Hardware Firewall vs. Software Firewall (tabelle IP, RHEL)

La mia società di hosting afferma che IPTables è inutile e non fornisce alcuna protezione . Questa è una bugia?

TL; DR
Ho due server condivisi. Ieri la mia azienda DC mi ha contattato per dirmi che, poiché sto usando un firewall software, il mio server è "vulnerabile a più minacce di sicurezza critiche" e la mia soluzione attuale offre "Nessuna protezione da qualsiasi forma di attacco".

Dicono che devo proteggere un firewall Cisco dedicato (installazione di $ 1000 e $ 200 al mese ciascuno ) per proteggere i miei server. Ho sempre avuto l'impressione che, sebbene i firewall hardware fossero più sicuri, qualcosa come IPTables su RedHat offriva una protezione sufficiente per il tuo server medio.

Entrambi i server sono solo web server, non c'è nulla di fondamentale per loro, ma ho usato IPTables per bloccare SSH solo sul mio indirizzo IP statico e bloccare tutto tranne le porte di base (HTTP (S), FTP e alcuni altri servizi standard ).

Non avrò il firewall, se l'etere dei server fosse stato violato sarebbe un inconveniente, ma tutto ciò che eseguono sono alcuni siti WordPress e Joomla, quindi sicuramente non credo che valga la pena.

Anche i firewall hardware eseguono software, l'unica vera differenza è che il dispositivo è appositamente progettato e dedicato all'attività. I firewall software sui server possono essere sicuri quanto i firewall hardware se configurati correttamente (si noti che i firewall hardware sono generalmente "più facili" da raggiungere a quel livello e i firewall software sono "più facili" da rovinare).

Se si esegue software obsoleto, è probabile che sia presente una vulnerabilità nota. Mentre il tuo server potrebbe essere suscettibile a questo vettore di attacco, affermare che non è protetto è infiammatorio, fuorviante o una menzogna in grassetto (dipende da cosa hanno detto esattamente e da cosa lo intendevano). È necessario aggiornare il software e correggere eventuali vulnerabilità note indipendentemente dalla probabilità di sfruttamento.

Dichiarare che IPTables è inefficace è fuorviante nella migliore delle ipotesi . Anche in questo caso, se l'unica regola è consentire tutto da tutti, allora sì, non farebbe nulla.

Nota a margine : tutti i miei server personali sono alimentati da FreeBSD e usano solo IPFW (firewall software incorporato). Non ho mai avuto problemi con questa configurazione; Seguo anche gli annunci di sicurezza e non ho mai visto problemi con questo software firewall.
Al lavoro abbiamo sicurezza a strati; il firewall perimetrale filtra tutte le ovvi schifezze (firewall hardware); i firewall interni filtrano il traffico verso il basso per i singoli server o la posizione sulla rete (mix di firewall principalmente software e hardware).
Per reti complesse di qualsiasi tipo, la sicurezza a strati è la più appropriata. Per server semplici come i tuoi, potrebbe esserci qualche vantaggio nell'avere un firewall hardware separato, ma abbastanza poco.

L'esecuzione di un firewall sul server protetto stesso è meno sicura rispetto all'utilizzo di una macchina firewall separata. Non deve essere un firewall "hardware". Un altro server Linux impostato come router con IPTables funzionerebbe bene.

Il problema di sicurezza con i firewall sul server protetto è che la macchina potrebbe essere attaccata attraverso i suoi servizi in esecuzione. Se l'attaccante può ottenere l'accesso a livello di root, il firewall può essere modificato o disabilitato o bypassato tramite un root-kit del kernel.

Una macchina firewall separata non dovrebbe avere servizi in esecuzione ad eccezione dell'accesso SSH e tale accesso SSH dovrebbe essere limitato agli intervalli IP di amministrazione. Dovrebbe essere relativamente invulnerabile all'attacco, salvo i bug nell'implementazione di IPTables o nello stack TCP, ovviamente.

Il firewall può bloccare e registrare il traffico di rete che non dovrebbe esistere, dandoti preziosi avvisi tempestivi di sistemi non funzionanti.

Se il tuo traffico è basso, prova una piccola unità Cisco ASA come il 5505 . È nella gamma $ 500- $ 700 e sicuramente costruito appositamente. Il co-lo ti dà una sorta di BS, ma anche le loro tariffe per il firewall sono irragionevoli.

Penso che dipenda anche dalle prestazioni. Cosa fa un firewall basato su software / server utilizzando i cicli della CPU, un firewall hardware può fare con chip appositamente progettati (ASIC) che portano a prestazioni e throughput migliori.

Dal tuo punto di vista, la vera differenza tra i firewall "software" (sulla macchina stessa) e "hardware" è che nel primo caso il traffico è già sulla macchina che vuoi proteggere, quindi è potenzialmente più vulnerabile se qualcosa è stato trascurato o non configurato correttamente.

Un firewall hardware funge essenzialmente da pre-filtro, che consente solo al traffico specifico di raggiungere e / o uscire dal server.

Dato il tuo caso d'uso e presumendo che tu abbia i backup adeguati, la spesa aggiuntiva sarebbe molto difficile da giustificare. Personalmente continuerei con quello che hai, anche se forse usando una società di hosting diversa.

In ritardo su questo gioco. Sì, il fornitore di servizi non ha idea di cosa stiano parlando. Se sei un amministratore IPTABLES competente, direi che sei più sicuro di un firewall hardware pronto all'uso. Il motivo è che quando li ho usati, la bella interfaccia gee-whiz non riflette la configurazione effettiva del traffico consentito. I venditori provano a smorzarlo per noi stupidi. Voglio sapere ogni possibilità di ogni pacchetto in entrata e in uscita.

IPTABLES non è per tutti, ma se sei seriamente interessato alla sicurezza, vuoi essere il più vicino possibile al filo. La protezione di un sistema è semplice, il reverse engineering di un firewall blackbox non lo è.