TL; DR
Hai assolutamente bisogno di più dispositivi di sicurezza e meccanismi messi in opera che non solo un ACL, questo non è affatto sufficiente, la sicurezza è meglio fatta in un approccio a più livelli un ACL su un router è semplicemente uno strato che dovresti avere molti, molti altri.
In base a ciò che hai detto, la tua sicurezza è piuttosto scarsa e per quale tipo di dati stai gestendo non ci sono scuse.
Liste di controllo degli accessi in cui la funzione di sicurezza originariamente costruita fornisce un buon livello di sicurezza di base, tuttavia non si avvicinano mai al livello di ciò che un firewall può fare per te. Gli ACL tendono ad essere usati bene per la separazione negli strati 2 e amp; 3 (Sì, puoi mettere ACL sugli switch su cose come le linee VTY, ecc.)
ACL standard
Gli ACL standard forniscono una funzionalità molto limitata, possono solo consentire o negare il traffico in base all'indirizzo di origine, ma può essere utile, tuttavia, come ho detto molto limitato e non tendono ad essere utilizzato tanto quanto un ACL esteso.
ACL estesi
Gli ACL estesi forniscono alcune funzionalità extra rispetto a un ACL standard, non è ancora un firewall, tuttavia gli ACL estesi possono consentire o negare il traffico in base all'indirizzo di origine, all'indirizzo di destinazione e ai numeri di porta.
Un'altra cosa che puoi fare al livello 2 è la sicurezza della porta, la sicurezza della porta sugli switch è sempre una buona idea se la tua cabina è in qualche modo accessibile e sai che i dispositivi che vanno in certe porte dello switch rimarranno lì e non c'è motivo per qualcuno di aver bisogno di scollegarlo e collegarlo a un altro dispositivo. Senza una protezione della porta troppo complessa, cose come il filtraggio degli indirizzi MAC in cui solo un indirizzo MAC specifico è autorizzato a comunicare su quella porta e se la regola viene violata si verifica un'azione come l'errata disabilitazione dell'interfaccia, quindi nessun ulteriore traffico può passare.
I firewall
Ora ti starai chiedendo quali sono i vantaggi di un firewall e una delle cose migliori su di loro (in particolare i firewall di fascia alta) è quanto puoi essere granulare con le regole. Alcune funzioni da considerare, regole di accesso granulari, ispezione approfondita dei pacchetti e amp; filtraggio, ecc. La maggior parte dei firewall farà lo stesso genere di cose, tuttavia, quelli di fascia alta avranno più funzionalità dipende solo da cosa si va, recentemente ho visto molte più implementazioni con firewall virtuali sulle reti dei clienti che è interessante da gestire.
IPS e amp; IDS
È normale vedere un IPS / IDS integrato in un firewall oggi soprattutto sui firewall di prossima generazione, tuttavia, ne parlerò separatamente.
Un IPS è come un firewall nel senso che fa il controllo degli accessi, ma lo fa viceversa. Un firewall consente l'accesso tramite le dichiarazioni di permesso e ha un rifiuto implicito se non è abbinato mentre un IPS rifiuta le regole se un pacchetto non colpisce nessuna di quelle regole di negazione che consentirà.
Un IDS è leggermente diverso da un IPS, in quanto analizza la sicurezza di una rete, IDS può essere incredibilmente potente nell'aiutare gli ingegneri a capire da dove provengono i problemi. Di seguito è riportato un elenco di cose che un IDS tipicamente farà.
- Violazione delle norme di sicurezza
- Scansione delle infezioni
- Perdita di informazioni
- Errori di configurazione
- Client non autorizzati
Riepilogo
La possibilità di accedere a queste informazioni con un clic di pochi pulsanti è incredibilmente potente e qualcosa che non otterrete assolutamente da una lista di accesso. Come accennato, la sicurezza è fatta meglio con un approccio a più livelli: le liste di accesso sono molto buone per la segregazione, ma se vuoi avere una vera visione di quello che sta succedendo, sulla tua rete e dove si trovano i problemi, ti servono più che semplici elenchi di accesso e persino più di un firewall.
Alcuni firewall sono dotati di un IPS / IDS integrato che è ottimo perché risolve la necessità di disporre di tre dispositivi fisici (se non stai utilizzando alcuna virtualizzazione) che, non tanto, non era un'opzione.
Quando gestisci dati come quelli che stai gestendo, dovresti proteggere la rete in tutti i punti, non in un punto. Idealmente, vuoi approfittare di access-list, port-security, firewall, IPS, IDS e altro ancora.