I firewall locali sono abilitati sulle macchine effettivamente necessarie se si eseguono firewall basati su hardware come pfsense o netgear fvs338 e lo si usa per controllare le connessioni in / out bound?
Personalmente non vedo come un firewall aggiunga localmente alcun tipo di protezione (supponendo che non si verifichino infezioni) oltre a un altro livello di ACL.
I firewall basati su host non sono necessari se disponi di un firewall di rete dedicato.
Tuttavia, difesa in profondità è sempre una buona cosa da praticare. I firewall basati su host consentono un controllo a grana più fine su base macchina su macchina e consentono di filtrare il traffico proveniente da reti interne. Questo può essere un grande vantaggio nell'impedire a un singolo computer compromesso sulla rete di compromettere il resto della rete.
In un sistema operativo ben progettato con un'adeguata manutenzione, non esiste un processo che funzioni e offra servizi e implichi varie attività, ad eccezione di quelle strettamente necessarie per ciò che l'amministratore di sistema e l'utente intendono che faccia la macchina.
Sfortunatamente, gli OS desktop sono cresciuti oltre il punto in cui una semplicità così efficiente potrebbe essere realisticamente raggiunta. Devi far fronte al sistema operativo, compresi molti elementi e attività non documentati, alcuni dei quali implicano attività di rete, in particolare ascoltare le richieste in arrivo su alcune porte e offrire così un servizio agli estranei. È una buona idea fare un inventario di ciò che è in esecuzione sulla tua macchina e provare a tracciare tali elementi indesiderati (guarda l'elenco dei processi, vedi anche le porte aperte con netstat -a , e così via).
Tuttavia, è anche una buona idea applicare una rigorosa politica di in / out per tutto ciò che riguarda il networking, nel caso in cui non si effettuasse una pulizia completa. Un firewall è qualcosa che applica questa politica di in / out. Il tuo firewall hardware esterno intrappolerà tutte le attività che lo attraversano ma potrebbe non visualizzare attività correlate alla rete locale (e i sistemi Windows lo fanno molto, con tutti i NetBIOS roba). Un firewall locale , essendo locale, può vedere ogni singolo byte che entra di uscire dalla macchina, quindi è più accurato per rilevare attività indesiderate.
D'altra parte, un firewall esterno sarà più efficiente nel bloccare gli attacchi che mirano direttamente all'implementazione dei protocolli di rete di basso livello; il firewall locale può agire solo dopo che è stato ricevuto il pacchetto IP e alcuni processi si sono già verificati nel kernel del sistema operativo, quindi è un po 'troppo tardi per il tipo di attacco che sfrutta buffer overflow nel kernel. In questo senso, il firewall esterno e il firewall locale si completano a vicenda . Entrambi possono fare cose che l'altro non può, anche se c'è una parziale sovrapposizione nelle loro rispettive funzionalità.
I firewall basati su host sono gli unici firewall che hanno accesso a quale processo sta tentando di accedere alla rete. Dipende da quanto tu possa essere restrittivo con il firewall hardware, ma a meno che non sia davvero restrittivo, il malware all'interno della rete potrebbe probabilmente fingere di essere un servizio legittimo o addirittura utilizzare un protocollo di servizio legittimo per comunicare. In questi casi, un firewall basato sull'host avrà maggiori possibilità di fermare la minaccia.
Non sarà di alcun aiuto se il malware utilizza il processo effettivo per un servizio autorizzato, ma se il malware inizia a provare a inviare messaggi e-mail o Skype o qualcosa del genere, un firewall basato su host lo impedirà a meno che il processo non sia autorizzato.
Quindi, mentre un buon firewall hardware può ridurre il vantaggio dei firewall basati su host, non lo rimuove completamente.