Hardware Firewall Vs. Software-Firewall (IP-Tabellen, RHEL)

36

Mein Hosting-Unternehmen sagt, IPTables sei nutzlos und biete keinen Schutz . Ist das eine Lüge?

TL; DR
Ich habe zwei Server am selben Standort. Gestern hat mich mein DC-Unternehmen kontaktiert, um mir mitzuteilen, dass mein Server aufgrund der Verwendung einer Software-Firewall "für mehrere kritische Sicherheitsbedrohungen anfällig" ist und meine aktuelle Lösung "keinen Schutz vor Angriffen jeglicher Art" bietet.

Sie sagen, ich brauche eine dedizierte Cisco-Firewall (1000 US-Dollar Installation, dann 200 US-Dollar pro Monat ), um meine Server zu schützen. Ich hatte immer den Eindruck, dass Hardware-Firewalls zwar sicherer sind, IPTables auf RedHat jedoch einen ausreichenden Schutz für einen durchschnittlichen Server bieten.

Bei beiden Servern handelt es sich nur um Webserver. Sie sind nicht von entscheidender Bedeutung, aber ich habe IPTables verwendet, um SSH nur auf meine statische IP-Adresse zu beschränken und alles außer den grundlegenden Ports (HTTP (S), FTP und einigen anderen Standarddiensten zu blockieren ).

Ich werde die Firewall nicht bekommen, wenn die Server gehackt würden, wäre das eine Unannehmlichkeit, aber alles, was sie ausführen, sind ein paar WordPress- und Joomla-Sites, also denke ich definitiv nicht, dass es das Geld wert ist.

Verschmieren
quelle
6
Ihr Hosting-Unternehmen klingt wie ein Haufen Kanzler! An IPTables ist nichts auszusetzen, und in den meisten Fällen bietet es viel mehr Funktionen als Cisco ASA usw. Das aktuelle Modul und das Limit-Modul fallen hier ein.
Niall Donegan
20
Möchten Sie mitteilen, um welche Firma es sich handelt, damit der Rest von uns klar steuern kann?
Hyppy

Antworten:

34

Hardware-Firewalls führen auch Software aus. Der einzige wirkliche Unterschied besteht darin, dass das Gerät speziell für diese Aufgabe entwickelt wurde. Software-Firewalls auf Servern können bei korrekter Konfiguration genauso sicher sein wie Hardware-Firewalls (beachten Sie, dass Hardware-Firewalls in der Regel einfacher zu erreichen und Software-Firewalls einfacher zu beschädigen sind).

Wenn Sie veraltete Software ausführen, liegt wahrscheinlich eine bekannte Sicherheitsanfälligkeit vor. Während Ihr Server möglicherweise für diesen Angriffsmechanismus anfällig ist, ist die Angabe, dass er ungeschützt ist, entzündlich, irreführend oder eine kühne Lüge (hängt davon ab, was genau sie gesagt haben und wie sie es gemeint haben). Sie sollten die Software aktualisieren und alle bekannten Schwachstellen korrigieren, unabhängig von der Wahrscheinlichkeit der Ausnutzung.

Die Aussage, dass IPTables unwirksam ist, ist bestenfalls irreführend . Aber wenn die eine Regel lautet , alles von allen zu allen zuzulassen , dann würde es überhaupt nichts tun.

Nebenbemerkung : Alle meine persönlichen Server sind FreeBSD-fähig und verwenden nur IPFW (integrierte Software-Firewall). Ich hatte noch nie ein Problem mit diesem Setup. Ich folge auch den Sicherheitsankündigungen und habe noch nie Probleme mit dieser Firewall-Software gesehen.
Bei der Arbeit haben wir Sicherheit in Schichten; Die Edge-Firewall filtert alle offensichtlichen Fehler heraus (Hardware-Firewall). Interne Firewalls filtern den Datenverkehr für die einzelnen Server oder Standorte im Netzwerk herunter (Mischung aus hauptsächlich Software- und Hardware-Firewalls).
Für komplexe Netzwerke jeglicher Art ist die Sicherheit in Schichten am besten geeignet. Bei einfachen Servern wie Ihrem kann es von Vorteil sein, eine separate Hardware-Firewall zu haben, aber ziemlich wenig.

Chris S
quelle
13
+1 - Alle Firewalls sind "Software-Firewalls". Es ist eher eine "Software-Firewall mit Software, die Sie steuern, als eine" Software-Firewall, die eine versiegelte Blackbox ist ". Beschränken Sie Ihre offenen Ports auf das Minimum, das die Server benötigen, um zu funktionieren, lassen Sie unechten Datenverkehr aus, und vergessen Sie nicht, die Ausgangsfilterung zu verwenden.
Evan Anderson
Ja, ich versuche, alles auf dem neuesten Stand zu halten, und ich würde wahrscheinlich sagen, dass ich die Sicherheit recht gut verstehe. Ich war nur ein bisschen schockiert darüber, dass meine DC-Firma mir mitteilte, mein Schutz sei nutzlos. Ich hatte immer angenommen, IP-Tabellen wären gut für grundlegende Server und Hardware-Firewalls waren gut, wenn Sie beispielsweise Sony waren =)
Smudge
6
+1, IPTables ist das, worauf viele anständige Firewall-Systeme aufbauen. Ihr Hosting-Unternehmen lügt durch die Zähne, um zu versuchen, etwas mehr Geld von Ihnen zu verdienen. Geben Sie sie für einen seriösen Verkäufer ab.
Hyppy
2
allow everything from all to allkann genauso einfach auf der Hardware-Firewall implementiert werden - mit ähnlichem Effekt.
CrackerJack9
8

Das Ausführen einer Firewall auf dem geschützten Server selbst ist weniger sicher als die Verwendung eines separaten Firewall-Computers. Es muss keine "Hardware" -Firewall sein. Ein anderer Linux-Server, der als Router mit IPTables eingerichtet ist, funktioniert problemlos.

Das Sicherheitsproblem bei Firewalls auf dem geschützten Server besteht darin, dass der Computer über die ausgeführten Dienste angegriffen werden kann. Wenn der Angreifer Zugriff auf Root-Ebene hat, kann die Firewall über ein Kernel-Root-Kit geändert, deaktiviert oder umgangen werden.

Auf einem separaten Firewall-Computer sollten außer dem SSH-Zugriff keine Dienste ausgeführt werden, und der SSH-Zugriff sollte auf Administrations-IP-Bereiche beschränkt sein. Es sollte relativ unverwundbar für Angriffe sein, abgesehen von Fehlern in der IPTables-Implementierung oder natürlich im TCP-Stack.

Der Firewall-Computer kann Netzwerkdatenverkehr blockieren und protokollieren, der nicht vorhanden sein sollte, sodass Sie frühzeitig vor geknackten Systemen gewarnt werden.

Zan Lynx
quelle
3
Wenn der Server gerootet ist, spielt es wahrscheinlich keine Rolle, ob der Angreifer andere Ports öffnen kann, da er bereits auf lokale Ports zugreifen kann. Wenn der Angreifer über die durch die Firewall zugelassenen Ports Root-Zugriff auf den Server erhalten kann, spielt es wahrscheinlich keine Rolle, was die Firewall blockiert. Darüber hinaus sollte der SSH-Zugriff auf dem Server genauso eingeschränkt sein wie der SSH-Zugriff auf den Firewall-Computer.
CrackerJack9
4

Wenn Ihr Datenverkehr gering ist, versuchen Sie es mit einem kleinen Cisco ASA-Gerät wie dem 5505 . Es liegt im Bereich von 500 bis 700 US-Dollar und ist definitiv für diesen Zweck gebaut. Das Co-Lo gibt Ihnen ein bisschen BS, aber die Preise für die Firewall sind auch nicht zumutbar.

ewwhite
quelle
4

Ich denke, es kommt auch auf die Leistung an. Was eine Software / Server-basierte Firewall mit CPU-Zyklen macht, kann eine Hardware-Firewall mit speziell entwickelten Chips (ASICs) tun, was zu einer besseren Leistung und einem besseren Durchsatz führt.

Robert
quelle
1
Haben Sie Metriken für diesen Vergleich? Auf dem Server wird wahrscheinlich ein leistungsfähigerer Prozessor ausgeführt, und es müssen TCP-bezogene Berechnungen durchgeführt werden, unabhängig davon,
ob sich
3

Aus Ihrer Sicht besteht der eigentliche Unterschied zwischen "Software" (auf dem Computer selbst) und "Hardware" -Firewalls darin, dass sich der Datenverkehr im ersten Fall bereits auf dem Computer befindet, den Sie schützen möchten, sodass er potenziell anfälliger ist, wenn etwas übersehen wurde oder falsch konfiguriert.

Eine Hardware-Firewall fungiert im Wesentlichen als Vorfilter, der nur bestimmten Datenverkehr ermöglicht, Ihren Server zu erreichen und / oder zu verlassen.

In Anbetracht Ihres Anwendungsfalls und der Annahme, dass Sie über ordnungsgemäße Sicherungen verfügen, wäre der Mehraufwand sehr schwer zu rechtfertigen. Persönlich würde ich mit dem, was Sie haben, fortfahren, obwohl ich vielleicht eine andere Hosting-Firma benutze.

John Gardeniers
quelle
3

Spät zum Spiel in diesem Fall. Ja, der Dienstanbieter hat keine Ahnung, wovon er spricht. Wenn Sie ein kompetenter IPTABLES-Administrator sind, sind Sie sicherer als eine standardmäßige Hardware-Firewall. Der Grund dafür ist, dass die nette gee-whiz-Oberfläche, wenn ich sie verwendet habe, nicht die tatsächliche Konfiguration des zulässigen Datenverkehrs widerspiegelt. Die Verkäufer versuchen, es für uns dumme Leute zu dumm zu machen. Ich möchte wissen, welche Möglichkeiten es gibt, dass jedes Paket ein- und ausgeht.

IPTABLES ist nicht jedermanns Sache, aber wenn Sie es mit der Sicherheit ernst meinen, möchten Sie so nah wie möglich am Kabel sein. Das Sichern eines Systems ist einfach - das Reverse Engineering einer Blackbox-Firewall nicht.

dalel2000
quelle
Ich glaube, die Standardkette von RHEL ist iptables ACCEPT, während die meisten Hardware-Firewalls standardmäßig verwendet werden DROP. In dieser Hinsicht ist die Hardware von Haus aus sicherer als die Software von Haus aus. Zugegeben, viele Cloud-Anbieter haben diesen Standard geändert und der Installationsassistent ermöglicht es Ihnen, Regeln festzulegen, bevor die Installation abgeschlossen ist ...
CrackerJack9