Sollten Windows-Webserver eine Hardware-Firewall haben?

7

Gibt es zwingende Gründe, einen dedizierten Server (in meinem Fall Windows 2008 R2) mit einer Hardware-Firewall zu schützen? Welche Sicherheitsbedenken würde eine Hardware-Firewall besser abdecken als die integrierte Software-Firwall?

Vielen Dank,

Adrian

Bearbeiten: Zur Verdeutlichung: Ich beziehe mich auf einen Server, auf dem eine SaaS-Website ausgeführt wird, die von einem Micro-ISV ausgeführt wird und die regelmäßig von Clients verwendet wird. Ich beziehe mich nicht auf ein Geschäft mit mehreren Millionen.

2. Bearbeiten :: Die Serverlast ist in meinem Fall kein Problem. Der Server läuft niemals mit mehr als 20% CPU oder mehr als 50% Speicherlast. Es gibt auch keine zentralisierte Verwaltung - es gibt nur einen Windows-Server.

Adrian Grigore
quelle
Mein Verdacht, basierend auf Ihrer akzeptierten Antwort, ist, dass Sie nicht nach echten Antworten gesucht haben, sondern nach jemandem, der Ihre Vorstellung bestätigt, dass Sie keine Hardware-Firewall benötigen.
Joeqwerty
@joeqwerty Ich hatte in der Tat gehofft, dass es nicht notwendig ist, Hunderte oder Tausende von Euro für eine Firewall auszugeben. Das einzige Szenario, in dem ich getan hätte, wäre, wenn die Antworten für eine Firewall einstimmig wären. Es gab jedoch gute Argumente für und gegen eine Hardware-Firewall, wahrscheinlich abhängig davon, wie Sie "Professional Grade" definiert haben. Ich habe die Seite ausgewählt, die meiner Meinung nach am besten für mein Szenario geeignet ist. Wenn ich eine viel größere Website mit einem viel größeren Budget betrieben hätte, hätte ich mich möglicherweise anders entschieden.
Adrian Grigore
Erwischt. Ich bin froh, dass du es für dich selbst erledigt hast. :)
Joeqwerty
@Adrian, ich denke, Sie überschätzen die Kosten einer einfachen Hardware-Firewall drastisch. ihren Nutzen unterschätzen; und einfach jemanden suchen, der Ihnen zustimmt, anstatt der überwiegenden Mehrheit der Fachleute zuzuhören. Aber am Ende liegt die Entscheidung und Verantwortung bei Ihnen.
Chris S
@ Chris S: Wie bereits erwähnt, liegt das Problem meiner Meinung nach darin, wie Sie Professional definieren. Ich bin kein Vollzeit-Systemadministrator, sondern nur ein Entwickler, der seine eigenen Webserver betreibt und Vollzeit in meinem eigenen Zwei-Personen-Unternehmen arbeitet, während die meisten Leute in diesem Forum Vollzeit-Systemadministratoren zu sein scheinen, die Server für Unternehmen mit einem System verwalten viel größeres Budget.
Adrian Grigore

Antworten:

6

Wenn Sie nur einen einzigen Server haben, ist es meiner Meinung nach in Ordnung, sich auf die integrierte Software-Firewall zu verlassen, wenn Sie wissen, was Sie tun .

Wenn Sie jedoch über 2, 3, 4 ... 10 Server verfügen, ist die Verwaltung ziemlich komplex, und Sie sollten eine Hardware-Firewall verwenden, die Sie stattdessen an einem Ort verwalten können.

(Sie benötigen jedoch weiterhin Software- und Hardware-Firewalls für die gesamte Theorie der "Tiefenverteidigung", sodass Sie auf keinen Fall die Software-Firewalls auf jedem Server ausführen können. Nach meiner Erfahrung Windows Server 2008 und höher haben ausgezeichnete Software-Firewalls und wir haben sie 2 Jahre lang exklusiv für Stack Overflow verwendet.)

Jeff Atwood
quelle
Danke für deine Antwort, Jeff! Eine einfachere Verwaltbarkeit ist definitiv ein guter Punkt, obwohl dies in meinem Fall nicht zutrifft.
Adrian Grigore
6

Offensichtlich ist "Professional-Grade" kein offizieller Begriff mit bestimmten Eigenschaften, aber wenn wir davon ausgehen, dass dies im Allgemeinen die Best-Case-Konfiguration bedeutet, wird meiner Erfahrung nach eine Hardware-Firewall bevorzugt. Während Hardware- und Software-Firewalls theoretisch dieselben Funktionen ausführen können, können Sie mit einer Hardware-Firewall diese Arbeit auf ein dediziertes Gerät auslagern. "Professional" -Firewalls verfügen auch über Funktionen, die die meisten Software-Firewalls nicht bieten, und ermöglichen eine wesentlich erweiterte Verwaltung. Außerdem umfasst jede "professionelle" Konfiguration im Allgemeinen eine starke Herstellerunterstützung, die für Hardware-Firewalls im Allgemeinen überlegen ist.

Bearbeitet, um hinzuzufügen: Insbesondere läuft es auf dedizierter Hardware, sodass die Leistung Ihrer Boxen nicht beeinträchtigt wird. Es wird an der Grenze Ihres Netzwerks festgelegt, sodass Sie den Ansatz "Tresortür" haben, den @jowqwerty notiert hat. Es bietet eine zentralisierte Verwaltung von Firewall-Regeln, NAT-Übersetzungen usw. für mehrere Server. Möglicherweise sind erweiterte NAT / PAT-Konfigurationen oder andere Optionen als bei einer typischen Software-Firewall zulässig. In der Regel wird der professionelle Anbieter stärker unterstützt.

Phoebus
quelle
4
Darüber hinaus empfiehlt die bewährte Methode, dass Sie am Eingang Ihres Netzwerks eine Firewall haben und diese so konfigurieren, dass eingehender Datenverkehr nur für die Dienste (HTTP, SMTP usw.) weitergeleitet wird, die Sie über das Internet verfügbar machen möchten. Wenn Sie Firewalls nur auf Ihren Host-Computern ausführen, haben Sie die Bösen im Wesentlichen hereingelassen, und es ist nur eine Frage der Zeit, bis sie sich mit Ihnen durchsetzen. Es ist analog zu einer Tresortür: Sie haben die Tresortür offen gelassen und es ist nur eine Frage der Zeit, bis die Bösen in die Schließfächer einbrechen.
Joeqwerty
+1 für Sie joe, Host - Firewalls sind für chumps;)
phoebus
1
-1: Danke für Ihre Antwort, aber ich habe um eine präzisere Antwort gebeten. Was genau macht es besser als die Software-Firewall, insbesondere wenn man bedenkt, dass Hardware-Firewalls nur Software sind, die auf dedizierter Hardware ausgeführt wird? Könnten Sie näher darauf eingehen?
Adrian Grigore
Und ich und Joe haben dir gesagt, was es besser macht. Es läuft auf dedizierter Hardware, sodass die Leistung Ihrer Boxen nicht beeinträchtigt wird. Es wird an der Grenze Ihres Netzwerks festgelegt, sodass Sie den Ansatz "Tresortür" haben, den @jowqwerty notiert hat. Es bietet eine zentralisierte Verwaltung von Firewall-Regeln, NAT-Übersetzungen usw. für mehrere Server. Möglicherweise sind erweiterte NAT / PAT-Konfigurationen oder andere Optionen als bei einer typischen Software-Firewall zulässig. In der Regel wird der professionelle Anbieter stärker unterstützt.
Phoebus
1
Was die "Tresortür" betrifft: Sie öffnen die Tresortür, indem Sie Port 80 zulassen. :) Die Tresortür wird nur geschlossen, wenn keine Ports durch die Firewall weitergeleitet werden.
Ernie
5

"Hardware" -Firewalls sind nur dedizierte Geräte, auf denen Firewall-Software ausgeführt wird. Sie sind nicht nur in Hardware implementiert. Die meisten Hardware-Firewalls sind jedoch gründlich gegen Script-Kiddies, Malware und verschiedene Exploits geschützt, die auf einem vollständigen Windows-PC vorhanden sein können. Für hochwertige Websites würde ich niemals darauf vertrauen, dass Windows Software alleine sicher genug ist.

Chris S.
quelle
Das heißt, es gibt nette Linux-Appliances mit vorkonfigurierten Firewalls, die NICHT als Hardware-Firewall gelten würden, da Sie sie noch installieren müssen.
TomTom
5

Wir haben keine Firewall, die einen unserer Server schützt. Hier ist der Grund:

Hostbasierte Sicherheit besagt, dass jeder offene Port eine potenzielle Sicherheitslücke darstellt (einschließlich, aber nicht beschränkt auf die Ports, die Sie absichtlich der Öffentlichkeit zur Verfügung stellen). Wenn Ihre Server einfach keine offenen Ports haben, sondern diejenigen, die Sie der Öffentlichkeit zugänglich machen möchten, ist dies fast der gleiche Schutz, den Ihnen eine Firewall bietet. Der einzige zusätzliche Vorteil einer Firewall besteht darin, dass Sie leicht steuern können, welche IP-Adressen im Internet auf die ansonsten öffentlich verfügbaren Ports zugreifen dürfen (oder nicht). In vielen Servern ist diese Funktionalität jedoch trotzdem integriert. Ein weiterer Vorteil besteht darin, dass eine Hardware-Firewall so konfiguriert werden kann, dass für viele Computer nur eine öffentliche IP-Adresse verwendet wird - was heutzutage meistens der Fall ist.

Wenn Ports geöffnet sind und Server ausgeführt werden, die Sie nicht öffentlich verfügbar machen möchten, weil Sie wissen, dass sie irgendwie anfällig sind (und daher den Schutz einer separaten Firewall benötigen), sagt die Sicherheitsdoktrin, dass dies wenig Schutz gegen Angreifer ist. weil es sowieso mehrere Möglichkeiten gibt, die Firewall zu umgehen. Angenommen, Sie haben einen SSH- oder HTTP-Server hinter einer Firewall und mehrere anfällige Windows-Computer im selben Netzwerk. Sollte jemand in den Server eindringen, hat er Zugriff auf das gesamte interne Netzwerk. Sollte jemand einen Virus herunterladen, könnte dieser Computer Ihren Server aus dem Netzwerk heraus angreifen.

Verwenden Sie besser die Firewall-Software auf dem Server und kümmern Sie sich nicht um die "Hardware" -Firewall. Das heißt, wenn Sie zunächst einmal eine Firewall benötigen. Sichern Sie Ihren Webserver so, dass nur IIS ausgeführt wird und nur IIS anfällig für Angriffe ist. Welches wäre wahr, ob Sie eine Firewall haben oder nicht.

Bearbeitet, um hinzuzufügen:

Ich wollte ursprünglich auch darauf hinweisen, dass eine Hardware-Firewall dem Netzwerk auch einen einzelnen Fehlerpunkt hinzufügt. Dieses Problem ist auch einer der Hauptgründe, warum wir keine Firewall haben, die unsere Server schützt. Während die Verwaltung zentralisiert wird, werden auch durch die Verwaltung verursachte Ausfälle zentralisiert. Es ist auch erwähnenswert, dass auf allen Servern Debian ausgeführt wird und Schwachstellen im Kernel und in den Bibliotheken in angemessener Zeit behoben werden.

Während Hardware - Firewalls sorgen dafür , dass die Löcher in einer Reihe aufstellen nicht, sind Angreifer meist daran interessiert sind , wo die Löcher tun Zeile nach oben: wie in den Häfen , die speziell offen in der Firewall befinden. Wenn es eine Sicherheitslücke in einem Service ist , dass Sie zur Verfügung stellen, das ist , wo sie angreifen. Und kommen Sie durch Ihre Firewall (s). Und greifen Sie den Rest des Netzwerks an und suchen Sie nach den einfacheren Sicherheitslücken, die die Firewall angeblich schützen soll.

Zu Ihrer Information, wir haben seit dem Wechsel zu Debian und der Verwendung der Debsecan-Software keine Server mehr ausgenutzt, abgesehen von einigen Webmail-Konten, die Opfer von Phishing-Angriffen wurden.

Ernie
quelle
+1 für eine ausführliche Antwort, obwohl ich damit nicht einverstanden bin. Sicherheit wird meiner Meinung nach am besten durch Schichten erreicht. Während Ihre Antwort in Bezug auf die Verhärtung des tatsächlichen Hosts gültig ist, würde ich dies niemals als meine einzige Verteidigungslinie belassen. Der Schlüssel zur Sicherheit liegt meiner Meinung nach darin, eine ausreichende Anzahl von Schichten bereitzustellen, damit sich die potenzielle Belohnung nicht lohnt.
Joeqwerty
-1 Sie gehen davon aus, dass Ihre Windows-Treiber und Ihr Kernel keine Sicherheitslücken aufweisen, bevor die Firewall-Software aktiviert wird. Das Umgehen mehrerer Firewalls ist nicht so einfach, wie Ihre "Sicherheitsdoktrin" denkt. Gut gestaltete Netzwerksicherheit ist keine einzelne Schicht, wie Sie vorschlagen, sondern mehrere Schichten wie eine Zwiebel, wie Joe, Oskar und andere hervorgehoben haben. Die Verwendung mehrerer Schutzschichten ist fast überall "sicherer" als die Verwendung einer einzelnen Software auf einem einzelnen Server, während andere Fehlkonfigurationen dem Netz ausgesetzt werden. Obwohl Ihre Antwort gut geschrieben zu sein scheint, stimme ich ihr überhaupt nicht zu.
Chris S
1
@ Chris S: Es kommt auf Kosten und Nutzen an, nicht nur auf den Nutzen allein. Meine Frage war, ob es sich für eine professionelle Website lohnt, die von einem Mikro-ISV betrieben wird. Sie haben vielleicht einen viel größeren Maßstab im Sinn ...
Adrian Grigore
@ Joeqwerty: Oh, ich stimme definitiv zu, dass die Sicherheit in Schichten besser ist. Aber manchmal geht es nicht nur um Sicherheit. Manchmal geht es um Verfügbarkeit und Einfachheit. Wenn irgendeine Technik, die Sie verwenden, funktioniert, warum dann wirklich klopfen?
Ernie
1
@ChrisS: Wenn die Windows-Treiber oder der Kernel oder der TCP-Stack Schwachstellen aufweisen, stehen diese Schwachstellen Angreifern weiterhin zur Verfügung, wenn sie Port 80 auf dem Server sehen können. Wenn Sie andererseits einen Datenbankserver hätten, der nur mit Ihrem Webserver kommunizierte und niemals im Internet gesehen werden sollte, wäre dieser Server durch Ihre Firewall geschützt. Bis natürlich Ihr Webserver kompromittiert wurde.
Ernie
4

Es sollte sich hinter einer Firewall befinden, jedoch kein großer Unterschied zwischen welchem ​​Typ. Eine Hardware-Firewall ist nur ein proprietäres Betriebssystem, normalerweise Linux, das in ein Gehäuse integriert ist, und enthält eine Supportvereinbarung, die Unterstützung bietet, wenn Sie Fragen zum Produkt haben. Alle tun das Gleiche und wenn Preis und / oder Support kein Problem darstellen, funktioniert beides einwandfrei.

Nick O'Neil
quelle
Normalerweise Linux? Eher wie normalerweise Cisco IOS. Vor allem, wenn Sie "professionelle" Server schützen.
Ernie
Sie machen nicht alle dasselbe, siehe AndyNs Antwort. Die ASIC-Chips bieten Hardware-Firewalls einen Leistungsvorteil, selbst bei den billigeren Modellen wie den SOHO-ASAs.
K. Brian Kelley
Ich würde gerne Benchmarks sehen, die solche mit Intel Core i7 vergleichen, das eine Linux-Firewall-Box widmet, die aus einem von dod überprüften Linux-IP-Tabellenfiltersatz besteht. Nicht zu sagen, dass einer besser ist als der andere und ich finde, dass er gleich ist und die Unterstützung, die ein Hersteller bietet, eine sehr wertvolle Unterstützung für uns als Endbenutzer ist. Die Preisgestaltung für ein Gerät und einen Support im Vergleich zur Intel White Label Commodity Box könnte dieselbe sein, aber der Support könnte für einige das Unterscheidungsmerkmal sein, wenn es darauf ankommt.
Nick O'Neil
4

Sicherheit kommt in Schichten, wie Zwiebeln. Sie möchten sowohl Perimeterschutz als auch Hostschutz und alles, was Sie zwischen und innerhalb des Hostschutzes (Anwendung usw.) erhalten können.

Hardware ist nicht so, wie die meisten Antworten heute wirklich anders anzeigen, sondern nur Software in Appliance-Form. Ich würde nicht zögern, ein Microsoft TMG auf die Perimeter-Verteidigung zu setzen und dann die eingebauten Firewalls für die Host-Verteidigung zu verwenden, aber im Allgemeinen gibt es ein zusätzliches Sicherheitsgefühl (und einen erhöhten Wartungsaufwand), indem verschiedene Firewall-Systeme wie eine Cisco-Appliance und / oder gemischt werden oder eine Linux-basierte Perimeter-Firewall.

Oskar Duveborn
quelle
Hardware-Firewalls verfügen in der Regel über spezielle Chips, um die erhöhte Last zu bewältigen. Dadurch werden Ihre Server entlastet. Sogar die billigeren ASAs tun dies.
K. Brian Kelley
Sicher, und wenn Sie wirklich groß rauskommen, wird sich speziell entwickelte Hardware durchsetzen, aber im Vergleich zu ASA kann ich nur sagen, dass moderne Allzweckhardware, insbesondere wenn sie mit einigen entladbaren Netzwerkschnittstellen ausgestattet ist, in "Software" die gleiche Leistung erbringen kann. zu "Hardware" -Lösungen. Der Unterschied liegt normalerweise in der Verpackung, im Service und im Support (und möglicherweise im Energieverbrauch). Selbst Hardware-Firewalls mit anständigen Verschlüsselungsbeschleunigern erfordern separate VPN-Beschleuniger, wenn ein bestimmtes Limit überschritten wird. Diese können genauso gut in eine generische Netzwerkkarte integriert oder als PCI-Erweiterungskarten hinzugefügt werden.
Oskar Duveborn
2

Um pedantisch zu sein: Es sollte beachtet werden, dass einige kommerzielle High-End-Firewall-Appliances über speziell entwickelte ASIC-Chips verfügen, die einen Teil der Arbeit in dediziertem Silizium und nicht auf der Haupt-CPU erledigen. Solche Bestien werden im Allgemeinen nicht benötigt, es sei denn, Sie haben es mit großem Verkehr und großer Krypto zu tun. Wie andere angemerkt haben, bedeutet "Hardware-Firewall" im gelegentlichen Gebrauch ein Gerät, auf dem ein minimiertes, gehärtetes Betriebssystem und eine Firewall-Software mit einem Supportvertrag des Anbieters ausgeführt werden.

Zur ursprünglichen Frage: Alle komplexen Systeme weisen Mängel auf. Um das Risiko eines Exploits zu verringern, bauen wir Schichtsysteme, damit die Löcher nicht ausgerichtet werden.

Anlage A: "Das Zielgebiet ist nur zwei Meter breit. Es ist eine kleine thermische Auslassöffnung direkt unter der Hauptöffnung. Der Schacht führt direkt zum Reaktorsystem."

AndyN
quelle
+1 für die Antwort und für die Todessternreferenz. :)
Joeqwerty
0

Ich weiß, dass ich reinkomme, nachdem eine Antwort akzeptiert wurde, aber ich gehe davon aus, dass Sie auch eine Hardware-Firewall verwenden. Selbst in Ihrer gegebenen Situation würden Ihnen die Low-End-Hardware-Firewalls (<1000 US-Dollar) gut tun. Tiefenverteidigung ist ein Teil davon. Ein Teil davon ist jedoch, dass die Hardware-Firewalls über spezielle Chips verfügen, um die Netzwerklast zu bewältigen. Das heißt, sie bewältigen den Verkehr besser. Indem Sie der Firewall erlauben, den ganzen Unsinn zu verarbeiten (und wenn Sie jemals ein IDS auf den Rand setzen, werden Sie sehen, was ich unter Unsinn verstehe), entladen Sie diesen von Ihren Servern, damit sie besser funktionieren. Ihr Speicher und ihre CPU werden nicht gebunden, um ungültigen Datenverkehr zu verwerfen. Die Hardware-Firewall erledigt das für sie. Wenn Sie etwas mehr bezahlen können, werden viele Hardware-Firewalls mit integrierter IDS / IPS-Funktionalität geliefert.

K. Brian Kelley
quelle
0
  1. Anstatt als Systemadministrator zu denken und die Kosten dafür zu vergleichen, denken Sie als Unternehmer darüber nach und fragen Sie: "Was kostet es, keine Hardware-Firewall zu haben?" Was würde mit Ihrem Unternehmen passieren, wenn Ihre Server für X Stunden offline gehen würden? oder Daten wurden gestohlen? Wie viele Kunden würden Sie verlieren? Was würde mit Ihrem Geschäftsruf passieren?

  2. Sind Sie in Ihrem Büro oder in einem Rechenzentrum untergebracht? Die meisten Rechenzentren bieten einen Hardware-Firewall-Dienst mit Redundanz / Failover / Verwaltung gegen eine monatliche Gebühr an. Oder besorgen Sie sich Ihre eigene Firewall. Vor einigen Jahren haben wir ein kleines Cisco Pix für etwa 600 US-Dollar gekauft und es war großartig.

jqa
quelle
Zu 1: Genau das mache ich gerade. Deshalb bin ich natürlich vor allem besorgt, aber ich muss auch genau wissen, wo sich eine Hardware-Firewall auszeichnen würde, um die zusätzlichen Kosten zu rechtfertigen.
Adrian Grigore
Firewall-Grundlagen - Eine ordnungsgemäß konfigurierte Hardware-Firewall kann Ihre Server hinter NAT in einem lokalen Netzwerk verstecken. Externe Angreifer werden es schwer haben, daran vorbei und zu Ihren anfälligeren Servern zu gelangen. Sie müssen die Entscheidung jedoch basierend auf den Funktionen Ihrer App treffen. Wenn Sie etwas mit Geldtransaktionen tun, werden Sie ein Ziel sein.
JQA
Dies sollte Teil des vorherigen Kommentars gewesen sein. Ich habe eine obskure Fehlermeldung erhalten, dass der Kommentar nicht gespeichert werden soll. Und vergessen Sie nicht die Anwendungsschwachstellen wie XSS. Wenn Sie sich Sorgen über Firewalls machen, sollten Sie Ihre App auch auf Schwachstellen wie den Scanner von Rapid7 oder etwas von OWASP überprüfen. App-Schwachstellen können nicht von einer Firewall behoben werden.
JQA