Diciamo che il nostro primo firewall ha alcune vulnerabilità e una persona malintenzionata è in grado di sfruttarlo. Se c'è un secondo firewall dopo di esso, lui / lei dovrebbe essere in grado di fermare l'attacco, giusto?
Inoltre, quali saranno gli effetti collaterali? Voglio dire, questo rallenterebbe il traffico o no? Quali sono altri possibili effetti come questo?
Ecco cosa intendo per configurazione:
Ci sono sia vantaggi che svantaggi con due firewall. Sebbene i firewall non siano comunemente sfruttati, sono soggetti a attacchi denial of service.
In una topologia con un singolo firewall che serve sia gli utenti interni che quelli esterni (LAN e WAN), funge da risorsa condivisa per queste due zone. A causa della limitata potenza di calcolo, un attacco denial of service sul firewall dalla WAN può interrompere i servizi sulla LAN.
In una topologia con due firewall, si proteggono i servizi interni sulla LAN dagli attacchi denial of service sul firewall perimetrale.
Naturalmente, avere due firewall aumenterà anche la complessità amministrativa - è necessario mantenere due diverse politiche firewall + backup e patching.
Alcuni amministratori preferiscono filtrare solo il traffico in ingresso - questo semplifica la politica del firewall. L'altra pratica consiste nel mantenere due set di regole separati con filtro in uscita e in entrata. Se è necessaria un'apertura dalla LAN alla WAN, sarà necessario implementare la regola su entrambi i firewall. La logica alla base di questo è che un singolo errore non esporrà l'intera rete, solo le parti che il firewall sta servendo direttamente. Lo stesso errore deve essere fatto due volte.
Il principale svantaggio sono i costi e la manutenzione, ma a mio avviso i vantaggi superano questi.
Di norma, No.
I firewall non sono come barricate che un attaccante deve "sconfiggere" per procedere. Ignorare un firewall trovando un percorso che non è bloccato. Non è tanto una questione di quanti ostacoli si mettono, ma piuttosto quanti percorsi ti permettono. Di norma, tutto ciò che puoi fare con due firewall che puoi fare con uno.
Due firewall sono meglio di uno? Ci sono due prospettive a riguardo dal punto di vista di un hacker che non ha importanza dal momento che cercano porte aperte per lo sfruttamento. Dal punto di vista dell'amministratore di rete, il firewall crea un singolo punto di errore. L'utilizzo di firewall multipli può fornire ridondanza in caso di guasto di un firewall del dispositivo attivo, quindi il traffico del servizio viene trasferito al firewall di backup. A seconda del tipo di firewall distribuito, deve esserci la sincronizzazione tra due firewall prima della commutazione del collegamento. Inoltre è possibile implementare più firewall in.
Fonte: Tecniche di failover stateful del white paper
C'è potenzialmente uno scenario in cui il software del firewall ha un bug che lo induce a consentire il traffico attraverso il quale non dovrebbe farlo. In tal caso, potrebbe esserci un vantaggio nell'avere un secondo firewall dietro al primo software in esecuzione, supponendo che i diversi software non presentino lo stesso bug.
Ma quanto sono comuni i bug del firewall? La mia sensazione è che non sono abbastanza comuni da giustificare la complessità aggiuntiva di questa configurazione, che solleva il rischio di errori di configurazione e fa perdere tempo che potrebbe essere meglio speso per proteggere i servizi dietro il firewall.
Le funzionalità e le funzionalità differiscono molto tra i firewall, quindi non è facile chiedere se due firewall siano migliori di uno solo. Immagino che tu abbia un budget limitato, quindi potrebbe essere meglio avere un singolo, ma più capace firewall per lo stesso prezzo, rispetto a due firewall più economici, che anche combinati hanno meno capacità rispetto all'apparecchio più costoso.
Tuttavia, se hai abbastanza soldi potrebbe essere una buona idea combinare dispositivi capaci di fornitori diversi, in modo da mettere insieme un sistema più sicuro. Naturalmente, non solo costerà più soldi per comprare questi firewall, ma anche per mantenerli. Ognuno di loro avrà un'interfaccia diversa, capacità leggermente diverse o almeno diversi modi per ottenere la stessa cosa. Quindi devi avere amministratori che parlano correntemente tutti questi diversi modelli, forse devono trovare un modo per combinare i vari registri e gli avvisi dei diversi firewall ecc.
Quindi sì, sarà più sicuro, ma solo se hai i soldi per comprare dispositivi e amministratori capaci. Se hai un budget limitato ti suggerirei di ottenere il miglior dispositivo singolo e l'amministratore che puoi ottenere per i tuoi soldi.
Sono d'accordo con la risposta di tylerl sopra. Tuttavia, leggendo i commenti sotto quella risposta, c'è contesa dove non dovrebbe esserci ... che è causato dalla confusione che spero di chiarire. E poi spiega perché penso che due firewall non siano meglio di uno per la domanda posta.
Punto di contesa: si può sfruttare un firewall? Un gruppo dice no, mentre altri dicono di sì.
Ecco l'importante domanda da porre: puoi amministrare il firewall sulla rete?
Per motivi di discussione, ho configurato una scatola Linux come firewall per gestire il traffico tra Internet e la mia rete domestica (cablata + wi-fi). Inoltre lo configuro in modo tale che la macchina firewall NON sia sulla rete, quindi l'unico modo per apportare modifiche alle regole del firewall è di accedere fisicamente alla macchina.
In questa configurazione di amministrazione non in rete è impossibile sfruttare il mio firewall da internet o dalla mia rete domestica. Per sfruttarlo devi prima entrare in casa mia e accedere fisicamente alla macchina.
Come sottolineato da diverse persone, l'aspetto del firewall è semplicemente una barricata che decide quale traffico viene lasciato entrare - non c'è nulla di sfruttabile per quella parte.
Ma se ho riconfigurato il mio setup in modo che la macchina del firewall sia anche connessa alla stessa rete domestica e resa accessibile tramite SSH, allora correrò dei rischi. Qualsiasi utente malintenzionato che entra nella mia rete domestica (attraverso le porte aperte dal firewall) può quindi utilizzare alcuni exploit SSH per accedere alla macchina firewall.
Let's say that our first firewall has some vulnerability and a malicious person is able to exploit it.
Questo implica che la prima casella del firewall fosse connessa a una rete accessibile all'attaccante e che esistesse un servizio accessibile come SSH da sfruttare.
If there's a second firewall after it, he/she should be able to stop the attack, right?
Depends - la tua seconda casella firewall è anche connessa a una rete accessibile all'attaccante? Se è così, allora sicuramente potrebbe essere sfruttato anche da un aggressore esperto.
In realtà non mi aspetterei che gli amministratori esperti facciano tali errori da principiante.
I firewall multipli sono decisamente migliori di uno. Ne uso tre. Dietro il primo c'è il DMZ con "honey pot" che monitora il traffico, ha il proxy email, il proxy del browser e i server Internet; tutto SE Linux. Le informazioni di Honey Pot aiutano a creare la Black List per il secondo firewall. Dietro il secondo firewall ci sono i server Intranet, le stampanti e i computer a bassa sicurezza (Windows). Dietro il terzo firewall, che ha una White List, si trovano computer e server a livello di manager. Tra Monitoring, tre diverse fire wall, una Black List e una White List si crea una rete molto sicura. La chiave è Honey Pot che ti consente di sapere chi sta tentando di attaccarti in modo da poter regolare la lista nera e le regole per proteggere i dati della tua Intranet. L'e-mail pubblica avviene tramite un proxy Linux connesso a distanza. Gli allegati devono essere scaricati da remoto, quindi possono essere recuperati dopo la scansione, se necessario. In oltre 4 anni, non ho avuto un virus oltre la DMZ, a meno che non sia ancora sconosciuto. Finora, i virus venivano tutti catturati dai server proxy non appena scaricati. La navigazione avviene anche attraverso una macchina Proxy, nulla viene scaricato direttamente da Internet dietro il 2 ° o il 3 ° firewall. Le porte vengono riassegnate sopra 1024, quindi il 2 ° e il 3 ° router sono quasi buchi neri. Le nuove informazioni sui clienti vengono inviate a server più sicuri ogni giorno. Tutte le macchine di gestione sono Linux. Inizialmente, impostare e Black Listing richiede molto tempo, una volta che i criminali principali (Microsoft, Google e NSA) sono bloccati, le cose sono facili da mantenere.
Leggi altre domande sui tag firewalls