L'ACL è sufficiente per il firewall aziendale?

0

Sono uno specialista IT relativamente nuovo per una piccola azienda (circa 30 dipendenti, 100 in più stagionali.) La maggior parte dei nostri sistemi è stata affidata in outsourcing a una società IT da tempo, che gestisce licenze, VDI, PBX, sicurezza, routing, ecc. Gestisco l'hardware, alcune reti, controllo dell'inventario e imaging.

Ho scoperto al telefono con loro che tutto il nostro traffico di macchine fisiche sta uscendo da un router Cisco che è stato EOL da tre anni. Inoltre, non esiste alcuna funzionalità firewall seria. Il nostro CIO virtuale mi ha detto che aveva una lista di controllo degli accessi, che è un firewall sufficiente per noi. Non sono molto esperto in sicurezza internet, ma non mi sembrava giusto. Abbiamo a che fare con dati sensibili sul censimento, PHI e sistemi di gestione stipendi su quella rete, e devono essere conformi HIPPA (di cui si suppone si prendano cura). L'e-mail è basata su cloud.

Un ACL è "abbastanza buono" o dovremmo utilizzare una vera e propria appliance firewall? Grazie!

    
posta user182982 26.07.2018 - 16:13
fonte

2 risposte

1

No, no e no.

Il traffico a blocchi di ACL da specifici IP, sottoreti o porte / servizi (a seconda che si stia utilizzando lo standard o esteso), ma non eseguono funzioni reali del firewall come si è detto prima. La sicurezza è la migliore nei livelli e gli ACL devono essere one livello in un piano di sicurezza molto più grande . Non vi è alcun rilevamento di intrusioni o protezione dalle intrusioni e nessuna seria attenuazione delle minacce con loro. Inoltre, EOL per 3+ anni è molto pericoloso in quanto vi sono nuovi exploit sviluppati ogni giorno e Cisco ha avuto molti CVE ultimamente ...

Oltre alle ACL, è necessaria almeno un'appliance di sicurezza. Per un'azienda della tua taglia, Sonicwall sarebbe un'ottima scelta. Barracuda è anche un'opzione, sebbene non forniscano servizi identici.

Sono stato un amministratore di una società di dimensioni simili molti anni fa, e quando ho iniziato non avevamo altro che Clam AV. Ti risparmierò i dettagli ma siamo stati regolarmente presi di mira con poca protezione e abbiamo avuto difficoltà a rispondere alle minacce. Ci sono voluti un incidente di malware molto costoso per convincere finalmente il proprietario a spendere i soldi per un Sonicwall. La nostra non ha costato la media del settore di $ 7,91 milioni di cui sopra, ma è sicuro che (inserire la parola profana preferita qui) era più costoso rispetto all'acquisto di diversi elettrodomestici.

    
risposta data 26.07.2018 - 16:20
fonte
1

TL; DR

Hai assolutamente bisogno di più dispositivi di sicurezza e meccanismi messi in opera che non solo un ACL, questo non è affatto sufficiente, la sicurezza è meglio fatta in un approccio a più livelli un ACL su un router è semplicemente uno strato che dovresti avere molti, molti altri.

In base a ciò che hai detto, la tua sicurezza è piuttosto scarsa e per quale tipo di dati stai gestendo non ci sono scuse.

Liste di controllo degli accessi in cui la funzione di sicurezza originariamente costruita fornisce un buon livello di sicurezza di base, tuttavia non si avvicinano mai al livello di ciò che un firewall può fare per te. Gli ACL tendono ad essere usati bene per la separazione negli strati 2 e amp; 3 (Sì, puoi mettere ACL sugli switch su cose come le linee VTY, ecc.)

ACL standard

Gli ACL standard forniscono una funzionalità molto limitata, possono solo consentire o negare il traffico in base all'indirizzo di origine, ma può essere utile, tuttavia, come ho detto molto limitato e non tendono ad essere utilizzato tanto quanto un ACL esteso.

ACL estesi

Gli ACL estesi forniscono alcune funzionalità extra rispetto a un ACL standard, non è ancora un firewall, tuttavia gli ACL estesi possono consentire o negare il traffico in base all'indirizzo di origine, all'indirizzo di destinazione e ai numeri di porta.

Un'altra cosa che puoi fare al livello 2 è la sicurezza della porta, la sicurezza della porta sugli switch è sempre una buona idea se la tua cabina è in qualche modo accessibile e sai che i dispositivi che vanno in certe porte dello switch rimarranno lì e non c'è motivo per qualcuno di aver bisogno di scollegarlo e collegarlo a un altro dispositivo. Senza una protezione della porta troppo complessa, cose come il filtraggio degli indirizzi MAC in cui solo un indirizzo MAC specifico è autorizzato a comunicare su quella porta e se la regola viene violata si verifica un'azione come l'errata disabilitazione dell'interfaccia, quindi nessun ulteriore traffico può passare.

I firewall

Ora ti starai chiedendo quali sono i vantaggi di un firewall e una delle cose migliori su di loro (in particolare i firewall di fascia alta) è quanto puoi essere granulare con le regole. Alcune funzioni da considerare, regole di accesso granulari, ispezione approfondita dei pacchetti e amp; filtraggio, ecc. La maggior parte dei firewall farà lo stesso genere di cose, tuttavia, quelli di fascia alta avranno più funzionalità dipende solo da cosa si va, recentemente ho visto molte più implementazioni con firewall virtuali sulle reti dei clienti che è interessante da gestire.

IPS e amp; IDS

È normale vedere un IPS / IDS integrato in un firewall oggi soprattutto sui firewall di prossima generazione, tuttavia, ne parlerò separatamente.

Un IPS è come un firewall nel senso che fa il controllo degli accessi, ma lo fa viceversa. Un firewall consente l'accesso tramite le dichiarazioni di permesso e ha un rifiuto implicito se non è abbinato mentre un IPS rifiuta le regole se un pacchetto non colpisce nessuna di quelle regole di negazione che consentirà.

Un IDS è leggermente diverso da un IPS, in quanto analizza la sicurezza di una rete, IDS può essere incredibilmente potente nell'aiutare gli ingegneri a capire da dove provengono i problemi. Di seguito è riportato un elenco di cose che un IDS tipicamente farà.

  • Violazione delle norme di sicurezza
  • Scansione delle infezioni
  • Perdita di informazioni
  • Errori di configurazione
  • Client non autorizzati

Riepilogo

La possibilità di accedere a queste informazioni con un clic di pochi pulsanti è incredibilmente potente e qualcosa che non otterrete assolutamente da una lista di accesso. Come accennato, la sicurezza è fatta meglio con un approccio a più livelli: le liste di accesso sono molto buone per la segregazione, ma se vuoi avere una vera visione di quello che sta succedendo, sulla tua rete e dove si trovano i problemi, ti servono più che semplici elenchi di accesso e persino più di un firewall.

Alcuni firewall sono dotati di un IPS / IDS integrato che è ottimo perché risolve la necessità di disporre di tre dispositivi fisici (se non stai utilizzando alcuna virtualizzazione) che, non tanto, non era un'opzione.

Quando gestisci dati come quelli che stai gestendo, dovresti proteggere la rete in tutti i punti, non in un punto. Idealmente, vuoi approfittare di access-list, port-security, firewall, IPS, IDS e altro ancora.

    
risposta data 31.07.2018 - 13:12
fonte

Leggi altre domande sui tag