Soru Neden güvenlik duvarı sunucularımı kullanmalıyım?


LÜTFEN AKLINIZDA BULUNDURUN: Bunu bir alev savaşı yapmakla ilgilenmiyorum! Pek çok insanın bu konuyla ilgili güçlü inançlara sahip olduğunu anlıyorum, çünkü küçük bir kısmı, güvenlik duvarı çözümlerine çok fazla çaba sarf ettikleri için ve gerekliliklerine inanmak için aşılanmış olduklarından.

Ancak, insanların uzmanlar güvenlikte. Bunun önemli bir soru olduğuna inanıyorum ve cevap sadece kendimden ve çalıştığım şirketten daha fazla fayda sağlayacaktır. Sunucu ağımızı herhangi bir güvenlik duvarı olmadan bir uzlaşma olmaksızın birkaç yıl boyunca çalıştırıyorum. Güvenlikten hiçbiri taviz vermiyor. var bir güvenlik duvarı ile önlenmiş olabilirdi.

Sanırım uzun zamandır burada çalışıyordum, çünkü "sunucular" dediğimde, "gizli dahili faturalama veritabanları" yerine "kamuya sunulan hizmetler" anlamına gelir. Bu şekilde, her türlü kural olur Herhangi bir güvenlik duvarı var tüm internet erişimi sağlamak zorunda olurdu. Ayrıca, genel erişimli sunucularımızın tümü ofisimizden ayrı bir veri merkezindedir.

Başkası Benzer bir soru sordu ve cevabım negatif sayılara oy verildi. Bu, ya oylama yapan kişilerin cevabımı gerçekten anlamadığını ya da şu anda yapmakta olduğum şeyi yapmak için yeterince güvenliğini anlamadığımı düşünmeme yol açıyor.

Bu, sunucu güvenliğine yaklaşımım:

  1. İşletim sistemimi takip et güvenlik yönergeleri  önce sunucumu internete bağladım.

  2. SSH'ye (ve diğer yönetim hizmetlerine) erişimi az sayıda IP adresine kısıtlamak için TCP sarmalayıcılarını kullanın.

  3. Bu sunucunun durumunu izleyin. Munin. Ve Munin-node'a özgü egemen güvenlik problemlerini varsayılan konfigürasyonda düzeltin.

  4. Yeni sunucum Nmap (sunucumu İnternet'e bağlamadan önce de). Bu sunucuda güvenlik duvarı olsaydı, bu portların tam olarak girilmesi gereken bağlantıların kısıtlanması gerekir.

  5. Sunucuyu sunucu odasına yükleyin ve halka açık bir IP adresi verin.

  6. İşletim sistemimin güvenlik güncellemeleri özelliğini kullanarak sistemi güvende tutun.

Benim felsefem (ve sorunun temeli), güçlü ana bilgisayar tabanlı güvenlik, bir güvenlik duvarının gerekliliğini ortadan kaldırmasıdır. Genel güvenlik felsefesi, bir güvenlik duvarınız olsa bile güçlü ana bilgisayar tabanlı güvenliğe hala ihtiyaç olduğunu söylüyor (bkz. güvenlik yönergeleri). Bunun nedeni, kamu hizmetlerini bir sunucuya yönlendiren bir güvenlik duvarının, bir saldırganın güvenlik duvarı kadar olmasa da mümkün olmasıdır. Bu, savunmasız olan hizmetin kendisidir ve bu hizmetin tüm Internet'e sunulması, operasyonunun bir gereği olduğu için, erişimi kısıtlayan nokta bu değildir.

Eğer varsa Hangi Tüm İnternet tarafından erişilmesi gerekmeyen sunucuda kullanılabilen bağlantı noktaları, ardından bu yazılımın 1. adımda kapatılması ve 4. adım tarafından doğrulanması gerekir. Bir saldırgan, güvenlik açığından etkilenen bir yazılımla sunucuya başarılı bir şekilde girer ve Kendileri, saldırganın, herhangi bir güvenlik duvarını, rastgele bir portta giden bir bağlantı yaparak kolayca yenebileceğini (ve yapabileceklerini) yapabilir. Güvenlik noktası, başarılı bir saldırıdan sonra kendinizi savunmak değildir - bu zaten imkansız olduğu kanıtlanmıştır - saldırganları ilk sırada tutmaktır.

Açık limanların yanı sıra başka güvenlik hususları da var olduğu öne sürüldü - ama bana göre, kişinin inancını savunmak gibi. Herhangi bir işletim sistemi / TCP yığın güvenlik açığı, bir güvenlik duvarının bulunup bulunmadığına veya bağlantı noktalarının doğrudan bu işletim sistemine / TCP yığınına iletilmesine bağlı olarak, aynı derecede savunmasız olmalıdır. Benzer şekilde, güvenlik duvarınızı sunucu üzerinde çalıştırarak, yönlendiricideki (veya her iki konumda da) aksine, gereksiz karmaşıklık katmanları ekliyor gibi görünüyor. Felsefenin "güvenlik katmanlar halinde geldiğini" anlıyorum, ama bir kontrplak katmanının X sayısını birbiri üzerine istifleyerek ve sonra da hepsinden bir delik açarak çatı inşa etmek gibi bir nokta geliyor. Başka bir kontrplak tabakası, amaca yönelik yaptığınız delikten sızıntıları durdurmayacak.

Dürüst olmak gerekirse, bir güvenlik duvarının sunucular için herhangi bir kullanım olduğunu görmenin tek yolu, bilinen tüm saldırganların tüm sunuculara tüm bağlantılarını engelleyen dinamik kurallara sahip olmasıdır - spam için RBL'ler gibi (ki bu rastlantısal olarak, posta sunucumuzun yaptığı gibi) . Maalesef bunu yapan herhangi bir güvenlik duvarı bulamıyorum. Bir sonraki en iyi şey bir IDS sunucusudur, ancak bu saldırganın ilk önce gerçek sunucularınıza saldırmadığını ve saldırganların tüm ağınızı araştırmak için uğraştığını varsayar. önce hücum. Ayrıca, bunların çok sayıda yanlış pozitif ürettiği bilinmektedir.


101
2017-11-12 21:11


Menşei


Ve böylece sunucularınız arasında geçen trafiğin tamamı şifreli mi? - GregD
Sevdim. Yerel güvenlik duvarı kuralları neredeyse her zaman voodoo. - unixtippse
Ağınızda masaüstleriniz / çalışanlarınız var mı? Onlarla ne yaparsın? - Brandon
Bu soru için çok uygun olurdu security.stackexchange.com - Olivier Lalonde
@routeNpingme: Orijinal postamda bu tidbit'i eklemediğim görülüyor. Tüm sunucularımız kamuya açık olmalı ve özel bir veri merkezinde yaşamak zorunda. Ofisiniz veri merkezinizse, sunucu ağınız ile ofis ağınız arasında bir güvenlik duvarı olması gerekeceğini varsayalım. Bu durumda, sunucu ağından bahsediyorum - neden tam bir kamu erişimi olan bir şeyi güvenlik duvarı? - Ernie


Cevaplar:


Güvenlik duvarının avantajları:

  1. Giden trafiği filtreleyebilirsiniz.
  2. Katman 7 güvenlik duvarları (IPS) bilinen uygulama güvenlik açıklarına karşı koruma sağlayabilir.
  3. Her bir makinede o bağlantı noktasında dinleme hizmeti bulunmadığından emin olmak veya erişimi kullanarak erişimi reddetmek yerine belirli bir IP adresi aralığını ve / veya bağlantı noktasını merkezi olarak engelleyebilirsiniz. TCP Sarmalayıcıları.
  4. Güvenlik duvarları, daha az güvenlikle ilgili farkında olan kullanıcılar / yöneticiler ile ikinci savunma hattını sağlayacağı için uğraşmanız durumunda yardımcı olabilir. Onlar olmadan, ev sahiplerinin güvenli olduğundan emin olmak gerekir; bu da tüm yöneticilerden iyi bir güvenlik anlayışı gerektirir.
  5. Güvenlik duvarı günlükleri, merkezi günlükleri sağlar ve dikey taramaları tespit etmede yardımcı olur. Güvenlik duvarı günlükleri, bazı kullanıcıların / istemcilerinizin tüm sunucularınızın aynı portuna düzenli olarak bağlanıp bağlanmayacağını belirlemenize yardımcı olabilir. Bunu bir güvenlik duvarı olmadan yapmak için, merkezi bir görünüm elde etmek için çeşitli sunuculardan / ana bilgisayarlardan günlükleri birleştirmek zorunda kalacaktı.
  6. Güvenlik duvarları ayrıca korumaya eklenen anti-spam / anti-virüs modülleriyle de gelir.
  7. OS bağımsız güvenlik. Ana bilgisayar işletim sistemine dayanarak, ana bilgisayarı güvenli hale getirmek için farklı teknikler / yöntemler gereklidir. Örneğin, TCP Wrappers, Windows makinelerinde mevcut olmayabilir.

Her şeyden önce, eğer güvenlik duvarınız ve sisteminiz tehlikeye girmiyorsa, bunu nasıl algılayacaksınız? Yerel sistemde 'ps', 'netstat' vb. Bazı komutları çalıştırmaya çalışmak, ikili dosyalar değiştirilebileceğinden güvenilir olamaz. Bir uzak sistemden gelen 'nmap', bir saldırganın seçilen zamanlardaki seçili kaynak IP adreslerinden sadece bağlantı kabul etmesini sağlayabileceğinden korumayı garanti etmez.

Donanım güvenlik duvarları, güvenlik duvarı işletim sistemi / dosyaları ana bilgisayar / dosyalara kıyasla değiştirmek son derece zor olduğundan bu tür senaryolarda yardımcı olur.

Güvenlik duvarının dezavantajları:

  1. İnsanlar, güvenlik duvarının güvenlikle ilgileneceğini ve sistemleri düzenli olarak güncellemediğini ve istenmeyen hizmetleri durduracağını düşünüyor.
  2. Mallar. Bazen yıllık lisans ücreti ödenmelidir. Özellikle güvenlik duvarında anti-virüs ve anti-spam modülleri varsa.
  3. Ek tek hata noktası. Tüm trafik bir güvenlik duvarı üzerinden geçiyorsa ve güvenlik duvarı başarısız olursa ağ durur. Yedek güvenlik duvarlarına sahip olabiliriz, ancak daha önceki maliyetler daha da yükseltilir.
  4. Durum bilgisi takibi, gelen tüm bağlantıları kabul eden halka açık sistemlerde hiçbir değer sunmaz.
  5. Durumsal güvenlik duvarları DDoS saldırısı sırasında büyük bir darboğazdır ve genellikle başarısız olan ilk şeydir, çünkü devleti tutmaya ve gelen tüm bağlantıları denetlemeye çalışırlar.
  6. Güvenlik duvarları şifrelenmiş trafiğin içinde görülemez. Tüm trafikten beri meli uçtan uca şifreli olmak, çoğu güvenlik duvarı kamuya açık sunucuların önüne çok az değer katıyor. Bazı yeni nesil güvenlik duvarlarına TLS'yi sonlandırmak ve trafiğin içinde görmek için özel anahtarlar verilebilir, ancak bu güvenlik duvarının DDoS'ye daha fazla duyarlılığını artırır ve TLS'nin uçtan uca güvenlik modelini kırar.
  7. İşletim sistemleri ve uygulamaları güvenlik duvarlarından daha hızlı bir şekilde güvenlik açıklarına karşı yamalı. Güvenlik duvarı satıcıları genellikle bilinen sorunlar için yıl yama olmadan ve bir güvenlik duvarı kümesini yamalamak genellikle birçok hizmet ve giden bağlantı için kesinti gerektirir.
  8. Güvenlik duvarları mükemmel olmaktan çok uzaktır ve birçoğu kötü şöhretlidir. Güvenlik duvarları sadece bir işletim sistemi üzerinde çalışan bir yazılımdır, belki de (genellikle yavaş) bir CPU'ya ek olarak ekstra bir ASIC veya FPGA ile. Güvenlik duvarlarının hataları vardır, ancak bunlara cevap vermek için birkaç araç sağladıkları görülmektedir. Bu nedenle, güvenlik duvarları bir uygulama yığınına karmaşıklık ve teşhis edilmesi zor olan ek bir hata kaynağı ekler.

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? İzinsiz giriş tespiti, güvenlik duvarının işi değildir. Bu iş, güvenlik duvarından bağımsız olan HIDS (host-based intrusion detection system) tarafından daha doğru bir şekilde ele alınır. - Steven Monday
Syslog sunucuları, 5. maddeye olan ihtiyacı ortadan kaldırır. Bir şey varsa, bir saldırganın güvenlik duvarını riske atması ve günlüklerini silmesi için güvenlik duvarı günlüklerinizi bir syslog sunucusuna göndermeniz en iyisidir. Daha sonra saldırgan sadece günlükleri silmek için iki sistemden ödün vermek zorundadır ve bunun için hazırlanmamış olabilir (özellikle otomatik saldırılarla). Benzer şekilde, tüm sistemleriniz merkezileştirilmiş kütüğe sahipse, güvenlik duvarı günlüklerinin sağlayabileceğinden daha fazla ayrıntıya sahip olursunuz. - Ernie
Benim amacım HIDS’de barındırdığı için çıktılarına güvenemiyoruz. Örneğin, kriptografik olarak güvenli bir şekilde 'tripwire'i ana bilgisayar tabanlı IDS olarak kullanıyor olsak bile, saldırgan, her zaman intrüzyonu rapor etmeyecek şekilde uzlaştırılmış sürümlerle tüm tripwire ikili dosyalarını (twadmin, tripwire, twprint, vb.) Değiştirebilir. Kütüphaneleri / ikili dosyaları başka bir sistemden kopyalamaya çalışsak bile, bu risk altındaki ikili dosyaları izleyen ve değiştirildikleri veya güncellendikleri takdirde bunları bozuk sürümle değiştiren bir işlem olabilir. Güvenlik duvarının ana bilgisayardan bağımsız olması, bu tür senaryolarda güvenilir olabilir. - Saurabh Barjatiya
Bu cevap daha popüler olana göre kabul edildi çünkü bir güvenlik duvarı kullanmak için daha kapsamlı ve daha kapsamlı nedenler sunuyor. Ve bu konuda değil. - Ernie
Durumsal paket denetimi güvenlik duvarları sunucuların önüne ait DEĞİLDİR. DDoS saldırılarında büyük bir sorumluluk taşırlar ve genellikle saldırı altında başarısız olan ilk şeydir. - rmalayter


TCP Sarmalayıcıları tartışmasız bir sunucu tabanlı güvenlik duvarı uygulaması olarak adlandırılabilir; ağ trafiğini filtreliyorsunuz.

Bir saldırganın, keyfi bir bağlantı noktasında giden bağlantıları gerçekleştirdiği nokta için, bir güvenlik duvarı da giden trafiği kontrol etmenin bir yolunu sağlar; düzgün yapılandırılmış bir güvenlik duvarı, giriş ve çıkışları sisteme bağlı risklere uygun bir şekilde yönetir.

Güvenlik duvarı tarafından herhangi bir TCP savunmasızlığının nasıl hafifletilmediği konusunda, güvenlik duvarlarının nasıl çalıştığını bilmezsiniz. Cisco'nun, belirli işletim sistemi sorunlarına neden olacak şekilde oluşturulan paketleri tanımlayan bir dizi kural vardır. Eğer Snort'u yakalar ve doğru kural setiyle çalıştırmaya başlarsanız, bu tür bir şey hakkında da uyarılırsınız. Ve elbette, Linux iptables, zararlı paketleri filtreleyebilir.

Temel olarak, bir güvenlik duvarı proaktif bir korumadır. Proaktif olmaktan uzaklaştıkça, problemi önlemekten ziyade bir probleme tepki verdiğiniz bir durumda kendinizi bulacağınız en olası şeydir. Korumanızı sınırda yoğunlaştırmak, özel bir güvenlik duvarında olduğu gibi, işleri her yerde kolaylaştırmak yerine merkezi bir tıkama noktasına sahip olduğunuz için işleri daha kolay hale getirir.

Ama hiçbir şey mutlaka nihai bir çözüm değildir. İyi bir güvenlik çözümü genellikle sınırda bir güvenlik duvarı, aygıttaki TCP sarmalayıcıları ve muhtemelen iç yönlendiricilerdeki bazı kuralları içeren çok katmanlı bir çözümdür. Genellikle ağı İnternet'ten korumalı ve düğümleri birbirinden korumalısınız. Bu çok katmanlı yaklaşım, çok sayıda kontrplaktan bir delik açmak gibi bir şey değil, daha çok bir çift kapıyı açmak gibi, böylece bir davetsiz misafirin sadece bir tanesi yerine kırılması gereken iki kilidi vardır; Buna fiziksel güvenlikte bir insan tuzağı denir ve çoğu binanın bir nedeni vardır. :)


33
2017-11-12 22:04



Ayrıca binanın içine gizlice girerler ve dışarıdaki arkadaşlarının iç kapısını açarlarsa, dış kapının kilidini açıp açmaları gerekir. (yani, harici bir güvenlik duvarı olmadan, sunucunuza giren bir kişi onu açabilir, oysa harici bir güvenlik duvarı açık bağlantı noktalarını dışarıdan engelleyebilir) - Ricket
@Ricket: Belki de olabilir, ama modern saldırganlar böyle şeylerle uğraşmazlar. Sitenizin bir saldırganın sunucunuzu bir zombi çiftliğine eklemekten başka bir şey yapması için özellikle ilgi çekici olması gerekir. - Ernie
@Ernie - Hayır, sadece Warez için boş alan, müşteri veri tabanları, finansal bilgiler, parolalar ve bir botnet'e eklenmek üzere otomatik olarak araştırılmaya ihtiyaç duyuyor - ama bu yeterince da kötü olabilir - bazı yöneticiler IP'nizi karartmaktan mutluluk duyacaktır. eğer zombileri barındırıyormuş gibi görünüyorsa. - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementationHarika bir cevap için +1. - sjas


(Okumak isteyebilirsiniz "Güvenlik Duvarı olmayan hayat")

Şimdi: Artık hiçbir yamanın yayınlanmayacağı eski bir sisteme ne dersiniz? Yamaları N-makinelere uygulamanız gerekmediği anda uygulayamamaya devam ederken, aynı zamanda bunları ağdaki daha az sayıda düğümde de uygulayabilirsiniz (güvenlik duvarları)?

Güvenlik duvarının varlığını veya ihtiyacını tartışmanın bir anlamı yok. Asıl önemli olan bir güvenlik politikası uygulamak zorunda olmanızdır. Bunu yapmak için, onu uygulayacak araçları kullanacak ve onu yönetmenize, genişletmenize ve geliştirmenize yardımcı olacaksınız. Güvenlik duvarlarına ihtiyaç varsa, sorun değil. Gerekmiyorsa, bu da iyi. Asıl önemli olan, güvenlik politikanızın çalışan ve doğrulanabilir bir uygulamasına sahip olmaktır.


15
2017-11-12 21:31



Heh. Sunucu ağımızı son 8 yıldır güvenlik duvarı olmadan çalıştırıyorum. yapabilirdim yazılı "Güvenlik duvarı olmadan hayat", ama bir şekilde daha iyi bir iş yaptı ve her zamankinden daha büyük bir ağ yolunda ilerliyor. - Ernie
@Ernie - Sanırım şanslı olabilirsin. Güvenliği ihlal etmediğini nereden biliyorsun? Müşterilerimin birçoğunda adli soruşturma sonuçları, bazen aylar öncesine dayanarak uzlaşma keşfetti, saldırganlar kişisel ve finansal bilgi, müşteri detayları, fikri mülkiyet, iş planları vb. Buldu. Sean'ın dediği gibi, uygun bir güvenlik denetimi yap. - Rory Alsop
Aslında, sunucu ağımızın ofis ağımızdan fiziksel olarak ayrı olmasından (ve böylece, her sunucuda root erişimi olsa bile, gerçekten hassas bir veri elde edilemediği gerçeğinin yanı sıra, her bir uzlaşmayı biz de keşfedebildik) Burada başladığımdan beri vardı. Başladığımda ortaya çıkan korku gösterisi hakkında gidebilirdim ama yeterli alanım yok. :) Çoğu saldırıların sübtil olmadığını ve sübtillerin de keşfedilebileceğini söylemek yeterlidir. Ah evet ve kullanıcı ayrıcalığı ayrımı arkadaşın. - Ernie


Açıklamalarınızın çoğunun bir güvenlik duvarı ihtiyacını reddettiği görülüyor, ancak bir tane kurmanın küçük bir süresinden başka bir tanesine sahip olduğumu görmüyorum.

Birkaç şey, kelimenin tam anlamıyla bir "zorunluluk" dır. Güvenlik, yapabileceğiniz tüm engelleri kurmakla ilgili. Sunucunuza girmeniz gereken daha fazla iş, daha az başarılı saldırı şansı demektir. Makinelerinize başka bir yerden daha fazla girmeye çalışmak istiyorsunuz. Bir güvenlik duvarı eklemek daha çok iş çıkarır.

Anahtar kullanımın güvenlikte fazlalık olduğunu düşünüyorum. Güvenlik duvarlarının bir diğer avantajı ise, reddedilen isteklere yanıt vermek yerine herhangi bir bağlantı noktasına bağlanmaya yönelik girişimleri düşürmenizdir - bu, saldırgan için biraz daha rahatsız edici hale gelecektir.

Sorunun pratik notunda benim için en önemlisi, SSH, ICMP ve diğer iç hizmetlerin yerel alt ağlara kilitlenebilmesi ve DOS saldırılarını azaltmaya yardımcı olmak için gelen bağlantı hızını sınırlayabilmenizdir.

"Güvenlik noktası, başarılı bir saldırıdan sonra kendinizi savunmak değildir - bu zaten imkansız olduğu kanıtlanmıştır - saldırganları ilk sırada tutmaktır."

Katılmıyorum. Zararları sınırlamak aynı derecede önemli olabilir. (bu ideale neden karma şifreler? ya da veritabanı yazılımınızı web uygulamalarınızdan farklı bir sunucuya yapıştırın?) Ben eski dediğim şey "Tüm yumurtaları bir sepete yapıştırma" burada uygulanabilir.


9
2017-11-12 21:30



Eh, haklısın, orada herhangi bir eksiğini bile vermedim. Eksileri: artan ağ karmaşıklığı, tek bir hata noktası, bant genişliği darboğazlanmış tek ağ arabirimi. Aynı şekilde, bir güvenlik duvarında yapılan yönetim hataları tüm ağınızı öldürebilir. Ve tanrılar, sunucu odasına 20 dakikalık bir yolculuk olduğu zaman, bu arada kendinizi kilitlediğinizi unutuyorlar. - Ernie
Bu sadece retorik olabilir, fakat "Güvenlik, yapabileceğiniz tüm engellemelerin kurulmasıyla ilgili daha fazla şey" dediğinizde, "Güvenlik, varsayılan olarak her şeyi engelleme ve çalışmanın kesin olan minimumunu dikkatli bir şekilde açma hakkında daha fazla şey" duymayı tercih ederim. - MatthieuP
+1 Kapsamlı bir güvenlik planı, önleme, tespit ve müdahaleyi kapsar. - Jim OHalloran


Should I firewall my server? İyi soru. Şüphesiz, bir ağ geçidinin üstünde bir güvenlik duvarı tokatlamak için çok az nokta vardır. OS'de kötü amaçlı hazırlanmış paketlerin bir ana bilgisayarı bozmasına / kullanmasına izin veren bir güvenlik açığı varsa, bir güvenlik duvarı aynı ana bilgisayarda çalışıyor istismarı önlemek? İyi, olabilir ...

Ve bu muhtemelen her ana bilgisayarda bir güvenlik duvarı çalıştırmak için en güçlü nedendir: Bir güvenlik duvarı belki Bir ağ yığını güvenlik açığından yararlanılmasını önleyin. Bu yeterince güçlü bir sebep mi? Bilmiyorum, ama sanırım, "Hiç kimse bir güvenlik duvarı kurmak için kovulmadı."

Bir sunucuda güvenlik duvarı çalıştırmanın diğer bir nedeni, aksi halde birbiriyle ilişkili olan bu iki kaygıyı birbirinden ayırmaktır:

  1. Nereden ve hangi limanlardan bağlantı kurabilirim?
  2. Hangi hizmetler çalışıyor ve bağlantıları dinliyor?

Güvenlik duvarı olmadan, çalışan servisler kümesi (tcpwrappers ve benzeri yapılandırmalar ile birlikte) sunucunun açacağı bağlantı kümesini ve bağlantıların kimler tarafından kabul edileceğini tam olarak belirler. Ana bilgisayar tabanlı bir güvenlik duvarı, yöneticilere, yeni hizmetleri daha yaygın bir şekilde kullanıma sunmadan önce kontrollü bir şekilde kurmak ve test etmek için ek esneklik sağlar. Böyle bir esneklik gerekmiyorsa, bir sunucuya bir güvenlik duvarı kurmak için daha az sebep vardır.

Son bir notta, her zaman eklediğim güvenlik denetim listenizde belirtilmeyen bir öğe vardır ve bu, ana bilgisayar tabanlı bir saldırı tespit sistemi (HIDS) gibidir. AIDE veya samhain. İyi bir HIDS, bir saldırganın sistemde istenmeyen değişiklikler yapmasını ve algılanmaması için son derece zorlaştırır. Tüm sunucuların bir çeşit HIDS çalıştırması gerektiğine inanıyorum.


8
2017-11-12 23:10



HIDS sistemleri için +1. - Sam Halicke
HIDS harika - Bunu ayarlamak ve unutmak niyetindeyseniz. Ve asla hesap ekleme veya silme. Aksi halde HIDS kayıtlarının büyük çoğunluğu bugün yaptığınız şeylerin uzun listeleri olacak ve her zaman göz ardı ediliyor. - Ernie
Acı yok, kazanç yok, dedikleri gibi. Çok fazla değişkeni olan sunucularda, beklenen gürültüyü filtreleyerek beklenmedik bir şekilde konsantre olmanızı sağlar. - Steven Monday


Güvenlik duvarı bir araçtır. İşleri kendi başına güvenli hale getirmez, ancak güvenli bir ağda bir katman olarak katkıda bulunabilir. Bu bir şeye ihtiyacın olduğu anlamına gelmiyor, ve kesinlikle neden bu şekilde düşündüklerini anlamadan ve güvenlik duvarlarının güçlü ve zayıf yönlerini anlamayan "bir güvenlik duvarı almalıyım" diyen insanlar için endişeleniyorum.

İhtiyacımız olmadığını söyleyebileceğimiz birçok araç var ... Antivirüssüz bir Windows bilgisayarı çalıştırmak mümkün mü? Evet öyle ... ama sahip olmak için güzel bir sigorta tabakası.

Güvenlik duvarları hakkında da aynısını söyleyebilirim - onlar hakkında başka ne söyleyeceğinize bakarsanız, bunlar iyi bir sigorta seviyesidir. Bunlar, yamalama için, kilitleme makineleri için, kullanmadığınız hizmetleri devre dışı bırakmak, günlüğe kaydetme vb. İçin bir alternatif değildir, ancak bunlar yararlı bir ek olabilir.

Aynı zamanda, bir güvenlik duvarının, dikkatle baktığınız gibi, dikkatle bakılan bir sunucu grubunun önüne yerleştirilip getirilmediğine veya iş istasyonları ve sunucuların bir karışımına sahip tipik bir LAN'a bağlı olup olmadığına bağlı olarak, denklemin biraz değişeceğini de öneririm. Bazıları, BT ekibinin en iyi çabalarına ve isteklerine rağmen, bazı oldukça kıllı şeyler kullanıyor olabilir.

Dikkate alınması gereken bir şey de açıkça sertleşmiş bir hedef yaratmanın yararıdır. Görünen güvenlik, parlak ışıklar olsun, ağır kilitler ve bir binadaki bariz bir alarm kutusu olsun; ya da bir işletmenin 'IP adresi aralığındaki bariz bir güvenlik duvarı, sıradan saldırganı caydırabilir - daha kolay bir av aramaya giderler. Bu, istedikleri bilgiye sahip olduğunuzu bilen ve bunu elde etmeye kararlı olan kararlı davetsiz misafirleri caydırmayacaktır, ancak sıradan davetsiz misafirleri caydırmak hala faydalıdır - özellikle de caydırıcıları geçmekte olan herhangi bir davetsiz misafirin özellikle ciddiye alınması gerektiği biliniyorsa .


6
2017-11-12 22:25



Bu yüzden "ofis ağı" yerine "sunucu" dediğim neden? :) Bizim durumumuzda özellikle veri merkezi ve ofis iki ayrı fiziksel varlıktır. - Ernie
Ernie'yi anlıyorum, ama dikkat çekici bir nokta ... bu yüzden yaptım. - Rob Moir


Bütün harika sorular. AMA - Çok şaşırdım PERFORMANS masaya getirilmedi.

Yüksek (CPU-bilge) kullanılan Web ön uçları için, yerel güvenlik duvarı performansı gerçekten düşürür. Bir yük testi deneyin ve görün. Bu tonlarca kez gördüm. Güvenlik duvarını kapatmak, performansı% 70 veya daha fazla artırdı.

Bu ticaret dikkate alınmalıdır.


5
2017-11-13 22:28



Güvenlik duvarı kurallarına çok bağlı. Güvenlik duvarı kuralları sırayla her paket üzerinde çalışır, bu yüzden bakılması gereken yüzlerce kurala sahip olmak istemezsiniz. Geçen kış, superbowl'da bir reklamı olan bir siteyi yönetirken, güvenlik duvarı kuralları bir problem değildi. Ancak güvenlik duvarı kurallarının performans etkisini anlamanız gerektiğine katılıyorum. - Sean Reifschneider


Güvenlik duvarı ek korumadır. Karşılaştığı üç özel senaryo, ağ yığını saldırılarıdır (yani, sunucu işletim sisteminizin, hiçbir zaman bağlantı düzeyine ulaşmayan özel hazırlanmış paketler için bir güvenlik açığı vardır), "telefonun evine" bağlantı kurarak başarılı bir izinsiz giriş (veya spam gönderirseniz) ) veya bir sunucu bağlantı noktasını açan veya daha az algılanabilen bir girişimin, bir bağlantı noktasını açmadan önce bir kapı vuruşu sırasının izlenmesi. Son olarak, sonuncusunun engellemekten ziyade bir saldırı hasarını hafifletmesi gerekiyor, ama bu işe yaramaz anlamına gelmez. Unutmayın ki güvenlik bir ya hep ya hiç teklif değil; İhtiyaçlarınız için yeterli bir güvenlik seviyesine ulaşmak için katmanlı bir yaklaşım, kemer ve jartiyer alır.


4
2017-11-13 12:37



+1 Kesinlikle, savunma derinlik anahtarıdır. - Jim OHalloran
Herhangi bir etkiye giden trafiği engelleme beklentisini nasıl karşılayabileceğimi göremiyorum, özellikle müşterilerimiz sunucularımızın çoğunun internette rastgele ana bilgisayarlara posta göndermesini beklediğinde (spam durumunda olduğu gibi). "Phoning home", ağdaki diğer bazı rasgele host'lara bağlanma meselesidir - ve tüm giden bağlantıların birkaçını kurtarmasının, herhangi bir şeye yardımcı olacağından şüphe duyuyorum. her şey internette. Ve sadece birkaç limanı kapatmak, çölün ortasında bir gişe kulübesi kurmak gibi bir şey. - Ernie


Hiçbir şekilde güvenlik uzmanı değilim, ama güvenlik duvarı gibiymiş gibi geliyor. Görünüşe göre, bir güvenlik duvarının temel işlevlerinden bazılarını aldınız ve bunu politikalarınızın ve prosedürlerinizin bir parçası haline getirdiniz. Hayır, bir güvenlik duvarı ile aynı işi yapacaksanız, bir güvenlik duvarına ihtiyacınız yoktur. Kendime gelince, güvenliği korumak için elimden gelenin en iyisini yapmak istiyorum, ancak omuzuma bakan bir güvenlik duvarı var, ancak güvenlik duvarının yaptığı herşeyi yapabileceğiniz bir noktada, bu konu ilgisiz hale geliyor.


3
2017-11-13 10:47





Daha küçük kurulumlar için bir güvenlik duvarına gerek yoktur. Bir veya iki sunucunuz varsa, yazılım güvenlik duvarları korunabilir. Bununla birlikte, özel güvenlik duvarı olmadan koşmuyoruz ve bu felsefeyi sürdürmem için birkaç neden var:

Rollerin Ayrılması

Sunucular uygulamalar içindir. Güvenlik duvarları paket denetimi, filtreleme ve politikaları içindir. Bir web sunucusu web sayfalarını sunma konusunda endişelenmeli ve işte bu kadar. Her iki rolü de bir cihaza koymak, muhasebecinizin de sizin güvenlik görevliniz olmasını istemektir.

Yazılım hareketli bir hedeftir

Ana bilgisayardaki yazılım her zaman değişiyor. Uygulamalar kendi güvenlik duvarı istisnalarını oluşturabilir. İşletim sistemi güncellenir ve yamalı. Sunucular, yüksek trafikli bir "yönetici" alanıdır ve güvenlik duvarı politikalarınız / güvenlik politikalarınız genellikle uygulama yapılandırmalarınızdan güvenlik açısından çok daha önemlidir. Bir Windows ortamında, birilerinin Grup İlkesi düzeyinde bir hata yaptığını ve Windows Güvenlik Duvarı'nı masaüstü bilgisayarlarına kapattığını ve sunuculara uygulanacağının farkında olmadığını varsayalım. Tıklamalarla ilgili çok açıksınız.

Sadece güncellemelerden bahsederken, güvenlik duvarı ürün yazılımı güncellemeleri genellikle yılda bir veya iki kez çıkıyor, OS ve servis güncellemeleri ise sürekli bir akış.

Yeniden kullanılabilir hizmetler / politikalar / kurallar, yönetilebilirlik

Bir kez "Web Sunucusu" (TCP 80 ve TCP 443) olarak adlandırılan bir hizmet / ilke kurar ve bunu güvenlik duvarı düzeyinde "web sunucuları grubuna" uygularsam, bu çok daha verimli olur (birkaç yapılandırma değişikliği). ve 10 kutuda güvenlik duvarı hizmetlerini kurmaktan ve 2 port x 10 kez açmadan insan hatalarına katlanarak daha az eğilimlidir. Bu politikanın değişmesi gerektiğinde, 1'e karşı 10'dur.

Güvenlik duvarı saldırı sırasında veya bir uzlaşma sonrasında yönetebiliyorum.

Ana bilgisayar tabanlı güvenlik duvarı + uygulama sunucumun saldırıya uğradığını ve CPU'nun grafikten çıktığını varsayalım. Neler olduğunu anlamaya bile başlayabilmek için, yükümün merhametine saldırganınkinden daha az, içeri girip bakmaya bile razıyım.

Gerçek bir deneyim - Bir kez bir güvenlik duvarı kuralı (belirli bir yerine HERHANGİ bir sol bağlantı noktası ve sunucu savunmasız bir hizmet) karıştırdı ve saldırgan aslında kutuya canlı bir Uzak Masaüstü oturumu vardı. Her seferinde bir seansa girmeye başladığımda, saldırgan seansı öldürür / çıkarırdı. Bu saldırıyı bağımsız bir güvenlik duvarı aygıtından kapatamıyor olsaydı, bu çok daha kötü olabilirdi.

Bağımsız İzleme

Özel güvenlik duvarı birimlerinde oturum açma genellikle ana bilgisayar tabanlı yazılım güvenlik duvarlarından çok daha üstündür. Bazıları, doğru bir resim elde etmek için harici SNMP / NetFlow izleme yazılımına bile gerek duymayacak kadar iyidir.

IPv4 Koruma

Web için, diğeri posta için ise iki IP adresinin olması için bir neden yoktur. Hizmetleri ayrı kutularda saklayın ve portları bunu yapmak için tasarlanmış cihaz aracılığıyla uygun şekilde yönlendirin.


3
2017-11-13 16:06





blockquote   Eh, haklısın, orada herhangi bir eksiğini bile vermedim. Eksileri: artan ağ karmaşıklığı, tek bir hata noktası, bant genişliği darboğazlanmış tek ağ arabirimi. Aynı şekilde, bir güvenlik duvarında yapılan yönetim hataları tüm ağınızı öldürebilir. Ve tanrılar, sunucu odasına 20 dakikalık bir yolculuk olduğu zaman, bu arada kendinizi kilitlediğinizi unutuyorlar.

İlk olarak, ağınız üzerinden en fazla bir ek yönlendirilmiş atlama eklemek karmaşık değildir. İkincisi, herhangi bir hata noktasında uygulanan bir güvenlik duvarı çözümü tamamen işe yaramaz. Tıpkı önemli sunucunuzu veya hizmetlerinizi kümelediğiniz ve bağlı NIC'leri kullandığınız gibi, yüksek düzeyde kullanılabilir güvenlik duvarları uygularsınız. Bunu yapmamak ya da bunu farketmemek ve bilmemek çok kısa görüşlüdür. Tek bir arayüzün olduğunu belirtmek otomatik olarak bir şey darboğaz yaratmaz. Bu iddia, ağınızda akacak trafiği idare etmek için boyutlandırılmış bir güvenlik duvarının nasıl düzgün bir şekilde planlanacağını ve dağıtılacağını bilmediğinizi gösterir. Politikadaki bir hatanın tüm ağınıza zarar verebileceğini söylemekte haklısınız, ancak tüm sunucularınızdaki bireysel politikaları korumanın tek bir yerden daha fazla hata yapmaya eğilimli olduğunu iddia ediyorum.

Güvenlik düzeltme ekini takip ettiğiniz ve güvenlik kılavuzlarını izlediğiniz argümanı olarak; Bu en iyi ihtimalle titrek bir argüman. Güvenlik açığı genellikle güvenlik açığı bulunana kadar kullanılamaz. Bu, genel olarak adreslenebilir sunucuları çalıştırdığınız zaman, onlar yamalana kadar savunmasız oldukları anlamına gelir. Başkalarının belirttiği gibi, IPS sistemleri bu tür güvenlik açıklarından taviz verilmesini önleyebilir.

Sistemlerinizin olabildiğince güvenli olduğunu düşünüyorsanız, bu sahip olmak için iyi bir güven. Ancak, ağınızda profesyonel bir güvenlik denetiminin yapılmasını öneririm. Sadece gözlerini açabilir.


2
2017-11-14 03:57



It may just open your eyes. Tabuttaki son çivi olacak. - sjas