Почему я должен использовать серверы брандмауэра?

ОБРАТИТЕ ВНИМАНИЕ: Я не заинтересован в том, чтобы превратить это в пламенную войну! Я понимаю, что у многих людей есть убежденные убеждения в этом вопросе, в немалой степени, потому что они приложили много усилий для решения своих брандмауэров, а также потому, что они были проинструктированы, чтобы поверить в их необходимость.

Тем не менее, я ищу ответы от людей, которые эксперты в безопасности. Я считаю, что это важный вопрос, и ответ будет полезен не только для меня и для компании, в которой я работаю. Я уже несколько лет запускаю нашу серверную сеть без компромиссов, без каких-либо брандмауэров. Ни один из компрометаций безопасности, которые мы имели , не мог быть предотвращен с помощью брандмауэра.

Думаю, я работал здесь слишком долго, потому что когда я говорю «серверы», я всегда имею в виду «услуги, предлагаемые публике», а не «секретные внутренние биллинговые базы данных». Таким образом, любые правила, которые мы могли бы иметь в любых брандмауэрах, должны были бы обеспечить доступ ко всему Интернету. Кроме того, наши серверы общего доступа находятся в отдельном центре обработки данных, отделенном от нашего офиса.

Кто-то другой задал аналогичный вопрос, и мой ответ был проголосован за отрицательные цифры. Это заставляет меня думать, что либо люди, голосующие на этом, действительно не понимают моего ответа, либо я недостаточно понимаю безопасность, чтобы делать то, что я сейчас делаю.

Это мой подход к безопасности сервера:

  1. Следуйте за моей операционной системой правила безопасности до подключения моего сервера к Интернету.

  2. Используйте TCP-оболочки для ограничения доступа к SSH (и другим службам управления) на небольшое количество IP-адресов.

  3. Следить за состоянием этого сервера Munin . И исправить вопиющие проблемы безопасности, присущие Munin-узлу, в конфигурации по умолчанию.

  4. Nmap мой новый сервер (также перед подключением моего сервера к Интернету). Если бы я работал с брандмауэром на этом сервере, это должен быть точный набор входящих соединений портов, которые должны быть ограничены.

  5. Установите сервер в серверной комнате и дайте ему общедоступный IP-адрес.

  6. Обеспечьте безопасность системы с помощью функции обновления безопасности моей операционной системы.

Моя философия (и основа вопроса) заключается в том, что сильная защита на основе хоста устраняет необходимость в брандмауэре. В общей философии безопасности говорится, что надежная защита на основе хоста по-прежнему требуется, даже если у вас есть брандмауэр (см. правила безопасности ). Причина этого в том, что брандмауэр, который перенаправляет публичные службы на сервер, позволяет злоумышленнику точно так же, как и никакой брандмауэр. Это сама услуга уязвима, и поскольку предоставление этой услуги всему Интернету является требованием ее работы, ограничение доступа к ней не является точкой.

Если на сервере доступны порты, которые не должны быть доступны всему Интернету, то это программное обеспечение необходимо было отключить на шаге 1 и было проверено на шаге 4. Если злоумышленник успешно врывается на сервер через уязвимое программное обеспечение и сам открывает порт, злоумышленник может (и делать) так же легко победить любой брандмауэр, сделав вместо этого исходящее соединение на случайном порту. Точка безопасности не защищать себя после успешной атаки - это уже доказано, что это невозможно - это держать нападавших в первую очередь.

Было высказано предположение, что помимо открытых портов существуют другие соображения безопасности, но для меня это просто звучит как защита своей веры. Любые уязвимости операционной системы /стека TCP должны быть одинаково уязвимы, независимо от того, существует ли брандмауэр - на основе того факта, что порты перенаправляются непосредственно в эту операционную систему /стек TCP. Аналогично, запуск вашего брандмауэра на самом сервере, а не на его маршрутизаторе (или, что еще хуже, в обоих местах), кажется, добавляет ненужные уровни сложности. Я понимаю, что философия «безопасность идет в слоях», но наступает момент, когда это похоже на строительство крыши, укладывая X количество слоев фанеры поверх друг друга, а затем сверля отверстие через все из них. Другой слой фанеры не остановит утечки через отверстие, которое вы делаете специально.

Честно говоря, единственный способ, по которому я вижу, что брандмауэр используется для серверов, - это иметь динамические правила, предотвращающие все подключения ко всем серверам от известных злоумышленников, - например, RBL для спама (что по совпадению, в значительной степени является тем, что наша почта сервер делает). К сожалению, я не могунайти любые брандмауэры, которые это делают. Следующее лучшее - это IDS-сервер, но предполагается, что злоумышленник сначала не атакует ваши настоящие серверы, а злоумышленники пытаются исследовать атаку всей вашей сети до . Кроме того, они, как известно, создают большое количество ложных срабатываний.

101 голос | спросил Ernie 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 00:11:17 +0300 2010, 00:11:17

20 ответов


52

Преимущества брандмауэра:

  1. Вы можете фильтровать исходящий трафик.
  2. Брандмауэры уровня 7 (IPS) могут защитить от известных уязвимостей приложений.
  3. Вы можете заблокировать определенный диапазон IP-адресов и /или порт централизованно, а не пытаться убедиться, что нет обслуживания, прослушивающего этот порт на каждом отдельном компьютере, или запрещении доступа с помощью TCP Wrappers .
  4. Брандмауэры могут помочь, если вам приходится иметь дело с менее безопасными пользователями /администраторами, поскольку они обеспечат вторую линию защиты. Без них нужно быть абсолютно уверенным в том, что хосты безопасны, что требует хорошего понимания безопасности у всех администраторов.
  5. Журналы брандмауэра предоставят центральные журналы и помогут в поиске вертикальных сканирований. Журналы брандмауэра могут помочь в определении того, пытается ли какой-либо пользователь /клиент периодически подключаться к одному порту всех ваших серверов. Чтобы сделать это без брандмауэра, вам нужно будет объединять журналы с разных серверов /хостов, чтобы получить централизованное представление.
  6. Брандмауэры также поставляются с антиспамовыми /антивирусными модулями, которые также добавляют к защите.
  7. Независимая безопасность ОС. На основе ОС хоста требуются разные методы /методы для обеспечения безопасности хоста. Например, TCP Wrappers могут быть недоступны на компьютерах Windows.

Прежде всего, если у вас нет брандмауэра, а система скомпрометирована, то как вы его обнаружите? Попытка запустить некоторую команду «ps», «netstat» и т. Д. В локальной системе не может быть доверена, так как эти двоичные файлы могут быть заменены. «nmap» из удаленной системы не гарантируется защита, так как злоумышленник может гарантировать, что root-kit будет принимать соединения только с выбранных IP-адресов (IP-адресов) в выбранные моменты времени.

Брандмауэры оборудования помогают в таких сценариях, поскольку чрезвычайно сложно изменить OS /файлы брандмауэра по сравнению с ОС /файлами хоста.

Недостатки брандмауэра:

  1. Люди считают, что брандмауэр позаботится о безопасности и не будет регулярно обновлять системы и останавливать нежелательные сервисы.
  2. Они стоят. Иногда годовая лицензионная плата должна быть выплачена. Особенно, если брандмауэр имеет антивирусные и антиспамовые модули.
  3. Дополнительная одиночная точка отказа. Если весь трафик проходит через брандмауэр и брандмауэр выходит из строя, сеть остановится. У нас могут быть избыточные брандмауэры, но затем предыдущий пункт по стоимости становится еще более усиленным.
  4. Отслеживание состояния не обеспечивает ценности для общедоступных систем, которые принимают все входящие соединения.
  5. Брандмауэры с активными состояниями являются огромным узким местом во время DDoS-атаки и часто являются первыми, что терпит неудачу, поскольку они пытаются удерживать состояние и проверять все входящие соединения.
  6. Брандмауэры не могут видеть внутри зашифрованного трафика. Поскольку весь трафик должен быть зашифрованным от конца до конца, большинство брандмауэров мало ценят перед публичными серверами. Некоторым брандмауэрам следующего поколения могут быть предоставлены закрытые ключи для завершения TLS и просмотра внутри трафика, однако это повышает уязвимость брандмауэра к DDoS еще больше и разбивает сквозную модель безопасности TLS.
  7. Операционные системы и приложения исправлены от уязвимостей гораздо быстрее, чем брандмауэры. Поставщики брандмауэра часто встречаются в известных проблемах years без исправления, а для исправления кластера брандмауэра обычно требуется время простоя для многих служб и исходящих подключений.
  8. Брандмауэры далеки от совершенства, и многие из них, как известно, ошибочны. Брандмауэры - это просто программное обеспечение, работающее в какой-то форме операционной системы, возможно, с дополнительной ASIC или FPGA в дополнение к (обычно медленному) процессору. Брандмауэры имеют ошибки, но они, похоже, предоставляют несколько инструментов для их устранения. Поэтому брандмауэры добавляют сложность и дополнительный источник жесткой диагностики ошибок в стеке приложений.
ответил Saurabh Barjatiya 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 05:36:55 +0300 2010, 05:36:55
33

TCP Wrappers можно, возможно, назвать реализацией брандмауэра на основе хоста; вы фильтруете сетевой трафик.

В случае, когда злоумышленник создает исходящие соединения на произвольном порту, брандмауэр также обеспечит средство управления исходящим трафиком; правильно настроенный брандмауэр управляет доступом и выходом таким образом, который подходит для риска, связанного с системой.

Что касается того, как уязвимость TCP не устранена брандмауэром, вы не знакомы с тем, как работают брандмауэры. Cisco имеет целую кучу правил, доступных для загрузки, которые идентифицируют пакеты, сконструированные таким образом, чтобы вызвать определенные проблемы с операционными системами. Если вы захватите Snort и начнете запускать его с помощью правильного набора правил, вы также получите предупреждение об этом. И, конечно же, Linux iptables может отфильтровывать вредоносные пакеты.

В принципе, брандмауэр является активной защитой. Чем дальше вы избегаете быть активным, тем вероятнее, что вы окажетесь в ситуации, когда вы реагируете на проблему, а не на предотвращение проблемы. Концентрация вашей защиты на границе, как и с помощью специального брандмауэра, упрощает управление, поскольку у вас есть центральный затвор, а не дублирование правил во всем мире.

Но ни одна вещь не обязательно является окончательным решением. Хорошее решение безопасности, как правило, многоуровневое, где у вас есть брандмауэр на границе, обертки TCP на устройстве и, возможно, некоторые правила и на внутренних маршрутизаторах. Обычно вы должны защищать сеть от Интернета и защищать узлы друг от друга. Этот многослойный подход не похож на сверление отверстия через несколько листов фанеры, это больше похоже на создание пары дверей, чтобы злоумышленник имел два замка, чтобы сломать вместо одного; это называется человеческая ловушка в физической безопасности, и в большинстве случаев у каждого здания есть причина. :)

ответил dannysauer 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 01:04:12 +0300 2010, 01:04:12
15

(Вы можете прочитать « Жизнь без брандмауэров ")

Теперь: как насчет того, чтобы иметь устаревшую систему, для которой никакие патчи не публикуются? Как насчет того, что вы не сможете применять исправления к N-машинам в то время, когда вам это нужно, в то же время вы можете применять их в меньшем количестве узлов в сети (брандмауэрах)?

Нет смысла обсуждать существование или необходимость брандмауэра. Важно то, что вам необходимо внедрить политику безопасности. Для этого вы будете использовать любые инструменты, которые будут внедрять его, и помогут вам управлять, расширять и развивать его. Если для этого нужны брандмауэры, все в порядке. Если они не нужны, это тоже хорошо. Что действительно важно, так это выполнение и проверка вашей политики безопасности.

ответил adamo 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 00:31:13 +0300 2010, 00:31:13
9

Большинство ваших объяснений, по-видимому, опровергают необходимость в брандмауэре, но я не вижу возможности иметь один, кроме небольшого количества времени, чтобы установить его.

Немного вещей - это «необходимость» в строгом значении этого слова. Безопасность - это больше о том, как настроить все блокировки. Чем больше работы требуется для взлома вашего сервера, тем меньше вероятность успешной атаки. Вы хотите сделать больше работы, чтобы проникнуть в ваши машины, чем где-либо еще. Добавление брандмауэра делает больше работы.

Я думаю, что ключевое использование - это избыточность в безопасности. Еще один плюс брандмауэров - вы можете просто отказаться от попыток подключиться к любому порту, а не отвечать на отклоненные запросы - это сделает nmapping немного более неудобным для злоумышленника.

Самое важное для меня в практической ноте вашего вопроса: вы можете заблокировать SSH, ICMP и другие внутренние службы до локальных подсети, а также ограничить скорость входящих подключений, чтобы облегчить атаки DOS.

«Точка безопасности - это не защищать себя после успешной атаки - это уже доказано, что это невозможно, - в первую очередь держать нападавших».

Я не согласен. Ограничение ущерба может быть столь же важным. (в соответствии с этим идеалом, почему хеш-пароли? или придерживаться вашего программного обеспечения базы данных на другом сервере, чем ваши веб-приложения?) Я думаю, что старая поговорка «Не придерживайте все яйца в одной корзине» применима здесь.

ответил Joshua Enfield 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 00:30:57 +0300 2010, 00:30:57
8

Should I firewall my server? Хороший вопрос. Казалось бы, нет смысла указывать брандмауэр поверх сетевого стека, который уже отклоняет попытки подключения ко всем, кроме нескольких портов, которые законно открыты. Если в ОС есть уязвимость, позволяющая вредоносным пакетам нарушать /использовать хост, будет ли брандмауэр работать на том же хосте предотвратить эксплойт? Ну, возможно ...

И это, вероятно, самая сильная причина для запуска брандмауэра на каждом хосте: брандмауэр может предотвращать использование уязвимости сетевого стека. Это достаточно сильная причина? Я не знаю, но, полагаю, можно было бы сказать: «Никто не был уволен за установку брандмауэра».

Еще одна причина для запуска брандмауэра на сервере заключается в том, чтобы отделить эти две, сильно сильно связанные проблемы:

  1. Откуда и в каких портах я принимаю подключения?
  2. Какие службы работают и прослушивают подключения?

Без брандмауэра набор запущенных сервисов (вместе с конфигурациями для tcpwrappers и т. д.) полностью определяет набор портов, которые сервер будет открыт, и от кого будут приняты соединения. Брандмауэр на базе хоста предоставляет администратору дополнительную гибкость для установки и тестирования новых сервисов контролируемым образом, прежде чем сделать их более доступными. Если такая гибкость не требуется, то есть меньше причин устанавливать брандмауэр на сервере.

В заключительной заметке есть один элемент, который не упоминается в вашем контрольном списке безопасности, который я всегда добавляю, и это система обнаружения вторжений на основе хоста (HIDS), такая как AIDE или samhain . Хорошая HIDS делает чрезвычайно трудным для злоумышленника внесение нежелательных изменений в систему и оставаться незамеченным. Я считаю, что на всех серверах должно быть какое-то HIDS.

ответил Steven Monday 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 02:10:49 +0300 2010, 02:10:49
6

Брандмауэр - это инструмент. Он сам не делает вещи безопасными, но может вносить вклад в качестве слоя в защищенной сети. Это не значит, что вам это нужно, и я, конечно, беспокоюсь о людях, которые слепо говорят «Я должен получить брандмауэр», не понимая, почему они так думают и кто не понимает сильные и слабые стороны брандмауэров.

Есть много инструментов, которые мы можем сказать, что нам не нужно ... Возможно ли запустить компьютер с Windows без антивируса? Да, это ... но это хороший уровень страхования, чтобы иметь его.

Я бы сказал то же самое о брандмауэрах - что бы вы ни говорили о них, это хороший уровень страхования. Они не заменяют исправления, для блокировки машин, для отключения служб, которые вы не используете, для ведения журнала и т. Д., Но они могут быть полезным дополнением.

Я бы также предположил, что уравнение несколько меняется в зависимости от того, говорите ли вы о размещении брандмауэра перед группой тщательно обработанных серверов, как вам кажется, или типичной локальной сети с сочетанием рабочие станции и серверы, некоторые из которых могут работать с довольно волосатыми материалами, несмотря на все усилия и пожелания ИТ-команды.

Еще одна вещь, которую следует учитывать, - это преимущество создания явно застывшей цели. Видимая безопасность, будь то яркие огни, тяжелые замки и явная сигнализация на здании; или очевидный брандмауэр на бизнес-диапазоне IP-адресов может сдержать случайный злоумышленник - они пойдут искать более легкую добычу. Это не сдерживает определенного злоумышленника, который знает, что у вас есть информация, которую они хотят, и полон решимости получить его, но сдерживание случайных злоумышленников по-прежнему стоит того, особенно если вы знаете, что любой злоумышленник, чьи зонды сохраняются мимо сдерживающего фактора, должен быть особенно воспринят .

ответил Rob Moir 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 01:25:34 +0300 2010, 01:25:34
4

Брандмауэр - дополнительная защита. Три конкретных сценария, которые он защищает от сетевых атак (например, ваша серверная ОС имеет уязвимость для специально созданных пакетов, которые никогда не достигают уровня портов), успешное вторжение, создающее соединение с «домашним телефоном» (или отправка спама или что-то еще ), или успешное вторжение, открывающее порт сервера или, менее заметное, наблюдение за последовательностью деления порта перед открытием порта. Конечно, последние два связаны с уменьшением ущерба от вторжения, а не с его предотвращением, но это не значит, что это бесполезно. Помните, что безопасность не является предложением «все или ничего»; один берет многоуровневый подход, пояс и подтяжки, чтобы достичь уровня безопасности, достаточного для ваших нужд.

ответил Greg 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 15:37:08 +0300 2010, 15:37:08
4

Все большие вопросы. НО - Я очень удивлен. ПРОИЗВОДИТЕЛЬНОСТЬ не была приведена к столу.

Для высокопроизводительных (основанных на процессоре) интерфейсов веб-интерфейса локальный брандмауэр действительно снижает производительность, период. Попробуйте загрузить тест и посмотрите. Я видел это много раз. Отключение брандмауэра увеличило производительность (запрос в секунду) на 70% и более.

Этот компромисс должен быть рассмотрен.

ответил Ariel 14 72010vEurope/Moscow11bEurope/MoscowSun, 14 Nov 2010 01:28:38 +0300 2010, 01:28:38
3

Я не эксперт по безопасности, но звучит так, как будто вы брандмауэр. Кажется, что вы использовали некоторые основные функции брандмауэра и сделали его частью своих политик и процедур. Нет, вам не нужен брандмауэр, если вы собираетесь выполнять ту же работу, что и брандмауэр. Что касается меня, я бы предпочел сделать все возможное, чтобы поддерживать безопасность, но у меня брандмауэр просматривает мое плечо, но в какой-то момент, когда вы можете делать все, что делает брандмауэр, оно начинает становиться неуместным.

ответил SteelToad 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 13:47:09 +0300 2010, 13:47:09
3

Брандмауэр, конечно, не нужен для небольших настроек. Если у вас один или два сервера, программные брандмауэры можно обслуживать. С учетом сказанного мы не работаем без специальных брандмауэров, и есть несколько причин, почему я поддерживаю эту философию:

Разделение ролей

Серверы предназначены для приложений. Брандмауэры предназначены для пакетной проверки, фильтрации и политик. Веб-сервер должен беспокоиться о обслуживании веб-страниц, и все. Помещение обеих ролей на одном устройстве - это как просить вашего бухгалтера также быть вашим охранником.

Программное обеспечение - это движущаяся цель

Программное обеспечение на хосте всегда меняется. Приложения могут создавать собственные исключения брандмауэра. ОС обновляется и исправляется. Серверы - это «админ» с высоким трафиком, и ваши политики брандмауэра /политики безопасности часто намного важнее безопасности, чем конфигурации вашего приложения. В среде Windows предположим, что кто-то допустил ошибку на уровне групповой политики и отключил брандмауэр Windows на ПК настольных компьютеров и не понимает, что он будет применяться к серверам. Вы широко открыты в процессе кликов.

Говоря об обновлениях, обновления прошивки брандмауэра обычно выходят один или два раза в год, а обновления ОС и служб - это постоянный поток.

Многоразовые службы /политики /правила, управляемость

Если я однажды установил службу /политику под названием «Веб-сервер» (скажем, TCP 80 и TCP 443) и применил ее к «группе веб-серверов» на уровне брандмауэра, это намного эффективнее (пара изменения конфигурации) и экспоненциально менее подвержены человеческой ошибке, чем настройка служб брандмауэра на 10 ящиков и открытие 2 портов x 10 раз. Когда эта политика должна измениться, это 1 изменение против 10.

Я могу управлять брандмауэром во время атаки или после компрометации

Скажем, что мой сервер брандмауэра + на базе хоста атакуется, а CPU отключен от графика. Чтобы даже начать выяснять, что происходит, я нахожусь во власти моего груза, меньше, чем атакующий, чтобы даже войти и посмотреть на него.

Фактический опыт. Я однажды испортил правило брандмауэра (левые порты были ЛЮБЫМИ, а не конкретными, а сервер имел уязвимую службу), и у злоумышленника на самом деле был сеанс удаленного рабочего стола. Каждый раз, когда я начинаю получать сеанс, злоумышленник убьет /отключит сеанс. Если бы не было возможности отключить эту атаку от независимого устройства брандмауэра, это могло бы быть намного хуже.

Независимый мониторинг

Регистрация в выделенных блоках брандмауэра обычно намного превосходит протоколы брандмауэров на базе хоста. Некоторые из них достаточно хороши, что вам даже не нужно внешнее программное обеспечение SNMP /NetFlow для получения точной картины.

Сохранение IPv4

Нет причин иметь два IP-адреса, если один для Интернета, а один - для почты. Храните службы в отдельных блоках и соответствующим образом прокладывайте порты через устройство, предназначенное для этого.

ответил Brandon 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 19:06:40 +0300 2010, 19:06:40
2
  

Blockquote   Ну, ты прав, я не помещал там никаких минусов. Минусы: повышенная сложность сети, единая точка отказа, один сетевой интерфейс, через который пропускная способность является узким местом. Аналогично, административные ошибки, сделанные на одном брандмауэре, могут убить всю вашу сеть. И боги запрещают вам блокировать себя из-за этого, когда это 20 минутная поездка в серверную комнату.

Во-первых, добавление не более одного дополнительного маршрутизируемого скачка через вашу сеть не является сложным. Во-вторых, ни одно решение брандмауэра, реализованное с любой точкой отказа, совершенно бесполезно. Так же, как вы кластерируете свой важный сервер или службы и используете связанные сетевые адаптеры, вы реализуете высокодоступные брандмауэры. Не делать этого или не признавать и зная, что вы это сделаете, очень недальновидно. Просто заявив, что существует один интерфейс, он не делает автоматическое создание узкого места. Это утверждение показывает, что вы не знаете, как правильно планировать и развертывать брандмауэр, чтобы обрабатывать трафик, который будет проходить через вашу сеть. Вы правильно говорите, что ошибка в политике может нанести вред всей вашей сети, но я бы сказал, что поддержание отдельных политик на всех ваших серверах гораздо более подвержено ошибкам, чем одно место.

Что касается аргумента, что вы не отстаете от исправления безопасности и следуете руководствам по безопасности; в лучшем случае это шаткий аргумент. Обычно исправления безопасности недоступны до тех пор, пока не будет обнаружена уязвимость. Это означает, что все время, когда вы запускаете общедоступные адресуемые серверы, они уязвимы до тех пор, пока они не будут исправлены. Как указывали другие, системы IPS могут помочь предотвратить компрометацию таких уязвимостей.

Если вы считаете, что ваши системы настолько безопасны, насколько это возможно, это хорошая уверенность. Тем не менее, я бы рекомендовал вам провести аудит безопасности в вашей сети. Это может просто открыть глаза.

ответил Sean 14 72010vEurope/Moscow11bEurope/MoscowSun, 14 Nov 2010 06:57:46 +0300 2010, 06:57:46
2

В целом безопасность - это луковая вещь, как уже упоминалось. Есть причины, по которым существуют брандмауэры, и не все остальные лемминг являются глупыми идиотами.

Этот ответ приходит, поскольку поиск «fail2ban» на этой странице не дал мне никаких результатов. Поэтому, если я удвою другой контент, несите меня. И извините меня, если я расскажу немного, я предоставляю простой опыт, поскольку это может пригодиться другим. :)

Сетевые соображения, локальные и внешние

Это скорее конкретный Linux, и он концентрируется на брандмауэре на основе хоста, который обычно используется. Внешний брандмауэр идет рука об руку с надлежащей структурой сети, и другие соображения безопасности обычно идут на это. Либо вы знаете, что здесь подразумевается, тогда вам, вероятно, не понадобится эта публикация. Или вы этого не сделаете, затем просто прочитайте.

Запуск брандмауэров извне и локально может показаться противоречивой и двойной работой. Но это также дает возможность поворота правил на внешнем, без ущерба для безопасности на всех остальных хостах, находящихся за ним. Потребность может возникнуть либо из-за отладки, либо из-за того, что кто-то просто испортил. Другой вариант использования будет описан в разделе «адаптивный глобальный брандмауэр», для которого вам также понадобятся как глобальные, так и локальные брандмауэры.

Стоимость и доступность и одна и та же история:

Брандмауэр - это всего лишь один из аспектов надлежащей защищенной системы. Не устанавливая брандмауэр, поскольку он «стоит» денег, вводит SPOF или что-то другое, просто прощайте мой французский. Просто настройте кластер. О, но что, если пожарная ячейка отключится? Затем настройте свой кластер на два или более пожарных отсека.

Но что, если весь центр обработки данных недоступен, поскольку оба внешних оператора не работают (экскаватор убил ваше волокно)? Просто сделайте свой кластер, охватывающий несколько центров обработки данных.

Это дорого? Кластеры слишком сложны? Ну, за паранойю нужно заплатить.

Просто скулить о SPOF, но не желая платить больше денег или создавать немного более сложные настройки, является очевидным случаем двойных стандартов или всего лишь небольшого кошелька на стороне компании или клиента.

Этот шаблон применяется ко всем этим обсуждениям, независимо от того, какая служба является текущим делом дня. Независимо от того, является ли это шлюзом VPN, Cisco ASA используется только для брандмауэра, базы данных MySQL или PostgreSQL, виртуальной системы или серверного оборудования, бэкэнда хранилища, коммутаторов /маршрутизаторов, ...

К настоящему моменту вы должны получить эту идею.

Зачем беспокоиться о брандмауэре?

В теории ваши рассуждения звучат. (Доступны только запущенные службы.)

Но это только половина правды. Брандмауэр, особенно брандмауэр с состоянием, может сделать гораздо больше для вас. Брандмауэры без учета состояния важны только в том случае, если вы испытываете проблемы с производительностью, как уже упоминалось ранее.

Простой, центральный, дискретный контроль доступа

Вы упомянули TCP-обертки, которые реализуют в основном те же функции для обеспечения безопасности. Ради аргумента, давайте предположим, что кто-то не знает о tcpd и любит использовать мышь? fwbuilder может прийти в голову.

Наличие полного доступа из вашей сети управления - это то, что вы должны включить, что является одним из первых случаев использования брандмауэра на основе вашего хоста.

Как насчет настройки нескольких серверов, где база данных работает где-то в другом месте, и по какой-либо причине вы не можете поместить обе /все машины в общую (закрытую) подсеть? Используйте брандмауэр, чтобы разрешить доступ MySQL на порт 3306 только для одного заданного IP-адреса другого сервера, сделанного простым.

И это также безупречно работает для UDP. Или любой протокол. Брандмауэры могут быть настолько проклятыми. ;)

Снижение Portscan

Кроме того, при использовании брандмауэра общие порты могут быть обнаружены и уменьшены, так как количество подключений в разное время может контролироваться через ядро ​​и его сетевой стек, и брандмауэр может действовать на это.

Также недопустимые или неясные пакеты могут быть обработаны до того, как они когда-либо достигнут вашего приложения.

Ограничение исходящего трафика

Фильтрация исходящего трафика обычно является болью в заднице. Но это может быть необходимо, в зависимости от контракта.

Статистика

Еще одна вещь, которую может предоставить вам брандмауэр, - это статистика. (Think watch -n1 -d iptables -vnxL INPUT с добавлением некоторых правил для специальных IP-адресов в верхней части страницы, чтобы увидеть, проходят ли пакеты.)

Вы можете видеть при дневном свете, если все работает, или нет. Что очень полезно при устранении неполадок соединений и в состоянии рассказать другому человеку по телефону, что вы не получаете пакеты, не прибегая к chatty tcpdump. Сеть - это весело, большинство людей просто знают, что они делают, и все это часто приводит к простым ошибкам маршрутизации. Черт, даже я не всегда знаю, что делаю. Хотя я работал с буквально десятками сложных систем и приборов, часто с туннелированием,тоже к настоящему времени.

IDS /IPS

Брандмауэр Layer7 обычно является змеиным маслом (IPS /IDS), если не регулярно и регулярно обновляется. Плюс, лицензии прокляты дорого, поэтому я бы сэкономил, если у вас нет реальной потребности в том, чтобы все деньги могли купить вас.

Masqerading

Просто, просто попробуйте это с вашими обертками. : D

Локальная переадресация портов

Смотрите маскарады.

Защита каналов доступа к паролю с динамическими IP-адресами

Как насчет того, имеют ли клиенты динамические IP-адреса и нет развертывания VPN? Или другие динамические подходы к брандмауэру? Это уже намечено в вопросе, и здесь придет использование для К сожалению, я не могу найти какие-либо брандмауэры, которые это делают. part.

Отключение доступа к учетной записи root с помощью пароля является обязательным. Даже если доступ ограничен определенными IP-адресами.

Кроме того, все еще есть еще одна учетная запись, заполненная паролем, если ключи ssh теряются или неудача развертывания очень удобна, если что-то действительно не так (пользователь имеет административный доступ к машине и «что-то случилось»?). Это та же идея для доступа к сети, поскольку она имеет однопользовательский режим в Linux или с помощью init=/bin/bash через grub для локального доступа действительно очень плохо и не может по какой-либо причине используйте живой диск. Не смейтесь, есть продукты виртуализации, запрещающие это. Даже если функциональность существует, что делать, если устаревшая версия программного обеспечения лишена функциональности?

Во всяком случае, даже если вы запустите своего ssh-демона на каком-то эзотерическом порту, а не на 22, если не реализовали такие вещи, как детонация порта (чтобы открыть еще один порт и, таким образом, смягчить порты, медленно граничив с тем, что он слишком непрактичен), сканирование портов в конечном итоге обнаружит ваш сервис.

Обычно вы также настраиваете все серверы с одинаковой конфигурацией с теми же портами и службами по соображениям эффективности. Вы не можете настроить ssh на другой порт на каждом компьютере. Кроме того, вы не можете изменять его на всех машинах каждый раз, когда считаете его «общедоступной» информацией, поскольку он уже после сканирования. Вопрос о nmap, который является законным или нет, не является проблемой при наличии взломанного Wi-Fi-соединения в вашем распоряжении.

Если эта учетная запись не называется «root», люди могут не угадать имя учетной записи пользователя вашего «бэкдора». Но они будут знать, если они получат еще один сервер от вашей компании или просто купят какое-то веб-пространство, а также будут иметь unchrooted /unjailed /uncontainered взгляд на /etc/passwd.

Для чисто теоретических иллюстраций теперь они могут использовать веб-сайт с взломом, чтобы получить доступ к вашему серверу и посмотреть, как обычно делаются на вашем месте. Ваши инструменты поиска взлома могут не работать 24/7 (как правило, они работают ночью по причинам производительности диска для сканирования файловой системы?), А ваши антивирусные сканеры не обновляют вторую новую Plesk рассказывает вам все, что вам не хотелось бы знаете, если бы вы когда-либо делали, но то, что я не пытаюсь здесь подразумевать, конечно. :)

Адаптивная глобальная межсетевая защита

fail2ban - это просто одно приложение, которое использует что-то в строках iptables, но вы можете легко создать такой материал с помощью некоторой магии Bash довольно быстро.

Чтобы еще больше расширить что-то подобное,агрегировать все IP-адреса fail2ban с серверов в вашей сети на дополнительном сервере, который курирует все списки и передает их по очереди на ваши основные брандмауэры, блокирующие весь трафик, уже расположенный на краю вашей сети.

Такая функциональность не может быть продана (конечно, может, но это будет просто хрупкая система и сосать), но она должна быть переплетена в вашу инфраструктуру.

В то время как на нем вы также можете использовать IP-адреса черного списка или списки из других источников, будь то агрегированные сами или внешние.

ответил sjas 9 AM00000010000000131 2015, 01:46:01
1

В физическом мире люди ценят ценности, помещая их в сейфы. Но нет никакой безопасности, которая не может быть разбита. Сейфы или контейнеры безопасности оцениваются с точки зрения того, сколько времени требуется для принудительного ввода. Цель сейфа заключается в том, чтобы задержать атакующего достаточно долго, чтобы они были обнаружены, а активные меры затем прекратили атаку.

Аналогичным образом, правильное предположение о безопасности заключается в том, что ваши подвергнутые воздействию машины, в конечном счете, будут скомпрометированы. Брандмауэры и хосты бастиона не настроены для предотвращения вашего компрометации вашего сервера (с вашими ценными данными), но чтобы заставить злоумышленника сначала скомпрометировать их и позволить вам обнаружить (и сдержать) атаку до потери ценностей.

Обратите внимание, что ни межсетевые экраны, ни банковские хранилища не защищают от инсайдерских угроз. Это одна из причин, по которым банковские бухгалтеры берут две недели, оставляют подряд, а для серверов - полные внутренние меры безопасности, даже если они защищены бастионными хостами.

В исходном сообщении вы, похоже, указываете, что вы отправляете пакеты «внешнего мира» через ваш брандмауэр непосредственно на ваш сервер. В этом случае, да, ваш брандмауэр не очень много работает. Лучшая защита периметра выполняется с помощью двух брандмауэров и хоста бастиона, где нет прямого логического соединения извне внутрь - каждое соединение заканчивается на бастионном холле DMZ; каждый пакет проверяется соответствующим образом (и, возможно, разбирается) перед пересылкой.

ответил mpez0 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 17:15:49 +0300 2010, 17:15:49
1

Угрозы трудно предсказать. Практически невозможно предсказать, каким образом ваша инфраструктура будет эксплуатироваться. Наличие брандмауэра «повышает планку» для злоумышленника, который хочет использовать уязвимость, и это важная часть, прежде чем вы узнаете, что такое уязвимость. Кроме того, разветвление брандмауэра можно легко понять заранее, так что вы вряд ли будете ПРИЧИНЫ проблемы с брандмауэром, которые являются более серьезными, чем проблемы, которые вы, вероятно, избежите.

Вот почему «никто не был уволен за установку брандмауэра». Их реализация представляет собой очень низкий риск и имеет высокую вероятность предотвращения или смягчения эксплойта. Кроме того, большинство действительно неприятных уязвимостей в конечном итоге эксплуатируется с помощью автоматизации, поэтому любое «необычное» приведет к сломанию бота или, по крайней мере, позволит ему пропустить вас в пользу более легкой цели.

Боковое примечание; брандмауэры не только для Интернета. Ваш учетный отдел. не нужно ssh /независимо от вашего сервера ldap, поэтому не давайте им. Разделение внутренних служб может иметь большое значение для работы по очистке в случае, если что-то нарушает стены замка.

ответил Enki 14 72010vEurope/Moscow11bEurope/MoscowSun, 14 Nov 2010 05:39:09 +0300 2010, 05:39:09
1

Должен сказать Эрни, что, хотя вы, похоже, много делаете, чтобы закрепить свои серверы и смягчить атаки и уязвимости, я не согласен с вашей позицией в брандмауэрах.

Я отношусь к безопасности немного как к луку, в идеале у вас есть слои, которые вам нужно пройти, прежде чем вы дойдете до сути, и лично я считаю, что это сильно ошибочно, чтобы не иметь какой-то аппаратный брандмауэр на вашем сетевом периметре.

Я признаю, что я прихожу к этому из «того, что я привык», но я знаю, что каждый месяц я получаю прекрасный небольшой список этих месяцев от Microsoft, многие из которых используются в дикой природе. Я бы предположил, что это происходит практически для любой ОС и набора приложений, о которых вы думаете.

Теперь я не предлагаю, чтобы брандмауэры покончили с этим, и брандмауэры не защищены от ошибок /уязвимостей, очевидно, что «аппаратный» брандмауэр - это просто программное обеспечение, работающее на аппаратном стеке.

Тем не менее, я сплю гораздо безопаснее, зная, что если у меня есть сервер, которому нужен только порт 443, доступный из Интернета, мой периметр Juniper гарантирует, что только порт 443 доступен из Интернета. Не только это, но и мой Palo Alto гарантирует, что входящий трафик будет дешифрован, проверен и зарегистрирован, а также проверен на IPS /IDS - не то, что он устраняет необходимость обеспечения безопасности и обновления сервера (ов) но почему бы вам не найти эту выгоду, учитывая, что она может смягчить эксплойты с нулевым днем ​​и добрые человеческие ошибки?

ответил flooble 14 72010vEurope/Moscow11bEurope/MoscowSun, 14 Nov 2010 14:04:08 +0300 2010, 14:04:08
1

Прежде всего, говоря о переадресации портов, я думаю, что вы объединяете брандмауэр с NATing. Хотя в наши дни NAT очень часто функционируют как фактические брандмауэры, это не та цель, для которой они были разработаны. NAT - это инструмент маршрутизации. Брандмауэры предназначены для регулирования доступа. Для ясности мысли важно четко различать эти понятия.

Конечно, верно, что размещение сервера за ящиком NAT, а затем настройка NAT для перенаправления чего-либо на этот сервер, не более безопасно, чем размещение сервера непосредственно в Интернете. Я не думаю, что кто-то будет спорить с этим.

Аналогичным образом, брандмауэр, настроенный на то, чтобы весь трафик вообще не был межсетевым экраном.

Но, действительно ли «разрешить весь трафик», какую политику вы хотите? Кто-нибудь когда-либо нуждается в ssh для любого из ваших серверов с русского IP-адреса? Пока вы занимаетесь настройкой какого-то нового экспериментального сетевого демона, нужен ли всему миру доступ к нему?

Сила брандмауэра заключается в том, что он позволяет вам открывать только те службы, которые, как вам известно, должны быть открытыми и поддерживать единую точку управления для реализации этой политики.

ответил dfranke 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 00:45:03 +0300 2010, 00:45:03
1

Брандмауэры с пакетной проверкой состояния не относятся к публичным серверам. Вы принимаете все подключения, поэтому отслеживание состояния довольно бесполезно. Традиционные брандмауэры являются огромной ответственностью в DDoS-атаках и, как правило, являются первым делом, который терпит неудачу при атаке DDoS, даже до полного использования полосы пропускания канала или ресурсов сервера.

Фильтры пакетов без учета состояния на маршрутизаторах имеют смысл перед публичными серверами, но только если они могут обрабатывать скорость линии всего входящего и исходящего трафика (например, аппаратного ACL в маршрутизаторе).

Google, Facebook и даже Microsoft не ставят традиционные «брандмауэры» перед публичными серверами. Любой, кто запустил общедоступные веб-службы в масштабе «более одного сервера», должен это знать.

Другие функции, обнаруженные в традиционных брандмауэрах, таких как Cisco ASAs или другие, лучше всего реализуются на самих хостах, где их можно эффективно масштабировать. Logging, IDS и т. Д. Все равно являются функциями программного обеспечения в брандмауэрах, поэтому они просто становятся огромным узким местом и целевым объектом DDoS, если перед публично доступными серверами.

ответил rmalayter 9 AM00000040000003731 2015, 04:27:37
0

Почему всем вашим серверам нужен общедоступный адрес?

  

Установите сервер в серверной комнате   и предоставить ему общедоступный IP-адрес.

Из 14 серверов, которые я запускаю на регулярной основе, только 2 имеют общедоступные интерфейсы.

Отредактировано для добавления . В других сетях, которые у меня были в управлении, мы имели возможность отключать /обслуживать по желанию, тогда как у нас не было доступа к управлять брандмауэром. Я даже не могу даже рассказать вам, сколько раз, непреднамеренно, конечно, ненужный сервис (SMTP) был включен и оставлен, и единственное, что спасло нас от создания спам-дампа и попадания в черный список в процессе, было брандмауэром.

Кроме того, весь трафик, который проходит между серверами, полностью зашифрован?

Конечно, вы можете управлять автомобилем 100 миль /ч без ремней безопасности, без подушек безопасности и лысых шин, но почему бы вам?

ответил GregD 13 62010vEurope/Moscow11bEurope/MoscowSat, 13 Nov 2010 01:25:52 +0300 2010, 01:25:52
0

Брандмауэры могут запретить пользователям системы открывать сетевые службы, которые администраторы не знают, или переадресация портов на другие компьютеры. Используя модуль hashlimit, брандмауэры могут также ограничить количество злоумышленников на основе удаленного IP.

Брандмауэр - это еще одна система безопасности, обеспечивающая соблюдение ваших политик. Конечно, не запускайте службы, которых вы не ожидаете.

Я определенно рекомендую, чтобы обновления программного обеспечения применялись своевременно, например, но я также рекомендую использовать брандмауэры на всех машинах. Это похоже на то, как я езжу: Конечно, я стараюсь избегать препятствий и других автомобилей, но я также ношу ремень безопасности и подушки безопасности на случай, если это произойдет неожиданно.

ответил Sean Reifschneider 14 72010vEurope/Moscow11bEurope/MoscowSun, 14 Nov 2010 13:37:49 +0300 2010, 13:37:49
0

Возможно, вы не понимаете, сколько вы используете брандмауэры, просто потому, что они используют else . В день, когда буквально все, до домашних пользователей DSL имеют брандмауэры на месте, портфолио порта практически полностью исключено как возможный вектор атаки. Порядочный хакер не собирается тратить время на проверку таких вещей.

ответил Spencer Ruport 14 72010vEurope/Moscow11bEurope/MoscowSun, 14 Nov 2010 17:00:45 +0300 2010, 17:00:45

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132