Firewall de hardware vs. Cortafuegos de software (tablas IP, RHEL)

36

Mi empresa de alojamiento dice que IPTables es inútil y no proporciona ninguna protección . ¿Es esto una mentira?

TL; DR
Tengo dos servidores co-ubicados. Ayer, mi compañía de DC me contactó para decirme que debido a que estoy usando un firewall de software, mi servidor es "vulnerable a múltiples amenazas de seguridad críticas" y mi solución actual ofrece "Sin protección contra ningún tipo de ataque".

Dicen que necesito obtener un firewall de Cisco dedicado (instalación de $ 1000 y luego $ 200 / mes cada uno ) para proteger mis servidores. Siempre tuve la impresión de que, si bien los cortafuegos de hardware son más seguros, algo como IPTables en RedHat ofrece suficiente protección para su servidor promedio.

Ambos servidores son solo servidores web, no hay nada críticamente importante en ellos, pero he usado IPTables para bloquear SSH solo en mi dirección IP estática y bloquear todo excepto los puertos básicos (HTTP (S), FTP y algunos otros servicios estándar )

No voy a obtener el cortafuegos, si se piratea el éter de los servidores, sería un inconveniente, pero todo lo que ejecutan son algunos sitios de WordPress y Joomla, así que definitivamente no creo que valga la pena.

Mancha
fuente
66
¡Su empresa de hosting suena como un grupo de chancers! No hay nada malo con IPTables, y en la mayoría de los casos ofrece muchas más funciones que Cisco ASA, etc. Aquí me viene a la mente el módulo reciente y el módulo de límite.
Niall Donegan
20
¿Te importa compartir qué compañía es esta, para que el resto de nosotros podamos mantenernos al margen?
Hyppy

Respuestas:

34

Los cortafuegos de hardware también ejecutan software, la única diferencia real es que el dispositivo está especialmente diseñado y dedicado a la tarea. Los cortafuegos de software en los servidores pueden ser tan seguros como los cortafuegos de hardware cuando se configuran correctamente (tenga en cuenta que los cortafuegos de hardware son generalmente "más fáciles" de llegar a ese nivel, y los cortafuegos de software son "más fáciles" de fastidiar).

Si está ejecutando software obsoleto, es probable que exista una vulnerabilidad conocida. Si bien su servidor puede ser susceptible a este vector de ataque, afirmar que no está protegido es inflamatorio, engañoso o una mentira en negrita (depende de lo que digan exactamente y cómo lo hayan dicho). Debe actualizar el software y parchear cualquier vulnerabilidad conocida, independientemente de la probabilidad de explotación.

Afirmar que IPTables es ineficaz es, en el mejor de los casos, engañoso . Aunque, una vez más, si la única regla es permitir todo, de todos a todos, entonces sí, no estaría haciendo nada en absoluto.

Nota al margen : todos mis servidores personales funcionan con FreeBSD y solo usan IPFW (firewall de software incorporado). Nunca he tenido un problema con esta configuración; También sigo los anuncios de seguridad y nunca he visto ningún problema con este software de firewall.
En el trabajo tenemos seguridad en capas; el firewall de borde filtra toda la basura obvia (firewall de hardware); los firewalls internos filtran el tráfico hacia abajo para los servidores individuales o la ubicación en la red (combinación de firewalls principalmente de software y hardware).
Para redes complejas de cualquier tipo, la seguridad en capas es lo más apropiado. Para servidores simples como el suyo, puede haber algún beneficio al tener un firewall de hardware separado, pero bastante poco.

Chris S
fuente
13
+1: todos los firewalls son "firewalls de software". Es más un "firewall de software con software que usted controla" que un "firewall de software que es una caja negra sellada". Limite sus puertos abiertos al mínimo necesario para que funcionen los servidores, elimine el tráfico obviamente falso y no olvide el filtrado de salida y estará bien.
Evan Anderson
Sí, trato de mantener todo actualizado, y probablemente diría que entiendo bastante bien la seguridad, me sorprendió un poco que mi compañía de DC me dijera que mi protección es inútil, siempre asumí que las tablas IP eran buenas para los servidores básicos y los cortafuegos de hardware eran buenos si fuera, por ejemplo, Sony =)
Difuminar
66
+1, IPTables es en lo que se basan muchos sistemas de firewall decentes. Su empresa de alojamiento está mintiendo entre dientes para tratar de ganar algo de dinero extra. Volcarlos para un vendedor de buena reputación.
Hyppy
2
allow everything from all to allpuede implementarse con la misma facilidad en el firewall del hardware, con un efecto similar.
CrackerJack9
8

Ejecutar un firewall en el servidor protegido es menos seguro que usar una máquina de firewall separada. No tiene que ser un firewall de "hardware". Otro servidor Linux configurado como enrutador con IPTables funcionaría bien.

El problema de seguridad con los firewalls en el servidor protegido es que la máquina puede ser atacada a través de sus servicios en ejecución. Si el atacante puede obtener acceso a nivel raíz, el firewall puede modificarse o deshabilitarse o evitarse a través de un kit raíz del núcleo.

Una máquina de firewall separada no debe tener servicios en ejecución, excepto el acceso SSH y ese acceso SSH debe limitarse a rangos de IP de administración. Debería ser relativamente invulnerable al ataque, salvo errores en la implementación de IPTables o la pila TCP, por supuesto.

La máquina cortafuegos puede bloquear y registrar el tráfico de red que no debería existir, brindándole una valiosa advertencia temprana de sistemas con grietas.

Zan Lynx
fuente
3
Si el servidor está rooteado, probablemente no importará que el atacante pueda abrir otros puertos, ya que ya pueden acceder a cualquier cosa local. Si el atacante puede obtener acceso de raíz al servidor a través de los puertos permitidos a través del Firewall, es probable que no importe lo que el firewall esté bloqueando. Además, SSH en el servidor debe restringirse tanto como el acceso SSH a la máquina del firewall.
CrackerJack9
4

Si su tráfico es bajo, pruebe con una pequeña unidad Cisco ASA como la 5505 . Está en el rango de $ 500- $ 700 y definitivamente está especialmente diseñado. El co-lo está dando BS, pero sus tarifas para el firewall también son irrazonables.

ewwhite
fuente
4

Creo que también depende del rendimiento. Lo que hace un firewall basado en software / servidor utilizando ciclos de CPU, un firewall de hardware puede hacerlo con chips especialmente diseñados (ASIC) que conducen a un mejor rendimiento y rendimiento.

Robert
fuente
1
¿Tienes alguna métrica para esa comparación? El servidor probablemente esté ejecutando un procesador más potente y necesitará realizar cálculos relacionados con TCP, independientemente de que un firewall de hardware esté frente a él (piense en la pila TCP local, etc.)
CrackerJack9
3

Desde su perspectiva, la verdadera diferencia entre los cortafuegos de "software" (en la máquina) y de "hardware" es que, en el primer caso, el tráfico ya está en la máquina que desea proteger, por lo que es potencialmente más vulnerable si algo se ha pasado por alto o mal configurado

Un firewall de hardware esencialmente actúa como un prefiltro, que solo permite que el tráfico específico llegue y / o salga de su servidor.

Dado su caso de uso, y suponiendo, por supuesto, que tiene copias de seguridad adecuadas, el gasto adicional sería muy difícil de justificar. Personalmente, continuaría con lo que tiene, aunque quizás use una empresa de alojamiento diferente.

John Gardeniers
fuente
3

Tarde al juego en este caso. Sí, el proveedor de servicios no tiene idea de lo que está hablando. Si es un administrador competente de IPTABLES, diría que es más seguro que un firewall de hardware listo para usar. La razón es que cuando los he usado, la agradable interfaz gee-whiz no refleja la configuración real del tráfico permitido. Los vendedores intentan simplificarlo para nosotros, gente tonta. Quiero saber sobre cada posibilidad de cada paquete que entra y sale.

IPTABLES no es para todos, pero si te tomas en serio la seguridad, debes estar lo más cerca posible del cable. Asegurar un sistema es fácil: la ingeniería inversa de un firewall de blackbox no lo es.

dalel2000
fuente
Creo que la cadena predeterminada de iptables de RHEL es ACCEPT, mientras que la mayoría de los firewalls de hardware están predeterminados DROP. A ese respecto, el hardware listo para usar es más seguro que el software listo para usar. De acuerdo, muchos proveedores de la nube han modificado ese valor predeterminado y el asistente de instalación le permite especificar reglas antes de que se complete la instalación ...
CrackerJack9