Un router può proteggere la nostra rete o è necessario un firewall hardware?

Naviga le tue risposte
1

Sono in una piccola azienda (12 PC nella rete interna). Utilizziamo questa architettura di rete ora: 

Internet(Modem) --> Router --> Firewall --> Switch -- > Internal Network (clients PCs)
                |                       |
                |- Wifi Router          |- DHCP & AD Server
                |- HTTP file server

Il server principale ei PC dei clienti sono (relativamente) nuovi (rispetto ad altri componenti), sono stati acquistati nel 2005. Ma gli altri software sono vecchi raccapriccianti, molti di loro hanno più di 15 anni. Sono diventati i colli di bottiglia della rete.

Qui descrivo tutti i componenti in una ripresa breve:

  • Il router è un vecchio ASUS (Rx3041)
  • Firewall è un MS Server 2003 R2 con ISA 2006 installato (ora Forefront Threat Management Gateway). Definitivamente questo è il collo di bottiglia principale della nostra rete, dobbiamo riavviare questo server più di uno a settimana, perché iniziare in modo casuale a eliminare le connessioni consentite.
  • DHC & AD Server è un MS SVR 2008 R2 e funziona anche come file server interno e server HTTP interno (su di esso viene eseguito un rilevatore di problemi Redmine, ma non su IIS.)
  • Wifi Router è semplicemente un punto di accesso a Internet al di fuori del nostro firewall per i nostri dispositivi wireless quali telefoni e tablet (ma nessun laptop o computer, che usiamo per lavoro).
  • Il server dei file HTTP è un vecchio laptop, anch'esso fuori dal firewall (tuttavia abbiamo una regola per raggiungerlo dalla rete interna, quindi lo usiamo come unità di rete per pubblicare alcune cose.

Mentre i nostri programmatori lavorano fuori ufficio, quindi non abbiamo alcuna informazione sensibile sulla maggior parte dei PC client tranne uno. Anche le informazioni sensibili del nostro archivio server. (codice sorgente, informazioni sui nostri clienti, ecc.)

Vogliamo rinnovare un po 'la nostra rete. Prevediamo di utilizzare un solo router invece di 2 router e un firewall. Sembra così: 

Internet(Modem) --> Router with wifi --> Switch -- > Internal Network (clients PCs)
                           |                      
                           |- HTTP file server (DMZ maybe?)

Vogliamo utilizzare il router Asus RT-AC66U.

Ho letto questa ottima risposta di Bill Frank, ma la domanda è di tre anni e le cose cambiano velocemente. Forse i router si sono evoluti abbastanza per essere in grado di proteggere una rete. Quindi la mia domanda: questa è un'opzione praticabile? Un router potrebbe proteggerci? O dobbiamo usare (ancora) un firewall hardware per proteggere la nostra rete? (Dovremmo, ma dobbiamo?)

Abbiamo scelto questa opzione a causa della questione del denaro. Se potessi installare un nuovo router e posizionare l'intera rete dietro un firewall (su una nuova macchina), ma la direzione dice che non ci sono soldi facili da spendere per questo. Dovrei combattere per un nuovo server firewall? O il router sarà sufficiente?

    
posta NoNameProvided 10.04.2014 - 10:05
fonte

2 risposte

2

Molti router, anche nel segmento consumer, dispongono di funzionalità di filtraggio di rete di base basate su protocollo, porta e IP, il che significa che possono essere utilizzati anche come firewall di base. Le appliance firewall dedicate offrono spesso funzionalità aggiuntive, come l'ispezione deep-packet per rilevare alcune minacce conosciute a livello di protocollo o il rilevamento automatico degli attacchi basato sull'euristica (possono avvisarti quando qualcuno sembra sondare la tua rete per le vulnerabilità). Che tu ne abbia bisogno o meno dipende dalla sicurezza che la tua rete deve essere e da quanto questa sicurezza valga per te.

Il manuale di quel router mostra alcuni screenshot dell'interfaccia web in cui un pulsante "Firewall" è visibile, anche se manca la documentazione scritta su tale funzione. Ma possiedo un router Asus ancora più economico, e può fare il filtraggio basato su porte e IP, quindi presumo che anche questo sia possibile ( contatta l'assistenza ASUS quando hai bisogno di conoscere i dettagli).

Ma tieni presente che i router di fascia consumer sono raramente sufficientemente temprati. Le notizie su vulnerabilità critiche in home-routers sono numerosi. C'è una dura guerra dei prezzi su quel mercato e il supporto sotto forma di patch di sicurezza veloci per i prodotti esistenti sembra essere uno dei primi fattori di costo da ridurre.

Quando si utilizza un router di tipo consumer, è necessario essere consapevoli che un hacker esperto che ha come target specifico probabilmente troverà una vulnerabilità e lo userà per comprometterlo. Fare un'analisi dei rischi di questo scenario dipende da voi. Devi stimare quanto è probabile che un hacker esperto si interessi ai tuoi dati e quanto grande sarebbe il danno quando i tuoi dati verrebbero rubati.

    
risposta data 10.04.2014 - 10:38
fonte
2

Pensieri intorno a questo: Ci sono numerosi fattori che contano in un tale ambiente. Quanto sei disposto a spendere per i firewall "appropriati" e / o la sicurezza IT in generale? Alcuni componenti hardware per un firewall opensource non sono tanto paragonabili a quelli che possono essere costosi se alcune informazioni vengono esposte.

I firewall in generale non hanno bisogno di essere costosi; dai un'occhiata a pfSense . È totalmente opensource e gratuito, richiede poco o nulla in hardware, ha molti pacchetti ecc.

Se, tuttavia, scegli di andare con un router, ci sono OpenWRT e DD-WRT al tuo servizio, totalmente gratuiti e offrono ciò che potresti desiderare.

    
risposta data 10.04.2014 - 10:46
fonte

Leggi altre domande sui tag

Convalida della configurazione del registro di sicurezza (rsyslog e syslog-ng) per PCI DSS 10.5 Certificato foglia non riconosciuto