10



+1 für die Erwähnung von HIDS-Systemen. - Sam Halicke
HIDS sind großartig - Wenn Sie vorhaben, es einzustellen und es zu vergessen. Und fügen Sie niemals Konten hinzu oder löschen Sie sie. Ansonsten werden die meisten HIDS-Logs lange Listen von dem sein, was Sie heute gemacht haben, und werden am Ende immer wieder ignoriert. - Ernie
Kein Schmerz, kein Gewinn, wie sie sagen. Auf Servern mit vielen Änderungen ist es möglich, das erwartete Rauschen herauszufiltern, sodass Sie sich auf das Unerwartete konzentrieren können. - Steven Monday


Eine Firewall ist ein Werkzeug. Es macht die Dinge an sich nicht sicher, aber es kann einen Beitrag als Ebene in einem sicheren Netzwerk leisten. Das bedeutet nicht, dass Sie einen benötigen, und ich mache mir sicherlich Sorgen um Leute, die blind sagen: "Ich muss eine Firewall bekommen", ohne zu verstehen, warum sie so denken und wer die Stärken und Schwächen von Firewalls nicht versteht.

Es gibt viele Tools, die wir sagen können, die wir nicht brauchen ... Ist es möglich, einen Windows-Computer ohne Antivirus auszuführen? Ja, es ist ... aber es ist eine schöne Versicherungsschicht, um eine zu haben.

Ich würde das gleiche über Firewalls sagen - was immer man sonst über sie sagen kann, sie sind ein gutes Niveau der Versicherung. Sie sind kein Ersatz für das Patchen, das Sperren von Maschinen, das Deaktivieren von Diensten, die Sie nicht verwenden, das Protokollieren usw., aber sie können eine nützliche Ergänzung sein.

Ich würde auch vorschlagen, dass sich die Gleichung etwas ändert, je nachdem, ob Sie eine Firewall vor einer Gruppe sorgfältig gepflegter Server platzieren oder ein typisches LAN mit einer Mischung aus Workstations und Servern , von denen einige trotz der besten Bemühungen und Wünsche des IT-Teams einige ziemlich haarige Sachen laufen lassen könnten.

Eine weitere Sache, die es zu berücksichtigen gilt, ist der Vorteil, ein offensichtlich gehärtetes Ziel zu schaffen. Sichtbare Sicherheit, ob es helle Lichter, schwere Schlösser und eine offensichtliche Alarmbox an einem Gebäude sind; oder eine offensichtliche Firewall auf den IP-Adressen eines Unternehmens kann den zufälligen Eindringling davon abhalten, sich nach einer leichteren Beute umzusehen. Das wird den entschlossenen Eindringling nicht davon abhalten, zu wissen, dass Sie Informationen haben und entschlossen sind, es zu bekommen, aber es ist immer noch lohnenswert, die Gelegenheits-Eindringlinge abzuschrecken - besonders wenn Sie wissen, dass jeder Eindringling, dessen Sonden über die Abschreckung hinaus bestehen, besonders ernst genommen werden muss .


6
2017-11-12 22:25



Also der Grund, warum ich "Server" anstelle von "Office-Netzwerk" sagte? :) In unserem Fall sind das Rechenzentrum und das Büro zwei physisch getrennte Einheiten. - Ernie
Ich verstehe das, Ernie, aber es ist ein Punkt, der es wert ist, unterstrichen zu werden ... also tat ich es. - Rob Moir


Alle großen Fragen. ABER - Ich bin sehr überrascht, dass PERFORMANCE nicht an den Tisch gebracht wurde.

Bei stark (CPU-mäßig) verwendeten Web-Frontends verschlechtert die lokale Firewall die Leistung, den Zeitraum. Versuchen Sie einen Belastungstest und sehen Sie. Ich habe das viele Male gesehen. Durch das Deaktivieren der Firewall wurde die Leistung (Anforderung pro Sekunde) um 70% oder mehr erhöht.

Dieser Kompromiss muss in Betracht gezogen werden.


5
2017-11-13 22:28



Es hängt sehr stark von den Firewall-Regeln ab. Firewall-Regeln werden nacheinander auf jedem Paket ausgeführt, sodass Sie nicht Hunderte von Regeln haben möchten, die betrachtet werden müssen. Letzten Winter, als wir eine Website mit einer Werbung auf dem Superbowl verwalteten, waren die Firewall-Regeln zum Beispiel kein Problem. Aber ich stimme zu, dass Sie die Auswirkungen von Firewall-Regeln auf die Leistung verstehen müssen. - Sean Reifschneider


Eine Firewall ist zusätzlicher Schutz. Drei bestimmte Szenarien, gegen die es schützt, sind Netzwerkstack-Angriffe (dh Ihr Server-Betriebssystem weist eine Sicherheitslücke auf speziell gestalteten Paketen auf, die niemals die Ebene von Ports erreichen), eine erfolgreiche Verbindung zu "Telefon zuhause" (oder Spam versenden, oder was auch immer) ) oder eine erfolgreiche Intrusion, die einen Server-Port öffnet oder, weniger feststellbar, auf eine Port-Klopfsequenz wartet, bevor ein Port geöffnet wird. Zugegeben, die letzten beiden haben damit zu tun, den Schaden eines Einbruchs zu mindern, anstatt ihn zu verhindern, aber das bedeutet nicht, dass er nutzlos ist. Denken Sie daran, dass Sicherheit kein All-oder-Nichts-Vorschlag ist; Man verwendet einen mehrschichtigen Ansatz, Gürtel und Hosenträger, um ein Sicherheitsniveau zu erreichen, das für Ihre Bedürfnisse ausreicht.


4
2017-11-13 12:37



+1 Absolut, Verteidigung in der Tiefe ist der Schlüssel. - Jim OHalloran
Ich sehe nicht, wie ich erwarten kann, den ausgehenden Datenverkehr zu blockieren, besonders wenn unsere Kunden erwarten, dass viele unserer Server E-Mails an zufällige Hosts im Internet senden (wie es bei Spam der Fall ist). "Nach Hause telefonieren" ist nur eine Frage der Verbindung zu einem anderen zufälligen Host im Netz - und ich bezweifle, dass das Blockieren aller ausgehenden Verbindungen für einige wenige helfen wird, alles - wenn Sie wollen etwas im Internet. Und wenn man nur ein paar Häfen blockiert, baut man eine Mautstelle mitten in der Wüste auf. - Ernie


Ich bin kein Sicherheitsexperte, aber es klingt wie eine Firewall. Es scheint, als hätten Sie einige der Kernfunktionen einer Firewall übernommen und sie in Ihre Richtlinien und Verfahren integriert. Nein, Sie brauchen keine Firewall, wenn Sie selbst die gleiche Aufgabe wie eine Firewall erledigen. Was mich betrifft, würde ich lieber das Beste tun, was ich kann, um die Sicherheit aufrechtzuerhalten, aber ich habe eine Firewall, die mir über die Schulter schaut, aber irgendwann, wenn Sie alles tun können, was die Firewall tut, wird sie irrelevant.


3
2017-11-13 10:47





Eine Firewall wird für kleinere Setups sicherlich nicht benötigt. Wenn Sie einen oder zwei Server haben, können Software-Firewalls gewartet werden. Abgesehen davon, laufen wir nicht ohne dedizierte Firewalls, und es gibt einige Gründe, warum ich diese Philosophie beibehalten habe:

Trennung von Rollen

Server sind für Anwendungen. Firewalls dienen der Paketprüfung, Filterung und Richtlinien. Ein Webserver sollte sich darum kümmern, Webseiten zu bedienen, und das war's. Wenn Sie beide Rollen auf ein Gerät legen, ist das so, als ob Sie Ihren Buchhalter bitten würden, auch Ihr Wachmann zu sein.

Software ist ein bewegliches Ziel

Die Software auf dem Host ändert sich ständig. Anwendungen können eigene Firewall-Ausnahmen erstellen. Das Betriebssystem wird aktualisiert und gepatcht. Server sind ein stark frequentierter "Admin" -Bereich, und Ihre Firewall-Richtlinien / Sicherheitsrichtlinien sind für die Sicherheit häufig wichtiger als Ihre Anwendungskonfigurationen. Nehmen Sie in einer Windows-Umgebung an, dass jemand auf einer Gruppenrichtlinienebene einen Fehler macht und die Windows-Firewall auf den Desktopcomputern deaktiviert und nicht erkennt, dass sie auf die Server angewendet wird. Sie sind weit offen in wenigen Klicks.

Wenn Sie nur mit Updates sprechen, werden Firewall-Firmware-Updates in der Regel ein- oder zweimal im Jahr veröffentlicht, während Betriebssystem- und Service-Updates ständig verfügbar sind.

Wiederverwendbare Services / Richtlinien / Regeln, Verwaltbarkeit

Wenn ich einmal einen Dienst / eine Richtlinie namens "Web Server" (sagen wir TCP 80 und TCP 443) einrichte und ihn auf der Firewall-Ebene auf die "Webserver-Gruppe" anwende, ist das viel effizienter (ein paar Konfigurationsänderungen) und exponentiell weniger anfällig für menschliche Fehler als Firewall-Dienste auf 10 Boxen einzurichten und 2 x 10-mal zu öffnen. Wenn diese Richtlinie geändert werden muss, ist es 1 Änderung gegenüber 10.

Ich kann immer noch eine Firewall während eines Angriffs oder nach einem Kompromiss verwalten

Angenommen, meine hostbasierte Firewall + Anwendungsserver wird angegriffen und die CPU ist aus dem Diagramm. Um überhaupt herauszufinden, was passiert, bin ich der Last ausgeliefert, dass meine Ladung weniger ist als die des Angreifers, um hineinzukommen und es zu betrachten.

Eine echte Erfahrung - ich habe einmal eine Firewall-Regel vermasselt (Links zu ANY anstelle von einer bestimmten und Server hatte einen anfälligen Dienst), und der Angreifer hatte tatsächlich eine Live-Remote-Desktop-Sitzung mit der Box. Jedes Mal, wenn ich eine Sitzung starten würde, würde der Angreifer meine Sitzung beenden oder trennen. Wenn es nicht möglich wäre, diesen Angriff von einem unabhängigen Firewall-Gerät herunterzufahren, hätte das viel schlimmer sein können.

Unabhängige Überwachung

Die Anmeldung dedizierter Firewall-Einheiten ist Host-basierten Software-Firewalls in der Regel weit überlegen. Einige sind gut genug, dass Sie nicht einmal externe SNMP / NetFlow-Überwachungssoftware benötigen, um ein genaues Bild zu erhalten.

IPv4-Erhaltung

Es gibt keinen Grund, zwei IP-Adressen zu haben, wenn eine für Web und eine für Mail ist. Halten Sie die Dienste in separaten Boxen und routen Sie die Ports über das dafür vorgesehene Gerät entsprechend.


3
2017-11-13 16:06





Blockquote   Nun, du hast Recht, ich habe dort keine Nachteile gesehen. Nachteile: erhöhte Netzwerkkomplexität, Single-Point-of-Failure, einzelne Netzwerkschnittstelle, durch die die Bandbreite knapp wird. Ebenso können administrative Fehler in einer Firewall Ihr gesamtes Netzwerk zerstören. Und Gottheiten verbieten, dass du dich zwischenzeitlich aussperrst, wenn es 20 Minuten zum Serverraum geht.

Erstens ist das Hinzufügen von höchstens einem zusätzlichen gerouteten Hop durch Ihr Netzwerk nicht komplex. Zweitens ist keine Firewall-Lösung, die mit einem einzelnen Fehlerpunkt implementiert wird, völlig nutzlos. So wie Sie Ihren wichtigen Server oder Ihre wichtigen Dienste bündeln und verbundene NICs verwenden, implementieren Sie hochverfügbare Firewalls. Nicht zu tun, oder nicht zu erkennen und zu wissen, dass du das tust, ist sehr kurzsichtig. Einfach zu sagen, dass es eine einzige Schnittstelle gibt, macht nicht automatisch etwas zu einem Flaschenhals. Diese Behauptung zeigt, dass Sie keine Ahnung haben, wie Sie eine Firewall richtig planen und bereitstellen, die so dimensioniert ist, dass sie den Datenverkehr verarbeitet, der durch Ihr Netzwerk fließen würde. Sie haben Recht, wenn Sie sagen, dass ein Fehler in der Richtlinie Ihrem gesamten Netzwerk schaden kann, aber ich würde argumentieren, dass die Pflege einzelner Richtlinien auf all Ihren Servern weitaus fehleranfälliger ist als an einem einzigen Ort.

Was das Argument betrifft, dass Sie mit dem Sicherheits-Patching Schritt halten und die Sicherheitsrichtlinien befolgen; Das ist bestenfalls ein wackliges Argument. Normalerweise sind Sicherheitspatches erst verfügbar, nachdem eine Sicherheitslücke entdeckt wurde. Das bedeutet, dass Sie die gesamte Zeit, in der Sie öffentlich adressierbare Server ausführen, anfällig sind, bis sie gepatcht sind. Wie andere darauf hingewiesen haben, können IPS-Systeme dabei helfen, Kompromisse aus solchen Schwachstellen zu vermeiden.

Wenn Sie glauben, dass Ihre Systeme so sicher sind, wie sie sein können, ist das ein gutes Vertrauen. Ich würde jedoch empfehlen, dass Sie eine professionelle Sicherheitsüberprüfung in Ihrem Netzwerk durchführen lassen. Es kann nur deine Augen öffnen.


2
2017-11-14 03:57



It may just open your eyes. +1, da es der letzte Nagel im Sarg sein wird. - sjas