Software e firewall hardware

In primo luogo, tutti i firewall sono firewall software. Alcuni hanno tecnologie 'fastpath' che scaricano pacchetti che corrispondono alle impronte digitali che sono già state valutate nel software per ASIC o sistemi in tempo reale, ma le decisioni del firewall sono prese dallo stack del software. La maggior parte dei firewall funziona su una variante di Linux o BSD, con i propri moduli del kernel che implementano attività firewall di basso livello e pacchetti di gestione del codice utente che il modulo del kernel ritiene debba essere ispezionato ad un livello superiore, ma alcuni, principalmente Cisco, hanno il loro sistema operativo. In entrambi i casi, l'architettura del firewall non è "hardware" o "magia nera".

Penso che stiate facendo una falsa differenziazione e ciò che dovreste effettivamente confrontare è "firewall di endpoint" contro "firewall di gateway". Nonostante la pedanteria, è importante notare che questa è la vera distinzione piuttosto che l'hardware rispetto al software.

In secondo luogo, è una best practice (n. 800-41) e un requisito di conformità in qualsiasi organizzazione di grandi dimensioni, per avere una segmentazione non solo al perimetro, ma anche internamente. In alcuni casi (in particolare, i laptop, che passano dalla zona di sicurezza alla zona di sicurezza ... e persino a luoghi in cui non vi è alcuna sicurezza), è estremamente difficile soddisfare questo requisito con i firewall del gateway. In tali situazioni, i firewall degli endpoint sono utili.

La mia esperienza personale e le mie preferenze riguardo ai firewall degli endpoint non è quella di usarli per soddisfare i requisiti di sicurezza, tranne quando assolutamente necessario (come i laptop). Li vedo piuttosto come un ulteriore vantaggio. Essendo estremamente difficile da gestire a livello centrale e per garantire che tutti i proprietari del sistema siano conformi, devo avere il controllo a livello di rete. Se un amministratore di sistema vuole gestire anche iptables, li raccomando, ma non posso fare affidamento su questo.

Ci sono stati degli argomenti nel passato recente per disabilitare i firewall del PC, in quanto alcuni hanno causato problemi, specialmente se il PC era in una posizione fissa. In questi giorni, con una preponderanza di laptop e windows 7, raccomando vivamente di utilizzare il software firewall integrato in Windows se è tutto ciò che possiedi, o per portatili portatili, un firewall che impone rigide VPN, nega il tunneling diviso e proibisce l'accesso a la rete principale fino a quando non sono stati soddisfatti i prerequisiti di sicurezza.

Se è disponibile, dovresti usarlo. Se un particolare firewall impedisce ad un'applicazione di funzionare, beh, allora devi prendere il tempo necessario per riconfigurare il firewall e / o l'applicazione in modo appropriato.

Risposta breve è sì, ogni PC dovrebbe avere il proprio firewall abilitato.

La risposta lunga è che dipende dall'ambiente. Qual è il costo della gestione del firewall di ogni PC? È più del costo associato a un attacco perché i firewall erano disabilitati?

Come calcoli il costo di un attacco? Che tipo di dati si trovano su quelle macchine? Cose fondamentali per la missione? Business-critical? Roba militare / governativa? L'ultima ricetta dei biscotti della nonna?