УВАГА! Примітка. Мені не цікаво перетворювати це на вогняну війну! Я розумію, що багато людей твердо вірять з цього приводу, не зважаючи на те, що вони доклали чимало зусиль у своїх рішеннях, що стосуються брандмауера, а також тому, що вони були індоктриновані, щоб повірити в їхню необхідність.

Однак я шукаю відповіді людей, які є експертами в галузі безпеки. Я вважаю, що це важливе питання, і відповідь піде більше на користь не лише мені, а й компанії, в якій я працюю. Я декілька років керував нашою серверною мережею без компромісів, не маючи жодного брандмауера. Жоден компроміс із безпекою, який ми мали, не міг запобігти за допомогою брандмауера.

Напевно, я працюю тут занадто довго, тому що, коли я кажу "сервери", я завжди маю на увазі "послуги, пропоновані громадськості", а не "таємні бази внутрішніх рахунків". Таким чином, будь-які правила, які ми мали б у брандмауерах, повинні мати доступ до всього Інтернету. Також наші сервери загальнодоступного доступу знаходяться у спеціальному центрі обробки даних окремо від нашого офісу.

Хтось інший задав подібне запитання, і мою відповідь було проголосовано в негативних цифрах. Це приводить мене до думки, що або люди, які його проголосували, насправді не зрозуміли моєї відповіді, або я не розумію достатньо безпеки, щоб робити те, що зараз роблю.

Це мій підхід до безпеки сервера:

1. Дотримуйтесь вказівок безпеки моєї операційної системи перед тим, як підключити сервер до Інтернету.

2. Використовуйте обгортки TCP, щоб обмежити доступ до SSH (та інших служб управління) невеликою кількістю IP-адрес.

3. Слідкуйте за станом цього сервера за допомогою Munin . І виправити жахливі проблеми безпеки, властиві Munin-вузлу в його конфігурації за замовчуванням.

4. Назвіть новий сервер (також перед тим, як підключити сервер до Інтернету). Якби я був брандмауером цього сервера, це повинен бути точний набір портів, на які вхідні з'єднання повинні бути обмежені.

5. Встановіть сервер у серверній кімнаті та надайте йому загальнодоступну IP-адресу.

6. Захистіть систему, використовуючи функцію оновлення безпеки моєї операційної системи.

Моя філософія (і основа цього питання) полягає в тому, що сильна безпека на основі хоста усуває необхідність брандмауера. Загальна філософія безпеки говорить, що сильна безпека на основі хоста все ще потрібна, навіть якщо у вас є брандмауер (див. Рекомендації щодо безпеки ). Причиною цього є те, що брандмауер, який пересилає публічні сервери на сервер, дозволяє зловмиснику так само, як і взагалі немає брандмауера. Саме послуга є вразливою, і оскільки пропонувати цю послугу всьому Інтернету є вимогою її роботи, обмеження доступу до неї не суть.

Якщо є порти , доступні на сервері , які не повинні бути доступні всім Інтернетом, то , що програмне забезпечення необхідно вимкнути на кроці 1, і було перевірено кроком 4. Якщо зловмисник успішно зламати сервер через вразливе програмне забезпечення і самі відкривати порт, зловмисник може так само легко перемогти будь-який брандмауер, встановивши натомість вихідне з'єднання на випадковий порт. Справа в безпеці не в тому, щоб захищати себе після успішної атаки - це вже виявилося неможливо - це утримати нападників в першу чергу.

Припускають, що крім відкритих портів є й інші міркування щодо безпеки, але мені це просто здається захистом своєї віри. Будь-які вразливості стека операційної системи / TCP повинні бути однаково вразливими, незалежно від того, існує брандмауер чи ні - виходячи з того, що порти пересилаються безпосередньо до цієї стеки операційної системи / TCP. Аналогічно, запуск вашого брандмауера на самому сервері, на відміну від наявності його на маршрутизаторі (або ще гірше, в обох місцях), здається, додає зайвих шарів складності. Я розумію філософію "безпека буває шарами", але настає момент, коли це схоже на будівництво даху, укладаючи X кількість шарів фанери один на одного, а потім просвердлюючи отвір через них. Ще один шар фанери не зупинить протікання через цю дірку ви '

Якщо чесно, єдиний спосіб, коли я бачу, що брандмауер використовує будь-які сервери, це якщо він має динамічні правила, що запобігають всім з'єднанням усіх серверів з відомими зловмисниками - як RBL для спаму (що збігається, майже все, що робить наш поштовий сервер) . На жаль, я не можу знайти жодного брандмауера, який би це зробив. Наступне найкраще - це сервер IDS, але це передбачає, що зловмисник спочатку не атакує ваші реальні сервери, а зловмисники намагаються пробувати всю вашу мережу перед атакою. Крім того, відомо, що вони створюють велику кількість помилкових позитивних результатів.

Переваги брандмауера:

1. Ви можете фільтрувати вихідний трафік.
2. Брандмауери рівня 7 (IPS) можуть захищати від відомих уразливих програм.
3. Ви можете блокувати певний діапазон IP-адрес та / або порт централізовано, а не намагатися переконатися, що на цьому порту на кожному окремому пристрої немає прослуховування служби або заборонено доступ за допомогою TCP Wrappers .
4. Брандмауери можуть допомогти, якщо вам доведеться мати справу з менш безпечними користувачами / адміністраторами, оскільки вони забезпечуватимуть другу лінію захисту. Без них потрібно бути абсолютно впевненим у безпеці хостів, що вимагає хорошого розуміння безпеки від усіх адміністраторів.
5. Журнали брандмауера забезпечать центральні журнали та допоможуть у виявленні вертикальних сканувань. Журнали брандмауера можуть допомогти визначити, чи намагається певний користувач / клієнт періодично підключатися до одного порту всіх ваших серверів. Для цього без брандмауера доведеться комбінувати журнали з різних серверів / хостів, щоб отримати централізований вигляд.
6. Брандмауери також постачаються із модулями анти-спаму / антивірусу, які також захищають.
7. ОС незалежної безпеки. На основі ОС хоста для забезпечення безпеки хоста потрібні різні методи / методи. Наприклад, обгортки TCP можуть бути недоступні на машинах Windows.

Перш за все, якщо у вас немає брандмауера та система порушена, то як би ви його виявили? Спроба виконати якусь команду 'ps', 'netstat' тощо в локальній системі не може бути довірена, оскільки ці двійкові файли можна замінити. 'nmap' з віддаленої системи не гарантується захистом, оскільки зловмисник може гарантувати, що root-kit приймає з'єднання лише з обраних IP-адрес джерела у вибраний час.

Апаратні брандмауери допомагають у таких сценаріях, оскільки змінити ОС / файли брандмауера в порівнянні з хостними ОС / файлами надзвичайно важко.

Недоліки брандмауера:

1. Люди відчувають, що брандмауер буде дбати про безпеку і не оновлювати системи регулярно та зупиняти небажані послуги.
2. Вони коштують. Іноді потрібно сплачувати щорічну ліцензійну плату. Особливо, якщо брандмауер має антивірусні та анти-спам-модулі.
3. Додаткова одинична точка відмови. Якщо весь трафік проходить через брандмауер і брандмауер виходить з ладу, то мережа зупиниться. Ми можемо мати зайві брандмауери, але тоді попередня точка вартості ще більше посилюється.
4. Державне відстеження не надає значення для систем, що звертаються до громадськості, які приймають усі вхідні з'єднання.
5. Брандмауери, що знаходяться у стані, є величезним вузьким місцем під час DDoS-атаки і часто перше, що не вдалося, оскільки вони намагаються утримувати стан та перевіряти всі вхідні з'єднання.
6. Брандмауери не можуть бачити всередині зашифрованого трафіку. Оскільки весь трафік повинен бути зашифрований у кінці, більшість брандмауерів додають мало значення перед загальнодоступними серверами. Деяким брандмауерам нового покоління можна надати приватні ключі, щоб припинити TLS і побачити всередині трафіку, однак це ще більше збільшує сприйнятливість брандмауера до DDoS і порушує модель безпеки TLS від кінця до кінця.
7. Операційні системи та програми виправляються з уразливими ситуаціями набагато швидше, ніж між брандмауерами. Постачальники брандмауера часто сидять над відомими проблемами роками без виправлення, а виправлення кластеру брандмауера, як правило, вимагає простоїв для багатьох служб та вихідних з'єднань.
8. Брандмауери далеко не ідеальні, і багато хто, як відомо, баггі. Брандмауери - це лише програмне забезпечення, яке працює в якійсь формі операційної системи, можливо, з додатковою ASIC або FPGA на додаток до (зазвичай повільного) процесора. Брандмауери мають помилки, але, здається, вони надають мало інструментів для їх вирішення. Тому брандмауери додають складності та додаткового джерела важко діагностуваних помилок до пакету програм.

TCP Wrappers можна, безсумнівно, назвати хост-брандмауером; ви фільтруєте мережевий трафік.

Для точки зловмисника, який здійснює вихідні з'єднання на довільному порту, брандмауер також забезпечить спосіб контролю вихідного трафіку; належним чином налаштований брандмауер керує входом та виходом таким чином, що відповідає ризику, пов'язаному з системою.

Що стосується того, як брандмауер не усуває будь-яку вразливість TCP, ви не знаєте, як працюють брандмауери. У Cisco є цілий ряд правил для завантаження, які ідентифікують пакети, побудовані таким чином, що можуть спричинити певні проблеми з операційними системами. Якщо ви схопите Snort і почнете його виконувати за допомогою правильного набору правил, ви також отримаєте сповіщення про подібні речі. І звичайно, iptables Linux може відфільтрувати шкідливі пакети.

В основному, брандмауер є активним захистом. Чим далі ви відводитеся від ініціативи, швидше за все, ви опинитесь в ситуації, коли ви реагуєте на проблему, а не запобігаєте проблемі. Зосередження захисту на кордоні, як і спеціалізований брандмауер, полегшує управління, оскільки у вас є центральна точка задушення, а не дублювання правил скрізь.

Але жодна річ не обов'язково є остаточним рішенням. Хорошим рішенням для безпеки, як правило, є багатошаровий, де у вас є брандмауер на кордоні, TCP обгортки на пристрої і, мабуть, деякі правила щодо внутрішніх маршрутизаторів. Зазвичай слід захищати мережу від Інтернету та захищати вузли один від одного. Цей багатошаровий підхід не схожий на просвердлювання отвору через декілька аркушів фанери, це більше схоже на встановлення пари дверей, щоб у зловмисника було зламано два замки, а не один; це називається пасткою людини у фізичній безпеці, і більшість кожної будівлі має одну причину. :)

(Ви можете прочитати " Життя без брандмауерів ")

Тепер: А як бути зі спадковою системою, для якої більше не публікуються жодні патчі? А як щодо того, що ви не зможете застосувати патчі до N-машин у той час, коли це потрібно зробити, в той же час ви можете застосувати їх у меншій кількості вузлів у мережі (брандмауери)?

Немає сенсу обговорювати існування або необхідність брандмауера. Що насправді важливо, це те, що ви повинні проводити політику безпеки. Для цього ви будете використовувати будь-які інструменти, які будуть реалізовувати його та допомогти вам керувати, розширювати та розвивати його. Якщо для цього потрібні брандмауери, це добре. Якщо вони не потрібні, це теж добре. Що насправді важливо - це справна та перевірена реалізація політики безпеки.

Більшість ваших пояснень, здається, спростовують необхідність у брандмауері, але я не бачу ніякої можливості мати один, окрім невеликої кількості часу для його налаштування.

Мало речей - це «необхідність» у строгому значенні цього слова. Безпека стосується налаштування всіх блокад, які ви можете. Більше роботи, необхідної для прориву на ваш сервер, означає менше шансів на успішну атаку. Ви хочете, щоб це працювало більше, щоб прорватися до ваших машин, ніж десь інше. Додавання брандмауера робить більшу роботу.

Я думаю, що ключовим використанням є надмірність безпеки. Ще один плюс брандмауерів - ви можете просто відмовитись від спроб підключитися до будь-якого порту, а не відповідати на відхилені запити - це зробить nmapping трохи незручнішим для зловмисника.

Найважливіше для мене, що стосується Вашого запитання, - Ви можете заблокувати SSH, ICMP та інші внутрішні сервіси до локальних підмереж, а також обмежити швидкість вхідних з'єднань, щоб полегшити DOS-атаки.

"Справа в безпеці не в тому, щоб захищати себе після успішної атаки - це вже виявилося неможливо - це утримати нападників в першу чергу".

Я не погоджуюсь. Обмеження шкоди може бути не менш важливим. (під цим ідеалом, навіщо хеш-паролі? Або вставляти програмне забезпечення своєї бази даних на інший сервер, ніж ваші веб-програми?) Я думаю, що тут застосовується стара приказка "Не вкладайте всі яйця в один кошик".

Should I firewall my server?Гарне питання. Здавалося б, мало сенсу плескати брандмауер поверх мережевого стеку, який уже відхиляє спроби з'єднання для всіх, окрім кількох портів, які є законно відкритими. Якщо в ОС є вразливість, яка дозволяє зловмисно створеним пакетам руйнувати / використовувати хост, чи не може брандмауер, що працює на цьому ж хості, запобігає експлуатації? Ну, може ...

І це, мабуть, найсильніша причина запускати брандмауер на кожному хості: брандмауер може запобігти експлуатації вразливості мережевого стека. Це досить вагома причина? Я не знаю, але, мабуть, можна сказати: "Ніхто ніколи не звільнявся за встановлення брандмауера".

Ще одна причина запустити брандмауер на сервері - це від’єднати ці два інакше сильно пов'язаних між собою проблеми:

1. Звідки і до яких портів я приймаю з'єднання?
2. Які служби працюють і прослуховують з'єднання?

Без брандмауера набір запущених служб (разом із конфігураціями для tcpwrappers і подібних) повністю визначає набір портів, які сервер буде відкритий, і від яких з'єднання будуть прийняті. Брандмауер на основі хоста надає адміністратору додаткову гнучкість для встановлення та тестування нових служб контрольованим способом, перш ніж зробити їх більш доступними. Якщо така гнучкість не потрібна, то для встановлення брандмауера на сервер є менше причин.

На завершення, у контрольному списку безпеки, який я завжди додаю, є один пункт, який я завжди додаю, і це система виявлення вторгнень на основі хоста (HIDS), наприклад AIDE або samhain . Хороший HIDS робить надзвичайно важким для зловмисника внесення небажаних змін у систему та залишатися непоміченими. Я вважаю, що на всіх серверах має працювати якийсь HIDS.

Брандмауер - це інструмент. Це не робить речі безпечними самі по собі, але може внести свій внесок як шар у захищену мережу. Це не означає, що він вам потрібен, і я, звичайно, переживаю за людей, які сліпо кажуть "Я повинен отримати брандмауер", не розуміючи, чому вони так думають, і які не розуміють сильні та слабкі сторони брандмауерів.

Є багато інструментів, на які ми можемо сказати, що нам не потрібні ... Чи можливо запустити комп'ютер Windows без антивірусу? Так, це ... але приємний рівень страхування мати його.

Я б сказав те саме про брандмауери - що б там не було сказати про них, вони є хорошим рівнем страхування. Вони не є заміною виправлення, блокування машин, відключення служб, які ви не використовуєте, для ведення журналів тощо ..., але вони можуть бути корисною добавкою.

Я б також запропонував, що рівняння дещо змінюється залежно від того, чи ви говорите про розміщення брандмауера перед групою ретельно доглянутих серверів, як вам здається, або типової локальної мережі з поєднанням робочих станцій та серверів Деякі з яких можуть мати деякі досить волохаті речі, незважаючи на зусилля та побажання ІТ-команди.

Ще одна річ, яку слід врахувати, полягає в перевазі створення очевидно загартованої цілі. Видима безпека, будь то яскраві вогні, важкі замки та явна сигналізація на будівлі; або очевидний брандмауер на діапазоні IP-адрес компанії може стримувати випадкового зловмисника - вони шукатимуть більш легку здобич. Це не стримує рішучого зловмисника, який знає, що ви хочете отримати потрібну інформацію, і налаштований отримати її, але стримувати випадкових зловмисників все-таки варто - особливо якщо ви знаєте, що будь-якого зловмисника, зонди якого зберігаються за межі стримування, слід сприймати особливо серйозно .

Всі чудові запитання. АЛЕ - Я дуже здивований, ЕФЕКТИВНІСТЬ не подано на стіл.

Для високоефективних (CPU-розумних) веб-сторінок, локальний брандмауер дійсно погіршує продуктивність, період. Спробуйте навантажувальний тест і подивіться. Я бачив це тонни разів. Відключення брандмауера збільшує продуктивність (запит за секунду) на 70% або більше.

Цю угоду необхідно враховувати.

Брандмауер - додатковий захист. Три конкретні сценарії, від яких він захищає, - це атаки на стек мережі (тобто ваша ОС на сервер має вразливість для спеціально створених пакетів, які ніколи не досягають рівня портів), вдале вторгнення, яке здійснює з'єднання з "телефоном додому" (або надсилає спам, або будь-що інше) ), або вдале вторгнення, відкриваючи порт сервера, або, що менш помітно, слідкуйте за послідовністю збивання порту перед відкриттям порту. Зрозуміло, останні два стосуються зменшення шкоди вторгнення, а не запобігання, але це не означає, що це марно. Пам’ятайте, що безпека не є суттєвою пропозицією; Для досягнення рівня безпеки, достатнього для ваших потреб, потрібно використовувати шаруватий підхід, ремінь та підтяжки.

Я ні в якому разі не експерт з безпеки, але це звучить так, ніби у вас є брандмауер. Схоже, ви взяли частину основних функцій брандмауера і зробили це частиною вашої політики та процедур. Ні, брандмауер вам не потрібен, якщо ви збираєтеся виконувати ту саму роботу, що і брандмауер. Що стосується самого себе, я вважаю за краще робити все можливе, щоб підтримувати безпеку, але щоб брандмауер переглядав моє плече, але в якийсь момент, коли ти можеш робити все, що робить брандмауер, це стає неважливим.

Брандмауер точно не потрібен для менших налаштувань. Якщо у вас є один або два сервери, програмні брандмауери є ремонтом. Зважаючи на це, ми не працюємо без спеціальних брандмауерів, і є кілька причин, чому я підтримую цю філософію:

Поділ ролей

Сервери призначені для додатків. Брандмауери призначені для перевірки пакетів, фільтрації та політики. Веб-сервер повинен турбуватися про розміщення веб-сторінок, і це все. Покласти обидві ролі в одному пристрої - це як попросити свого бухгалтера також бути вашим охоронцем.

Програмне забезпечення є рухомою ціллю

Програмне забезпечення на хості завжди змінюється. Програми можуть створювати власні винятки з брандмауера. Оновлення оновлено та виправлено. Сервери - це область адміністратора з високим трафіком, і ваша політика брандмауера / політика безпеки часто важливіше для безпеки, ніж конфігурації ваших програм. Припустимо, що в середовищі Windows хтось помиляється на рівні групової політики та вимикає брандмауер Windows на настільних ПК, і не усвідомлює, що він буде застосований до серверів. Ви широко відкриті за кілька кліків.

Якщо говорити лише про оновлення, оновлення мікропрограми брандмауера зазвичай виходять один-два рази на рік, тоді як оновлення ОС та служб - це постійний потік.

Послуги / політики / правила багаторазового використання, керованість

Якщо я встановив службу / політику під назвою "Веб-сервер" один раз (скажімо, TCP 80 і TCP 443) і застосую її до "групи веб-серверів" на рівні брандмауера, це набагато ефективніше (пара змін конфігурації) і експоненціально менш схильні до людських помилок, ніж налаштування служб брандмауера на 10 коробках та відкриття 2 портів x 10 разів. Коли цю політику потрібно змінити, це 1 зміна проти 10.

Я все ще можу керувати брандмауером під час нападу або після компромісу

Скажімо, на мій хост-сервер додатків брандмауер + нападає атака, і процесор вийшов із діаграми. Щоб навіть почати з'ясовувати, що відбувається, я на вагу мого навантаження менше, ніж у зловмисника навіть увійти і подивитися на це.

Фактичний досвід - я колись переплутав правило про брандмауер (залишив порти БУДЬ-хто замість конкретного, а сервер мав уразливу службу), а зловмисник насправді провів сеанс віддаленого робочого столу в реальному часі. Кожен раз, коли я почав би отримувати сеанс, зловмисник вбивав / відключав мій сеанс. Якби не можливість закрити цю атаку від незалежного пристрою брандмауера, це могло б бути набагато гірше.

Незалежний моніторинг

Реєстрація в спеціалізованих мережах брандмауера зазвичай набагато перевершує брандмауер на базі програмного забезпечення. Деякі з них досить хороші, що для отримання точної картини вам навіть не потрібно зовнішнє програмне забезпечення для моніторингу SNMP / NetFlow.

Збереження IPv4

Немає причини мати дві IP-адреси, якщо одна призначена для Інтернету, а друга - для пошти. Тримайте служби в окремих полях і маршрутизуйте порти належним чином через пристрій, призначений для цього.

Блок-котировка Ну, ти маєш рацію, я нічого не вкладав. Мінуси: підвищена складність мережі, одна точка відмови, єдиний мережевий інтерфейс, через який пропускна здатність є вузьким. Так само адміністративні помилки, допущені на одному брандмауері, можуть вбити всю вашу мережу. І боги забороняють тим часом закривати себе від цього, коли це 20 хвилин поїздки до серверної кімнати.

По-перше, додавання максимум одного додаткового маршрутизованого переходу через вашу мережу не є складним. По-друге, жодне рішення брандмауера, реалізоване з будь-якою єдиною точкою відмови, не є абсолютно марною. Так само, як ви кластеризуєте свій важливий сервер або служби та використовуєте зв’язані NIC, ви реалізуєте високодоступні міжмережеві екрани. Якщо цього не зробити, чи не визнати і не знати, що ви зробите це, це дуже короткозоро. Просто зазначення, що є єдиний інтерфейс, автоматично не робить щось вузьким місцем. Це твердження показує, що ви не знаєте, як правильно планувати та розгортати брандмауер розміром з обробкою трафіку, який проходить через вашу мережу. Ви вірно стверджуєте, що помилка в політиці може завдати шкоди всій вашій мережі, але я стверджую, що збереження окремих політик на всіх ваших серверах набагато більше помилок, схильних до одного місця.

Щодо аргументу про те, що ви стежите за виправленням безпеки та дотримуєтесь посібників із безпеки; це хиткий аргумент у кращому випадку. Зазвичай патчі безпеки недоступні, поки не буде виявлено вразливість. Це означає, що весь час, коли ви працюєте з серверами з загальнодоступною адресою, вони вразливі, поки не будуть виправлені. Як зазначають інші, системи IPS можуть допомогти запобігти компромісам від таких вразливих місць.

Якщо ви думаєте, що ваші системи настільки ж безпечні, наскільки це можливо, це хороша впевненість. Однак я рекомендую провести професійний аудит безпеки у вашій мережі. Це може просто відкрити очі.

Загалом, безпека - це ріпчаста річ, як уже згадувалося. Є причини, що існують міжмережеві стіни, і це не просто всі інші лемінги як дурні дебіли.

Ця відповідь приходить, оскільки пошук "fail2ban" на цій сторінці не дав мені жодних результатів. Тож якщо я подвоюю інший вміст, поводьтеся зі мною. І вибачте, якщо я трохи заїдаю, я надаю звичайний досвід, оскільки це може бути корисним для інших. :)

Міркування щодо мереж, локальні та зовнішні

Це досить специфічно для Linux і зосереджується на хост-файрволі, що зазвичай є випадком використання. Зовнішня брандмауер іде одночасно з належною мережевою структурою, і зазвичай це стосується інших міркувань безпеки. Якщо ви знаєте, що тут мається на увазі, то вам, ймовірно, це повідомлення не знадобиться. Або ні, тоді просто читайте далі.

Запуск брандмауерів зовні та локально може здатися протиінтуїтивно зрозумілим та подвійним. Але це також дає можливість повороту правил на зовнішнє, без шкоди для безпеки для всіх інших хостів, що стоять за ним. Потреба може виникнути з причини налагодження або через те, що хтось щойно трахнув. Інший випадок використання знайдеться там, у розділі «адаптивна глобальна брандмауер», для якого вам також знадобляться як глобальні, так і локальні брандмауери.

Вартість та доступність та та сама історія весь час:

Брандмауер - лише один із аспектів належної захищеної системи. Не встановлюючи брандмауер, оскільки це "коштує" грошей, запроваджує SPOF або все, що це просто фігня, пробачте мою французьку тут. Просто налаштуйте кластер. О, але що робити, якщо пожежна камера має відключення? Потім встановіть кластер на два або більше вогневих відділень.

Але що робити, якщо весь центр обробки даних недоступний, оскільки обидва зовнішні перевізники не працюють (екскаватор вбив ваше волокно)? Просто зробіть кластер, що охоплює кілька центрів обробки даних, а потім.

Це дорого? Кластери занадто складні? Ну, за параноїю треба платити.

Тільки скуготіння щодо SPOF, але не бажаючи платити більше грошей або створювати трохи складніші налаштування - це явний випадок подвійних стандартів або просто невеликий гаманець на стороні компанії чи замовника.

Ця закономірність стосується ВСІХ цих дискусій, незалежно від того, яка служба є поточною справою дня. Незалежно від того, чи це VPN-шлюз, Cisco ASA, що використовується лише для брандмауера, база даних MySQL або PostgreSQL, віртуальна система або серверне обладнання, резервний пристрій для зберігання, комутатори / маршрутизатори, ...

На даний момент ви повинні отримати ідею.

Навіщо турбуватися між брандмауером?

Теоретично ваші міркування є здоровими. (Можна використовувати лише запущені служби.)

Але це лише половина правди. Брандмауер, особливо державний брандмауер, може зробити для вас набагато більше. Брандмауэры без громадянства важливі лише в тому випадку, якщо у вас виникають проблеми з продуктивністю, як і інші згадані.

Простий, центральний, дискретний контроль доступу

Ви згадали обгортки TCP, які реалізують в основному таку ж функціональність для забезпечення вашого. На думку аргументу, припустимо, хтось не знає tcpdі не любить використовувати мишу? fwbuilderможе прийти до уваги.

Повний доступ з вашої мережі управління - це те, що ви мали б увімкнути, це щось із випадків першого використання вашого брандмауера на базі хоста.

Як щодо налаштування кількох серверів, коли база даних працює десь в іншому місці, і ви не можете з будь-якої причини розмістити обидва / всі машини в спільній (приватній) підмережі? Використовуйте брандмауер, щоб дозволити MySQL доступ до порту 3306 лише для однієї заданої IP-адреси іншого сервера, зроблено просто.

І це також працює бездоганно для UDP. Або будь-який протокол. Брандмауери можуть бути настільки чортово гнучкими. ;)

Пом'якшення наслідків порту

Крім того, за допомогою брандмауера загальні портикани можна виявити та пом'якшити, оскільки кількість з'єднань за часовий проміжок можна відстежувати через ядро ​​та його мережевий стек, і брандмауер може діяти на це.

Також недійсними або незрозумілими пакетами можна обробляти до того, як вони коли-небудь надійдуть до вашої заявки.

Обмеження вихідного трафіку

Фільтрування виїзного руху зазвичай є болем у попці. Але це може бути обов’язково, залежно від договору.

Статистика

Ще одна річ, яку може дати вам брандмауер, - це статистика. (Подумайте watch -n1 -d iptables -vnxL INPUT, додавши кілька правил для спеціальних IP-адрес прямо вгорі, щоб побачити, чи проходять пакети.)

Ви можете бачити при денному світлі, чи все працює, чи ні. Що ДУЖЕ корисно при усуненні несправностей з підключеннями та у змозі сказати іншій людині по телефону, що ви не отримуєте пакетів, не звертаючись до чатів tcpdump. Мережа - це весело, більшість людей просто зараз знають, що вони роблять, і часто це просто прості помилки маршрутизації. Чорт, навіть я не завжди знаю, що роблю. Хоча я до цього часу працював з буквально десятками складних систем та приладів, часто і з тунелем.

IDS / IPS

Брандмауер для рівня 7 зазвичай є зміїним маслом (IPS / IDS), якщо він не відвідується належним чином і регулярно оновлюється. Плюс, ліцензії проклято дорогі, тому я б пошкодував отримати їх, якщо у вас немає реальної потреби отримати все, що гроші можуть придбати.

Маскерадінг

Легко, просто спробуйте це з фантиками. : D

Локальне переадресація порту

Дивіться маскування.

Захист каналів доступу до пароля з динамічними IP-адресами

Що робити, якщо клієнти мають динамічні IP-адреси та не розгорнуто налаштування VPN? Або інші динамічні підходи до брандмауера? На це вже натякано в питанні, і тут з’явиться випадок використання для На жаль, я не можу знайти жодного брандмауера, який би це зробив. частина.

Відключення доступу до кореневого облікового запису за допомогою пароля є обов'язковим. Навіть якщо доступ обмежений певними IP-адресами.

Крім того, все ще мати інший обліковий запис blanko, готовий із входом до пароля, якщо ключі ssh загубляться або розгортання не вдається, дуже зручно, якщо щось піде не так (користувач має адміністративний доступ до машини та "все сталося"?). Це та ж сама ідея для доступу до мережі, як це використання режиму однокористування в Linux або використання init=/bin/bashчерез grubдля локального доступу дійсно погано і не може використовувати живий диск з будь-якої причини. Не смійтесь, існують продукти, що забороняють це. Навіть якщо функціонал існує, що робити, якщо запущена застаріла версія програмного забезпечення, не вистачає функціональності?

У будь-якому випадку, навіть якщо ви запускаєте ssh-демон на якомусь езотеричному порту, а не на 22, якщо не реалізували такі речі, як стукання портів (щоб відкрити ще один порт і, таким чином, пом'якшити портикани, повільно межуючи з занадто непрактичним), сканування портів виявить ваш обслуговування в підсумку.

Зазвичай ви також налаштовуєте всі сервери з однаковою конфігурацією, з тими ж портами та службами з міркувань ефективності. Ви не можете налаштувати ssh на інший порт на кожній машині. Крім того, ви не можете змінювати його на всіх машинах кожного разу, коли вважаєте, що це "загальнодоступна" інформація, оскільки вона вже є після сканування. Питання щодо nmapзаконності чи ні - це не проблема, коли у вашому розпорядженні злому з'єднання Wi-Fi.

Якщо цей обліковий запис не названо "root", люди можуть не в змозі вгадати ім'я облікового запису вашого "backdoor". Але вони будуть знати, якщо вони отримають інший сервер у вашої компанії, або просто куплять якийсь веб-простір, і будуть мати нерозроблений / невикористаний / незабруднений погляд /etc/passwd.

Для чисто теоретичної ілюстрації зараз вони могли використовувати там зламаний веб-сайт, щоб отримати доступ до вашого сервера та подивитися, як зазвичай вони працюють у вашому місці. Ваші інструменти пошуку зламу можуть не працювати 24/7 (зазвичай вони роблять вночі з причин продуктивності диска для сканування файлової системи?), А ваші сканери вірусів не оновлюються другий. Новий нульовий день побачить світло дня, тож воно буде не виявляйте цих подій одразу, і без інших заходів захисту ви можете ніколи навіть не знати, що сталося. Щоб повернутися до реальності, якщо хтось має доступ до подвигів нульового дня, велика ймовірність, що він все одно не націлиться на ваші сервери, оскільки це просто дорого. Це лише для того, щоб проілюструвати, що завжди існує шлях до системи, якщо виникає «потреба».

Але знову ж таки на тему, просто не використовуйте додатковий парольний обліковий запис і не турбуйтеся? Будь ласка, читайте далі.

Навіть якщо зловмисники отримають ім’я та порт цього додаткового облікового запису, комбінація fail2ban+ iptablesне зупинить їх, навіть якщо ви використовували лише восьмибуквенний пароль. Плюс fail2ban може бути реалізований і для інших служб, розширюючи горизонт моніторингу!

Що стосується ваших власних служб, якщо у них виникне потреба: в основному кожен сервіс, який не входить в файл, може отримати підтримку fail2ban через надання файлу, який регулярний вирівнювання і скільки пошкоджень дозволено, і брандмауер просто із задоволенням заборонить кожну IP-адресу. сказано.

Я не кажу використовувати 8-значні паролі! Але якщо їм забороняється протягом 24 годин протягом п’яти помилкових спроб пароля, ви можете здогадатися, як довго їм доведеться намагатися, якщо вони не матимуть в своєму розпорядженні ботнету навіть при такій хитрій безпеці. І ви будете здивовані, якими паролями користувачі схильні користуватися, а не тільки ssh. Переглянувши паролі електронної пошти людей через Плеск, вам повідомляється все, чого ви хотіли б не знати, якщо б ви коли-небудь це робили, але що я, звичайно, тут не маю на увазі. :)

Адаптивна глобальна брандмауер

fail2banце лише один додаток, який використовує щось за принципом iptables -I <chain_name> 1 -s <IP> -j DROP, але ви можете легко створити такі речі самостійно за допомогою магії Bash досить швидко.

Щоб додатково розширити щось подібне, об’єднайте всі IP2 адреси fail2ban з серверів у вашій мережі на додатковому сервері, який очищує всі списки та передає їх по черзі до ваших основних брандмауерів, що блокують увесь трафік вже на краю вашої мережі.

Такий функціонал не можна продати (звичайно, він може бути, але це просто крихка система і смоктання), але він повинен бути переплетений у вашу інфраструктуру.

Перебуваючи в ньому, ви також можете використовувати IP-адреси або списки чорного списку з інших джерел, будь то зведені вами самостійно або зовнішніми.

У фізичному світі люди забезпечують цінні речі, вкладаючи їх у сейфи. Але немає жодного сейфа, на який не можна зламати. Сейфи чи контейнери для безпеки оцінюються залежно від часу, необхідного для примусового в'їзду. Мета сейфа - затримати зловмисника досить довго, щоб вони були виявлені, а активні заходи потім зупинили атаку.

Аналогічно, належне припущення щодо безпеки полягає в тому, що ваші відкриті машини з часом будуть піддані злому. Брандмауери та хости бастіонів створені не для того, щоб запобігти компромісу вашого сервера (з вашими цінними даними), а змусити зловмисника спершу скомпрометувати їх і дати змогу виявити (та стримувати) атаку до того, як цінні речі будуть втрачені.

Зауважте, що ні брандмауери, ні сховища банків не захищають від інсайдерських загроз. Це одна з причин, щоб банківські бухгалтери брали поспіль два тижні відпустки, а сервери мали повну внутрішню безпеку безпеки, навіть якщо вони захищені хостами бастіонів.

Ви, схоже, в початковому дописі натякаєте на те, що ви пересилаєте пакети "зовнішнього світу" через брандмауер прямо на ваш сервер. У такому випадку, так, ваш брандмауер працює не дуже. Краща захист по периметру виконується двома брандмауерами та бастіонним хостом, де немає прямого логічного зв’язку зовні зсередини - кожне з'єднання припиняється в бастіонному хості DMZ; кожен пакет перевіряється належним чином (і можливо розбирається) перед пересиланням.

Вразливості важко передбачити. Практично неможливо передбачити, яким шляхом буде використана ваша інфраструктура. Наявність брандмауера "піднімає планку" для зловмисника, який хоче скористатися вразливістю, і це важлива частина, ПЕРЕД тим, як знати, що таке вразливість. Крім того, наслідки брандмауера можна легко зрозуміти заздалегідь, тому ви навряд чи ПРИЧИНАєте проблеми з брандмауером, які є більш серйозними, ніж проблеми, які ви, ймовірно, уникнете.

Ось чому "ніхто не звільнявся за встановлення брандмауера". Їх реалізація є дуже низьким ризиком і має високу ймовірність запобігання або пом'якшення експлуатації. Крім того, більшість справді неприємних уразливих ситуацій використовуються автоматизацією, тож все "незвичне" в кінцевому підсумку зламає бота або, принаймні, змусить вас пропустити вас на користь більш легкої цілі.

Бічна записка; брандмауері не лише для Інтернету. Ваша бухгалтерія не потрібно ssh / що завгодно для вашого ldap-сервера, тому не дайте їм цього. Комплементація внутрішніх служб може дуже змінити роботу з прибирання у випадку, якщо щось НЕ порушує стіни замку.

Потрібно сказати Ерні, що, хоча ви, здається, робите багато, щоб загартувати ваші сервери та пом'якшувати атаки та вразливості, я не згоден з вашою позицією щодо брандмауерів.

Я ставлюсь до безпеки трохи як до цибулі, оскільки в ідеалі у вас є шари, які вам доведеться пройти, перш ніж дістатися до ядра, і особисто я думаю, що це грубо неправильно не мати певної форми апаратного брандмауера на вашому периметрі мережі.

Я визнаю, що я до цього звертаюся з точки зору "до чого я звик", але я знаю, що кожного місяця я отримую хороший невеликий список патчів цих місяців від Microsoft, багато з яких експлуатуються в дикій природі . Я б уявив, що те ж саме відбувається з майже будь-якою ОС та набором програм, про які ви хочете думати.

Зараз я не пропоную брандмауерам усунути це, а також брандмауери не захищені від помилок / уразливостей, очевидно, що "апаратний" брандмауер - це лише програмне забезпечення, яке працює на апаратному стеку.

Це означає, що я сплю набагато безпечніше, знаючи, що якщо у мене є сервер, якому потрібен лише порт 443, щоб бути доступним з Інтернету, мій Juniper по периметру гарантує, що до Інтернету може бути доступний лише порт 443. Мало того, але мій Palo Alto гарантує, що трафік, що надходить, розшифровується, перевіряється, реєструється та записується на сканування на IPS / IDS - не те, що це усуває необхідність підтримувати безпеку та оновлення сервера (серверів), але чому ви НЕ знайдете вигоди, враховуючи, що вона може пом'якшити нульові подвиги і старі добрі людські помилки?

Перш за все, через вашу розмову про переадресацію портів, я думаю, що ви плутаєте брандмауер з NATING. Хоча в наші дні NAT дуже часто функціонують як брандмауери фактично, це не мета, для якої вони були розроблені. NAT - це інструмент маршрутизації. Брандмауери призначені для регулювання доступу. Для ясності думки важливо, щоб ці поняття були чіткими.

Звичайно, правда, що розміщення сервера за кодом NAT і потім налаштування NAT для того, щоб переслати що-небудь на цей сервер, не є більш безпечним, ніж розміщення сервера безпосередньо в Інтернеті. Я не думаю, що хтось би сперечався з цим.

Аналогічно, брандмауер налаштований таким чином, щоб весь трафік взагалі не був брандмауером.

Але чи справді "дозволити весь трафік" потрібна політика? Хтось коли-небудь має потребу перейти на будь-який із ваших серверів з російської IP-адреси? Поки ти розмовляєш з конфігурацією якогось нового експериментального демона мережі, чи справді всьому світу потрібен доступ до нього?

Потужність брандмауера полягає в тому, що він дозволяє вам залишатись відкритими лише ті сервіси, про які ви знаєте, що вони повинні бути відкритими та підтримувати єдиний пункт контролю для реалізації цієї політики.

Державні брандмауери для перевірки пакетів НЕ належать перед загальнодоступними серверами. Ви приймаєте всі з'єднання, тому відстеження стану є досить марним. Традиційні брандмауери є величезною відповідальністю для DDoS-атак і, як правило, перше, що виходить з ладу під DDoS-атакою, навіть до того, як пропускна здатність посилань або ресурси сервера повністю споживаються.

Фільтри пакетів без стану на маршрутизаторах мають сенс перед загальнодоступними серверами, але лише якщо вони можуть обробляти лінійну швидкість усього вхідного та вихідного трафіку (наприклад, апаратний ACL в маршрутизаторі).

Google, Facebook і навіть Microsoft не ставлять традиційні «брандмауери» перед публічними серверами. Кожен, хто працює із загальнодоступними веб-сервісами за шкалою "більше одного сервера", повинен знати це.

Інші функції, знайдені в традиційних брандмауерах, таких як Cisco ASA або будь-якому іншому, найкраще реалізуються на самих хостах, де їх можна ефективно зменшити. Ведення журналів, IDS тощо - це все-таки функції програмного забезпечення в брандмауерах, тому вони просто стають величезним вузьким місцем і ціллю DDoS, якщо поставити їх перед загальнодоступними серверами.

Чому всі ваші сервери потребують публічної адреси?

Встановіть сервер у серверній кімнаті та надайте йому загальнодоступну IP-адресу.

Із 14-ти серверів, якими я працюю регулярно, лише 2 мають загальнодоступні інтерфейси.

Відредаговано, щоб додати : В інших мережах, у яких я мав руку в управлінні, ми мали можливість за власним бажанням вимикати / вмикати послуги, тоді як ми не мали доступу до управління брандмауером. Я навіть не можу почати розповідати вам, скільки разів, ненароком, звичайно, вмикався і залишався непотрібний сервіс (SMTP), і єдине, що врятувало нас від того, щоб стати сміттєвим дампам і потрапляти в чорний список, було брандмауером.

Також, чи весь трафік, який проходить між серверами, повністю зашифрований?

Ви, звичайно, можете їхати на машині в 100 миль / год без ременів безпеки, без подушок безпеки і лисин, але чому б вам це було

Брандмауери можуть заважати користувачам системи відкривати доступні для мережі сервіси, про які адміністратори не знають, або здійснювати переадресацію портів на інші машини. Використовуючи модуль hashlimit, міжмережеві стіни можуть також обмежувати кількість зловмисників на основі віддаленої IP-адреси.

Брандмауер - ще одна мережа безпеки, яка забезпечує дотримання вашої політики. Звичайно, не запускайте служби, яких ви не очікуєте.

Я, безумовно, рекомендую своєчасно застосовувати оновлення програмного забезпечення, наприклад, але також рекомендую брандмауери на всіх машинах. Це як коли я їзжу: Впевнений, що намагаюся уникати перешкод та інших автомобілів, але я також надягаю на ремінь безпеки і маю подушки безпеки на випадок, якщо станеться несподіване.

Ви, можливо, не усвідомлюєте, скільки ви отримуєте користь від брандмауерів просто тому, що всі інші ними користуються. У день, коли буквально всі, вдома, користувачі DSL мають брандмауери на місці, обнюхування порту було майже не передано як можливий вектор атаки. Гідний хакер не збирається витрачати свій час на перевірку таких речей.