Se un computer è connesso direttamente a Internet, è vulnerabile agli attacchi.
Quindi colleghiamo un firewall hardware tra il computer e Internet. Ma questa nuova configurazione non significa che ora il nostro firewall hardware diventi vulnerabile agli attacchi?
In questo caso, il firewall hardware non sarebbe infetto?
Non stiamo semplicemente sostituendo un agnello con uno nuovo?
Il motivo principale per ottenere il firewall hardware non dipende dal fatto che il computer sia direttamente vulnerabile agli attacchi, ma perché è necessario un dispositivo ad alte prestazioni, che sia gestibile e abbia la capacità di eseguire filtri complessi. Ottenere un firewall hardware per un solo computer è un po 'sciocco.
La quantità di possibili vettori di attacco è ridotta in quanto sono presenti meno superfici di attacco diverse. In primo luogo, un firewall ha meno applicazioni in esecuzione rispetto a un computer. Anche un firewall che è correttamente posizionato in una rete non ha le sue interfacce amministrative (che gestiscono il firewall) di fronte a Internet. Questi sono gestiti da una rete separata e limitata.
Ciò significa che è necessario essere in grado di avere una sorta di overflow del buffer quando controlla le connessioni in entrata. Ciò sarebbe teoricamente possibile ma la probabilità è piuttosto bassa. Non sto dicendo impossibile, ma inferiore.
Risposta breve: sì. I firewall hardware sono vulnerabili alle infezioni in modo simile ai computer perché sono semplicemente un altro computer.
Non esiste un "firewall hardware". Si tratta semplicemente di computer dedicati con sistemi operativi dedicati e software dedicati, ecc. È ancora un computer che esegue software che potrebbe quindi essere infettato qualora qualcuno scoprisse una vulnerabilità.
I pro di un firewall "hardware" sono teoricamente meno software in esecuzione e meno punti di accesso / connettività che richiedono test per le vulnerabilità, quindi questi dispositivi potrebbero avere meno probabilità di essere infetti. Tuttavia non è impossibile.
I contrari di un firewall "hardware" sono meno probabilità di ricevere aggiornamenti software (altrimenti noti come aggiornamenti del firmware) nel corso della sua vita. Ciò significa che se viene rilevata una vulnerabilità con il dispositivo, potrebbe essere necessario molto tempo prima che venga creata una patch che la corregge (se viene creata una patch).
Un'eccezione a questa regola di patch potrebbe essere Cisco e altre organizzazioni dedicate alla sicurezza delle reti che fanno il loro lavoro per "stare al passo con la curva". Queste persone potrebbero rilasciare patch più velocemente. Tuttavia, per ricevere questo servizio, spenderei molto di più di una soluzione firewall per il mercato interno che ti costerà.
Nota: se non si mantiene l'infrastruttura di rete aggiornata e aggiornata, sarà responsabile di tutte le vulnerabilità note del dispositivo e della versione del software in esecuzione. Lo stesso vale per i firewall software e i sistemi operativi sul tuo computer.
Caso in questione: Censimento su Internet 2012
"Abstract: giocando con Nmap Scripting Engine (NSE) abbiamo scoperto un numero incredibile di dispositivi embedded aperti su Internet, molti dei quali basati su Linux e che consentono l'accesso a BusyBox standard con vuoto o predefinito credenziali Abbiamo usato questi dispositivi per costruire uno scanner di porte distribuite per scansionare tutti gli indirizzi IPv4.Queste scansioni includono sonde di servizio per le porte più comuni, ping ICMP, scansioni DNS inverse e SYN. Abbiamo analizzato alcuni dati per ottenere una stima del Utilizzo dell'indirizzo IP Tutti i dati raccolti durante la nostra ricerca sono rilasciati nel pubblico dominio per ulteriori approfondimenti. "
Questa persona (o gruppo) aveva utilizzato nomi utente e password e vulnerabilità predefinite di "dispositivi incorporati" (che potrebbero includere router, telefoni, firewall, stampanti, molti dispositivi "connessi a Internet") per accedere al dispositivo e eseguire il codice che li ha aiutati a scoprire più dispositivi.
"Inoltre, con centomila dispositivi di scansione a dieci sonde al secondo avremmo uno scanner per porta distribuito per eseguire la scansione dell'intero Internet IPv4 entro un'ora."
La probabilità di infezione / compromesso è correlata alla generalità della funzione. I firewall hardware forniscono un insieme molto limitato di funzioni / funzioni e hanno una probabilità di compromesso corrispondentemente limitata. Credo che sia stato Gene Spafford che per primo ha osservato che la probabilità di compromesso è direttamente correlata al numero di righe di codice. (Sospetto che sia più vicino a una relazione esponenziale).
Tutto ciò che accetta e interpreta input esterni ha il potenziale per essere compromesso.
L'installazione di un firewall hardware tra la tua workstation e Internet non ti renderà sicuro perché nulla ti renderà sicuro al 100%. Quello che vuoi puntare è la riduzione del rischio. Puoi ridurre i rischi riducendo al minimo la superficie di attacco e eseguendo versioni ben mantenute e un buon firewall di rete può aiutarti a farlo.
Se installi un firewall hardware con molte funzioni "avanzate" come l'ispezione approfondita dei pacchetti e il rilevamento delle intrusioni e non lo aggiusti mai, hai una vasta area di superficie e interfacce vulnerabili.
Ci sono probabilmente più vettori di attacco per una workstation che un firewall, si spera che non legga la posta elettronica e apri i pdf sul firewall. Detto questo, un firewall di rete non attenuerà molti di questi vettori di attacco (phishing, file infetti da malware, XSS), quindi è necessario proteggere il firewall e la workstation. Un firewall ben progettato con una buona configurazione ridurrà il rischio di scansioni e attacchi basati sulla rete.
Un firewall di rete ti aiuterà anche dopo che la tua workstation è stata compromessa. Se si fa affidamento su un firewall basato su host e l'host viene compromesso, l'utente malintenzionato disattiverà il firewall e i dati exfiltrate. Se c'è un firewall di rete nel mezzo e sta bloccando le connessioni in uscita non approvate, rende l'exfiltrazione un po 'più difficile.