Perusahaan hosting saya mengatakan IPTables tidak berguna dan tidak memberikan perlindungan apa pun . Apakah ini bohong?
TL; DR
Saya punya dua, server yang terletak bersama. Kemarin perusahaan DC saya menghubungi saya untuk memberi tahu saya bahwa karena saya menggunakan firewall perangkat lunak server saya "Rentan terhadap banyak, ancaman keamanan kritis" dan solusi saya saat ini menawarkan "Tidak ada perlindungan dari segala bentuk serangan".
Mereka mengatakan saya perlu untuk mendapatkan dedicated Cisco firewall ($ 1000 instalasi maka $ 200 / bulan masing-masing ) untuk melindungi server saya. Saya selalu mendapat kesan bahwa, sementara firewall perangkat keras lebih aman, sesuatu seperti IPTable di RedHat menawarkan perlindungan yang cukup untuk server rata-rata Anda.
Kedua server hanyalah server web, tidak ada yang sangat penting bagi mereka, tetapi saya telah menggunakan IPTables untuk mengunci SSH hanya alamat IP statis saya dan memblokir semuanya kecuali port dasar (HTTP (S), FTP dan beberapa layanan standar lainnya ).
Saya tidak akan mendapatkan firewall, jika eter server diretas itu akan menjadi ketidaknyamanan tetapi semua yang mereka jalankan adalah beberapa situs WordPress dan Joomla jadi saya pasti tidak berpikir itu bernilai uang.
Jawaban:
Firewall perangkat keras juga menjalankan perangkat lunak, satu-satunya perbedaan nyata adalah perangkat ini dibuat khusus dan didedikasikan untuk tugas tersebut. Firewall perangkat lunak pada server dapat sama amannya dengan firewall perangkat keras saat dikonfigurasikan dengan benar (perhatikan bahwa firewall perangkat keras pada umumnya 'lebih mudah' untuk sampai ke tingkat itu, dan firewall perangkat lunak 'lebih mudah' untuk dikacaukan).
Jika Anda menjalankan perangkat lunak yang ketinggalan zaman, kemungkinan ada kerentanan yang diketahui. Sementara server Anda mungkin rentan terhadap vektor serangan ini, menyatakan bahwa itu tidak dilindungi adalah peradangan, menyesatkan, atau kebohongan tebal (tergantung pada apa yang mereka katakan dan bagaimana mereka sungguh-sungguh). Anda harus memperbarui perangkat lunak dan menambal setiap kerentanan yang diketahui terlepas dari kemungkinan eksploitasi.
Menyatakan bahwa IPTable tidak efektif adalah menyesatkan . Padahal sekali lagi, jika satu aturan itu memungkinkan segalanya dari semua untuk semua maka ya, itu tidak akan melakukan apa-apa sama sekali.
Catatan Sisi : semua server pribadi saya bertenaga FreeBSD dan hanya menggunakan IPFW (firewall perangkat lunak bawaan). Saya tidak pernah memiliki masalah dengan pengaturan ini; Saya juga mengikuti pengumuman keamanan dan belum pernah melihat masalah dengan perangkat lunak firewall ini.
Di tempat kerja kami memiliki lapisan keamanan; firewall tepi menyaring semua omong kosong yang jelas (firewall perangkat keras); firewall internal menyaring lalu lintas turun untuk masing-masing server atau lokasi di jaringan (sebagian besar campuran perangkat lunak dan firewall perangkat keras).
Untuk jaringan kompleks apa pun, keamanan berlapis-lapis adalah yang paling tepat. Untuk server sederhana seperti milik Anda, mungkin ada manfaatnya memiliki firewall perangkat keras yang terpisah, tetapi cukup sedikit.
sumber
allow everything from all to all
dapat dengan mudah diimplementasikan pada firewall perangkat keras - dengan efek yang sama.Menjalankan firewall pada server yang dilindungi itu sendiri adalah kurang aman daripada menggunakan mesin firewall yang terpisah. Tidak harus firewall "perangkat keras". Server Linux lain yang ditetapkan sebagai router dengan IPTables akan berfungsi dengan baik.
Masalah keamanan dengan firewall pada server yang dilindungi adalah bahwa mesin dapat diserang melalui layanan yang berjalan. Jika penyerang bisa mendapatkan akses level root, firewall dapat dimodifikasi atau dinonaktifkan atau dilewati melalui root-kit kernel.
Mesin firewall terpisah tidak boleh memiliki layanan yang berjalan kecuali untuk akses SSH dan akses SSH harus dibatasi untuk rentang IP administrasi. Seharusnya relatif tidak kebal untuk menyerang, kecuali bug dalam implementasi IPTables atau TCP stack, tentu saja.
Mesin firewall dapat memblokir dan mencatat lalu lintas jaringan yang seharusnya tidak ada, memberi Anda peringatan dini yang berharga tentang sistem yang retak.
sumber
Jika lalu lintas Anda rendah, coba unit Cisco ASA kecil seperti 5505 . Ini dalam kisaran $ 500- $ 700 dan pasti dibangun khusus. Co-lo ini agak memberi Anda BS, tetapi tarif mereka untuk firewall juga tidak masuk akal.
sumber
Saya pikir itu juga tergantung pada kinerja. Apa yang dilakukan oleh firewall berbasis perangkat lunak / server menggunakan siklus CPU, firewall perangkat keras dapat dilakukan dengan chip yang dibuat khusus (ASIC) yang menghasilkan kinerja dan throughput yang lebih baik.
sumber
Dari sudut pandang Anda perbedaan nyata antara "perangkat lunak" (pada mesin itu sendiri) dan "perangkat keras" firewall adalah bahwa dalam kasus pertama lalu lintas sudah di mesin yang ingin Anda lindungi, sehingga berpotensi lebih rentan jika sesuatu telah diabaikan atau salah konfigurasi.
Firewall perangkat keras pada dasarnya bertindak sebagai pra-filter, yang hanya memungkinkan lalu lintas khusus untuk mencapai dan / atau keluar dari server Anda.
Mengingat kasus penggunaan Anda, dan dengan asumsi tentu saja bahwa Anda memiliki cadangan yang tepat, biaya tambahan akan sangat sulit untuk dibenarkan. Secara pribadi saya akan melanjutkan dengan apa yang Anda miliki, walaupun mungkin menggunakan perusahaan hosting yang berbeda.
sumber
Terlambat dalam game yang satu ini. Ya, penyedia layanan tidak tahu apa yang mereka bicarakan. Jika Anda adalah administrator IPTABLES yang kompeten, saya akan mengatakan bahwa Anda lebih aman daripada firewall perangkat keras out-of-the-box. Alasannya adalah bahwa ketika saya telah menggunakannya, antarmuka gee-jagoan yang bagus tidak mencerminkan konfigurasi sebenarnya dari lalu lintas apa yang diizinkan. Para penjual mencoba membodohi kita karena orang bodoh. Saya ingin tahu tentang setiap kemungkinan setiap paket masuk dan keluar.
IPTABLES bukan untuk semua orang, tetapi jika Anda serius tentang keamanan, Anda ingin berada sedekat mungkin dengan kabel. Mengamankan sistem itu mudah - rekayasa balik firewall blackbox tidak.
sumber
ACCEPT
, sementara sebagian besar firewall perangkat keras di-default-kanDROP
. Dalam hal itu, perangkat keras out of the box lebih aman daripada perangkat lunak out of the box. Memang, banyak vendor cloud telah memodifikasi default itu dan panduan instalasi memungkinkan Anda untuk menentukan aturan sebelum instalasi selesai ...