Апаратний брандмауер Vs. Брандмауер програмного забезпечення (IP-таблиці, RHEL)

Моя хостингова компанія каже, що IPTables є марним і не забезпечує захисту . Це брехня?

TL; DR У
мене є два спільно розташовані сервери. Вчора моя компанія DC контактувала зі мною, щоб сказати, що оскільки я використовую програмний брандмауер, мій сервер є "вразливим до кількох критичних загроз безпеці", і моє поточне рішення пропонує "Не захищати від будь-якої форми атаки".

Вони кажуть , що мені потрібно отримати спеціальний Cisco брандмауер (установка $ 1000. $ 200 / місяць кожен ) , щоб захистити свої сервери. Я завжди мав враження, що, хоча апаратні брандмауери є більш захищеними, щось на зразок IPTables на RedHat пропонувало достатній захист для середнього сервера.

Обидва сервери - це лише веб-сервери, в них немає нічого критично важливого, але я використовував IPTables для блокування SSH лише для моєї статичної IP-адреси та блокування всього, крім основних портів (HTTP (S), FTP та декількох інших стандартних сервісів ).

Я не збираюся брати брандмауер, якщо ефір серверів був зламаний, це буде незручністю, але все, що вони працюють, - це декілька сайтів WordPress та Joomla, тому я точно не думаю, що це коштує грошей.

Апаратні брандмауери також працюють із програмним забезпеченням. Єдина реальна відмінність полягає в тому, що пристрій розроблений за призначенням і присвячений цій задачі. Програмні брандмауери на серверах можуть бути настільки ж безпечними, як і апаратні брандмауери при правильній налаштуваннях (зауважте, що апаратні брандмауери, як правило, «простіше» дійти до цього рівня, а програмні брандмауери «легше» прокрутити).

Якщо ви використовуєте застаріле програмне забезпечення, ймовірно, відома вразливість. Хоча ваш сервер може бути сприйнятливим до цього вектора атаки, заявивши, що він незахищений - це запалення, введення в оману або брехливий шрифт (залежить від того, що саме вони сказали і як вони це мали на увазі). Вам слід оновити програмне забезпечення та виправити будь-які відомі вразливості незалежно від ймовірності використання.

Заявити, що IPTables неефективний, в кращому випадку вводить в оману . Хоча знову ж таки, якщо одне правило дозволяє все від усіх, то так, воно б нічого не робило.

Бічна примітка : всі мої персональні сервери працюють на FreeBSD і використовують лише IPFW (вбудований програмний брандмауер). У мене ніколи не було проблем з цією установкою; Я також стежу за повідомленнями про безпеку і жодного разу не бачив жодних проблем із цим програмним забезпеченням брандмауера.
На роботі у нас є захист у шарах; крайовий брандмауер фільтрує всі очевидні лайно (апаратний брандмауер); внутрішні міжмережеві стіни фільтрують трафік для окремих серверів або розташування в мережі (суміш здебільшого програмних та апаратних брандмауерів).
Для складних мереж будь-якого типу безпека в шарах є найбільш доцільною. Для простих серверів, таких як ваш, може бути певна перевага у наявності окремого апаратного брандмауера, але досить мало.

Запуск брандмауера на самому защищаемом сервері є менш безпечним , ніж використання окремої машини брандмауера. Це не обов'язково має бути "апаратним" брандмауером. Інший сервер Linux, встановлений як маршрутизатор з IPTables, спрацював би добре.

Проблема безпеки з брандмауерами на захищеному сервері полягає в тому, що на машину може бути атаковано через запущені служби. Якщо зловмисник може отримати доступ до кореневого рівня, брандмауер може бути змінений або відключений або пройдений через кореневий комплект ядра.

Окремий брандмауер не повинен працювати жодним сервісом, окрім доступу до SSH, і доступ до SSH повинен бути обмежений діапазонами IP адміністрування. Це, звичайно, повинно бути порівняно невразливим для атаки, забороняючи помилки у впровадженні IPTables або стеку TCP.

Машина брандмауера може блокувати та реєструвати мережевий трафік, який не повинен існувати, що дає вам цінне раннє попередження про тріщинні системи.

Якщо ваш трафік низький, спробуйте невеликий блок Cisco ASA типу 5505 . Він знаходиться в діапазоні від 500 до 700 доларів і, безумовно, створений за призначенням. Ко-ло - це сорти, що дає вам BS, але їхні тарифи на брандмауер також є необґрунтованими.

Я думаю, це також залежить від продуктивності. Що робить брандмауер на базі програмного забезпечення / сервера за допомогою циклів процесора, апаратний брандмауер може робити за допомогою спеціально створених мікросхем (ASIC), що призводить до кращої продуктивності та пропускної здатності.

З вашої точки зору, реальна різниця між брандмауерами "програмного забезпечення" (на самій машині) та "апаратними" полягає в тому, що в першому випадку трафік вже стоїть на машині, яку ви хочете захистити, тому потенційно є більш вразливим, якщо щось не помічено або неправильно налаштований.

Апаратний брандмауер по суті діє як попередній фільтр, який дозволяє лише певному трафіку дістатися та / або виходити з вашого сервера.

З огляду на ваш випадок використання та якщо ви, звичайно, у вас є резервні копії, зайві витрати було б важко виправдати. Особисто я б продовжував те, що у вас є, хоча можливо, використовуючи іншу хостинг-компанію.

Пізно до гри на цьому. Так, постачальник послуг поняття не має, про що вони говорять. Якщо ви компетентний адміністратор IPTABLES, я б сказав, що ви більш безпечні, ніж апаратний брандмауер, який не випускається з коробки. Причина полягає в тому, що коли я їх використовую, приємний інтерфейс gee-whiz не відображає фактичну конфігурацію того, через що дозволений трафік. Продавці намагаються придушити це для нас німих людей. Я хочу знати про всі можливості кожного пакета, що надходить і виходить.

IPTABLES не для всіх, але якщо ви серйозно ставитеся до безпеки, ви хочете бути якомога ближче до проводів. Забезпечити систему просто - зворотна інженерія брандмауера Blackbox не є.