Rendi pubblica la gestione dei firewall?

Naviga le tue risposte
1

Un mio amico ha installato un nuovo software firewall nella sua azienda. A volte lavora da casa e deve anche mantenere il firewall.

Il software di gestione firewall è un sito web. Il mio amico ha reso il software di gestione raggiungibile tramite link .

Questa è una buona idea o una cattiva idea?

Se dipendesse da me, renderei il software di gestione raggiungibile solo dalla rete aziendale e utilizzare un tunnel VPN per accedere alla rete da casa.

    
posta Kiril 13.02.2014 - 15:40
fonte

3 risposte

2

In teoria, se non ci sono problemi con i meccanismi di autenticazione del sito Web e viene implementato in modo sicuro (utilizzando una connessione SSL, senza difetti nell'implementazione che può essere sfruttata, ecc.) allora non importa. Detto questo, è un GRANDE se.

Sarebbe più sicuro accedere in remoto all'azienda attraverso un gateway già esistente, ma se non esiste un gateway esistente e in base a quale sia il firewall responsabile (se bypassarlo non comporterebbe l'esposizione del rete interna dall'esterno, ma che consente solo le cose dall'interno verso l'esterno), potrebbe potenzialmente essere più sicuro amministrare il firewall in questo modo piuttosto che aprire un gateway all'intera rete (poiché una VPN potrebbe potenzialmente avere una vulnerabilità simile). / p>

Se il firewall inattivo consentirebbe agli aggressori esterni di entrare, allora non è più sicuro di quanto la VPN venga aggiunta poiché un compromesso darebbe accesso alla rete interna. Probabilmente una VPN ha un'area di attacco più piccola, quindi in questo caso è probabilmente più sicuro.

In ogni caso, è meglio mettere molta sicurezza nelle credenziali per l'accesso remoto e bloccarle rapidamente se si tenta un attacco di forza bruta. Probabilmente varrebbe la pena di usare anche un'autenticazione basata su certificato poiché è praticamente la chiave del regno. Non vorrei personalmente mettere tale funzionalità su Internet, anche dietro un portale sicuro, a meno che non dovessi assolutamente farlo.

    
risposta data 13.02.2014 - 15:54
fonte
1

AJ Henderson fa punti assolutamente eccezionali. Ho una cosa da aggiungere.

La maggior parte del personale con cui ho a che fare desidera che una soluzione di gestione del firewall rivolta al pubblico abbia avuto paura di fare qualcosa per staccarsi dalla propria console di gestione.

Come soluzione temporanea, ho suggerito strongmente di prendere in consegna un firewall / dispositivo VPN secondario economico - viene in mente la serie Cisco ASA 55xx - che fornirebbe un accesso indipendente all'interno della rete. Più di uno dei miei clienti si è innamorato di questa idea: alcuni hanno persino scelto una linea internet secondaria per l'accesso indipendente. :)

    
risposta data 13.02.2014 - 17:35
fonte
0

IMHO, è una pessima idea per esporre la tua gestione firewall a Internet tramite un'interfaccia web.

  • L'intera azienda è un unico furto di userID / password lontano dall'essere completamente di proprietà.
  • Il numero di potenziali aggressori è appena aumentato esponenzialmente. Qualsiasi utente con una connessione Internet può ora tentare di compromettere il server di gestione firewall direttamente e in modo anonimo.
  • La sicurezza del server Web che ospita l'interfaccia di gestione del firewall è ora fondamentale per il benessere dell'azienda. Ancora una volta, un singolo exploit non è completamente posseduto.

Sono piuttosto sconvolto che chiunque considererebbe la possibilità di esporre la propria gestione del firewall a Internet. Di nuovo, mia modesta opinione.

    
risposta data 14.02.2014 - 20:43
fonte

Leggi altre domande sui tag

Tracciamento delle autorizzazioni della politica di sicurezza in JavaScript SSH Sicurezza che consente solo a determinati utenti di connettersi al server [chiuso]