Аппаратный брандмауэр Vs. Программный брандмауэр (IP Tables, RHEL)

Моя хостинговая компания утверждает, что IPTables бесполезен и не обеспечивает никакой защиты . Это ложь?

TL; DR У
меня есть два, расположенных рядом сервера. Вчера моя DC-компания связалась со мной, чтобы сообщить, что, поскольку я использую программный брандмауэр, мой сервер «уязвим к множеству критических угроз безопасности», и мое текущее решение предлагает «Без защиты от любой формы атаки».

Они говорят , что мне нужно получить специальный Cisco брандмауэр (установка $ 1000 $ 200 / месяц каждый ) , чтобы защитить свои серверы. У меня всегда было впечатление, что, хотя аппаратные брандмауэры более безопасны, что-то вроде IPTables в RedHat обеспечивает достаточную защиту для вашего среднего сервера.

Оба сервера являются просто веб-серверами, на них нет ничего критически важного, но я использовал IPTables, чтобы заблокировать SSH только для моего статического IP-адреса и заблокировать все, кроме основных портов (HTTP (S), FTP и некоторых других стандартных служб). ).

Я не собираюсь получать брандмауэр, если взломать эфир серверов будет неудобно, но все, что они запускают, - это несколько сайтов WordPress и Joomla, поэтому я определенно не думаю, что это стоит денег.

Аппаратные брандмауэры также работают на программном обеспечении, единственное реальное отличие состоит в том, что устройство специально построено и предназначено для этой задачи. Программные брандмауэры на серверах могут быть такими же безопасными, как и аппаратные брандмауэры, при правильной настройке (обратите внимание, что аппаратные брандмауэры обычно «легче» достичь этого уровня, а программные брандмауэры «легче» испортить).

Если вы используете устаревшее программное обеспечение, вероятно, существует известная уязвимость. Хотя ваш сервер может быть восприимчив к этому вектору атаки, утверждение о том, что он не защищен, является подстрекательским, вводящим в заблуждение или полужирной ложью (зависит от того, что именно они сказали и как они это имели в виду). Вам следует обновить программное обеспечение и исправить все известные уязвимости независимо от вероятности их использования.

Утверждение, что IPTables неэффективен, в лучшем случае вводит в заблуждение . Хотя, опять же, если одно правило - разрешать все от всех ко всем, то да, оно вообще ничего не будет делать.

Примечание : все мои личные серверы работают на FreeBSD и используют только IPFW (встроенный программный брандмауэр). У меня никогда не было проблем с этой настройкой; Я также следую за объявлениями по безопасности и никогда не видел проблем с этим программным обеспечением брандмауэра.
На работе у нас есть безопасность в слоях; пограничный межсетевой экран отфильтровывает всю очевидную чушь (аппаратный межсетевой экран); внутренние брандмауэры фильтруют трафик для отдельных серверов или местоположения в сети (в основном это программные и аппаратные брандмауэры).
Для сложных сетей любого типа безопасность в слоях является наиболее подходящей. Для таких простых серверов, как ваш, может быть полезно иметь отдельный аппаратный брандмауэр, но довольно мало.

Запуск брандмауэра на самом защищаемом сервере является менее безопасным , чем использование отдельной машины брандмауэра. Это не обязательно должен быть аппаратный брандмауэр. Другой сервер Linux, установленный в качестве маршрутизатора с IPTables, будет работать нормально.

Проблема безопасности брандмауэров на защищаемом сервере заключается в том, что компьютер может быть атакован через запущенные сервисы. Если злоумышленник может получить доступ с правами root, брандмауэр можно изменить, отключить или обойти через руткит ядра.

На отдельном компьютере с брандмауэром не должно быть никаких служб, за исключением доступа по SSH, а доступ по SSH должен быть ограничен диапазонами административных IP-адресов. Он должен быть относительно неуязвим для атаки, конечно, за исключением ошибок в реализации IPTables или стека TCP.

Брандмауэр может блокировать и регистрировать сетевой трафик, который не должен существовать, давая вам ценное раннее предупреждение о взломанных системах.

Если у вас низкий трафик, попробуйте небольшой модуль Cisco ASA, например 5505 . Он находится в диапазоне от 500 до 700 долларов и определенно создан специально. Со-лота дает вам BS, но их ставки для брандмауэра также неоправданны.

Я думаю, что это также зависит от производительности. Что делает программно-серверный межсетевой экран с использованием циклов ЦП, то аппаратный межсетевой экран может делать с помощью специализированных микросхем (ASIC), что приводит к повышению производительности и пропускной способности.

С вашей точки зрения реальная разница между «программными» (на самой машине) и «аппаратными» брандмауэрами заключается в том, что в первом случае трафик уже находится на машине, которую вы хотите защитить, поэтому он потенциально более уязвим, если что-то пропущено или неправильно.

Аппаратный брандмауэр по существу действует как предварительный фильтр, который позволяет только определенному трафику достигать и / или выходить из вашего сервера.

Учитывая ваш вариант использования и, конечно, при условии, что у вас есть правильные резервные копии, дополнительные расходы будет очень трудно оправдать. Лично я продолжу с тем, что у вас есть, хотя, возможно, использую другую хостинговую компанию.

Поздно к игре на этом. Да, поставщик услуг понятия не имеет, о чем они говорят. Если вы являетесь компетентным администратором IPTABLES, я бы сказал, что вы более безопасны, чем готовый аппаратный брандмауэр. Причина в том, что когда я их использовал, приятный интерфейс gee-whiz не отражает фактическую конфигурацию того, какой трафик пропускается. Продавцы пытаются заглушить это для нас, тупых людей. Я хочу знать о каждой возможности каждого входящего и исходящего пакета.

IPTABLES не для всех, но если вы серьезно относитесь к безопасности, вы хотите быть как можно ближе к проводу. Обеспечить безопасность системы легко - обратный инжиниринг брандмауэра blackbox - нет.