Server: perché un dispositivo separato per un firewall, oltre alla riduzione dello spoofing IP o dell'aumento delle prestazioni

Naviga le tue risposte
4

Perché il firewall dovrebbe essere all'esterno del server, ad eccezione di questi due elementi

  • Prendi l'impatto sulle prestazioni del rumore dal server.

  • Aggiungi un livello fisico tra i dispositivi in modo che possano essere su sottoreti separate, quindi utilizza ACL per impedire lo spoofing IP. In questo modo, l'indirizzo IP può essere utilizzato in modo affidabile per verificare da quale rete interna provengono i pacchetti. (i dati provenienti da una rete interna verrebbero eliminati se l'indirizzo IP non corrispondesse, i dati provenienti dal Web sarebbero bloccati se l'indirizzo IP corrispondesse a una delle reti interne). Ciò potrebbe probabilmente essere ottenuto utilizzando le porte Ethernet alternative sul server, ma il dispositivo separato sembra più facile da gestire.

    In realtà, io tendo a pensare che i controlli IP sorgente possano essere sostituiti con chiavi private e strette di mano di crittografia, ma capisco che questo può essere poco pratico.

A parte questo, mi sembra che il firewall del software dovrebbe gestire tutto, incluso il blocco dei protocolli, la soppressione della "connessione rifiutata", ecc.

Questo lascia questi

  • La mancanza di una buona soluzione firewall software (ad esempio il mio PC Windows probabilmente non dovrebbe mai essere collegato direttamente a Internet.
  • Aggiunta di un secondo livello, nel caso in cui il firewall del software sia configurato in modo errato.
  • "rimediare" alle carenze del software di bordo, ad esempio un firewall potrebbe essere aggiornato automaticamente con le ultime regole di ispezione, ma se il software è sicuro per cominciare, questo dovrebbe non essere un problema.

Per favore mi illumini se mi manca qualcosa sullo scopo corretto di un dispositivo separato. Trovo che penso che i primi due elementi siano l'unico scopo legittimo. Il resto si limita a rimediare alle carenze del server.

    
posta George Bailey 21.09.2011 - 21:44
fonte

3 risposte

1

Il punto di un dispositivo separato è ridurre la probabilità di sfruttamento. Qualsiasi servizio eseguito su un dispositivo potrebbe presentare una vulnerabilità che un utente malintenzionato potrebbe sfruttare.

Il lavoro di un firewall è letteralmente quello di rendere le decisioni di controllo degli accessi al traffico sulla base di un insieme di regole. Se, ad esempio, eseguisse anche un server ftp, un utente malintenzionato potrebbe tentare di sfruttare quel server FTP per eseguire l'escalation del controllo del firewall e quindi modificare le regole di controllo degli accessi per consentire l'ingresso o l'uscita.

L'utilizzo di netstat può aiutare, e per bloccare davvero un ambiente è possibile eseguire i controlli di accesso su tutti i dispositivi, in pratica è più facile posizionare i controlli su quei dispositivi che passano il traffico in entrata e in uscita da una rete.

La maggior parte delle aziende in questi giorni ha controlli limitati su ogni endpoint: antivirus, blocco di determinati siti Web, firewall per impedire il tunneling diviso, ecc., ma non nella stessa misura.

    
risposta data 22.09.2011 - 09:57
fonte
5

Un motivo per un dispositivo separato è che puoi rimuovere tutto che non è strettamente necessario per il funzionamento sicuro del firewall. Ciò riduce il numero di possibili attacchi al dispositivo che aumentano la sicurezza.

    
risposta data 21.09.2011 - 23:18
fonte
3

Esistono molti buoni firewall software che funzionano come dispositivi separati. Il problema è "dispositivo separato" più di ogni altra cosa.

Il punto di un dispositivo separato è che si tratta di un singolo punto di controllo per l'intera rete.

Ad esempio, supponiamo che qualcuno colleghi un computer portatile alla rete. Se non esiste un dispositivo firewall, è aperto a Internet e aperto a Internet locale e un hacker può sfruttarlo per entrare nella rete.

Tecnicamente, non hai davvero bisogno di un firewall su un server: basta eseguire netstat e disabilitare tutte le porte che non dovrebbero essere aperte e in ascolto. La ragione per cui hai un dispositivo firewall separato che fornisce il controllo centrale è che spesso fai degli errori, più che nel firewall.

Come ci si potrebbe aspettare, per le grandi aziende, i set di regole firewall diventano così grandi e soggetti a errori che diventano un singolo punto di errore piuttosto che un singolo punto di controllo.

    
risposta data 22.09.2011 - 01:35
fonte

Leggi altre domande sui tag

Devo ignorare l'exploit SSL BEAST e continuare a preferire AES? Come criptare un intero HDD portatile, in modo che non possa essere letto / scritto senza la password per esso?