Hardware Firewall Vs. Firewall Perangkat Lunak (Tabel IP, RHEL)

36

Perusahaan hosting saya mengatakan IPTables tidak berguna dan tidak memberikan perlindungan apa pun . Apakah ini bohong?

TL; DR
Saya punya dua, server yang terletak bersama. Kemarin perusahaan DC saya menghubungi saya untuk memberi tahu saya bahwa karena saya menggunakan firewall perangkat lunak server saya "Rentan terhadap banyak, ancaman keamanan kritis" dan solusi saya saat ini menawarkan "Tidak ada perlindungan dari segala bentuk serangan".

Mereka mengatakan saya perlu untuk mendapatkan dedicated Cisco firewall ($ 1000 instalasi maka $ 200 / bulan masing-masing ) untuk melindungi server saya. Saya selalu mendapat kesan bahwa, sementara firewall perangkat keras lebih aman, sesuatu seperti IPTable di RedHat menawarkan perlindungan yang cukup untuk server rata-rata Anda.

Kedua server hanyalah server web, tidak ada yang sangat penting bagi mereka, tetapi saya telah menggunakan IPTables untuk mengunci SSH hanya alamat IP statis saya dan memblokir semuanya kecuali port dasar (HTTP (S), FTP dan beberapa layanan standar lainnya ).

Saya tidak akan mendapatkan firewall, jika eter server diretas itu akan menjadi ketidaknyamanan tetapi semua yang mereka jalankan adalah beberapa situs WordPress dan Joomla jadi saya pasti tidak berpikir itu bernilai uang.

Noda
sumber
6
Perusahaan hosting Anda terdengar seperti sekelompok penyair! Tidak ada yang salah dengan IPTables, dan dalam banyak kasus ia menawarkan lebih banyak fitur daripada Cisco ASA dll. Modul dan modul batas baru-baru ini muncul di sini.
Niall Donegan
20
Mau berbagi perusahaan apa ini, sehingga kita semua bisa menjauh?
Hyppy

Jawaban:

34

Firewall perangkat keras juga menjalankan perangkat lunak, satu-satunya perbedaan nyata adalah perangkat ini dibuat khusus dan didedikasikan untuk tugas tersebut. Firewall perangkat lunak pada server dapat sama amannya dengan firewall perangkat keras saat dikonfigurasikan dengan benar (perhatikan bahwa firewall perangkat keras pada umumnya 'lebih mudah' untuk sampai ke tingkat itu, dan firewall perangkat lunak 'lebih mudah' untuk dikacaukan).

Jika Anda menjalankan perangkat lunak yang ketinggalan zaman, kemungkinan ada kerentanan yang diketahui. Sementara server Anda mungkin rentan terhadap vektor serangan ini, menyatakan bahwa itu tidak dilindungi adalah peradangan, menyesatkan, atau kebohongan tebal (tergantung pada apa yang mereka katakan dan bagaimana mereka sungguh-sungguh). Anda harus memperbarui perangkat lunak dan menambal setiap kerentanan yang diketahui terlepas dari kemungkinan eksploitasi.

Menyatakan bahwa IPTable tidak efektif adalah menyesatkan . Padahal sekali lagi, jika satu aturan itu memungkinkan segalanya dari semua untuk semua maka ya, itu tidak akan melakukan apa-apa sama sekali.

Catatan Sisi : semua server pribadi saya bertenaga FreeBSD dan hanya menggunakan IPFW (firewall perangkat lunak bawaan). Saya tidak pernah memiliki masalah dengan pengaturan ini; Saya juga mengikuti pengumuman keamanan dan belum pernah melihat masalah dengan perangkat lunak firewall ini.
Di tempat kerja kami memiliki lapisan keamanan; firewall tepi menyaring semua omong kosong yang jelas (firewall perangkat keras); firewall internal menyaring lalu lintas turun untuk masing-masing server atau lokasi di jaringan (sebagian besar campuran perangkat lunak dan firewall perangkat keras).
Untuk jaringan kompleks apa pun, keamanan berlapis-lapis adalah yang paling tepat. Untuk server sederhana seperti milik Anda, mungkin ada manfaatnya memiliki firewall perangkat keras yang terpisah, tetapi cukup sedikit.

Chris S
sumber
13
+1 - Semua firewall adalah "firewall perangkat lunak". Ini lebih merupakan "firewall perangkat lunak dengan perangkat lunak yang Anda kontrol" versus "firewall perangkat lunak yang merupakan kotak hitam tertutup". Batasi port terbuka Anda ke minimum yang diperlukan agar server dapat berfungsi, jatuhkan traffic yang jelas-jelas palsu, dan jangan lupa filter jalan keluar dan Anda akan menjadi baik.
Evan Anderson
Ya saya mencoba dan menjaga semuanya tetap terbaru, dan saya mungkin akan mengatakan saya memahami keamanan dengan baik, saya hanya sedikit terkejut bahwa perusahaan DC saya mengatakan bahwa perlindungan saya tidak berguna, saya selalu menganggap tabel IP baik untuk server dasar dan firewall perangkat keras bagus jika Anda, katakanlah, Sony =)
Smudge
6
+1, IPTables adalah apa yang membangun banyak sistem firewall yang layak. Perusahaan hosting Anda berbohong dengan giginya untuk mencoba dan mendapatkan uang tambahan dari Anda. Buang mereka untuk vendor yang memiliki reputasi baik.
Hyppy
2
allow everything from all to alldapat dengan mudah diimplementasikan pada firewall perangkat keras - dengan efek yang sama.
CrackerJack9
8

Menjalankan firewall pada server yang dilindungi itu sendiri adalah kurang aman daripada menggunakan mesin firewall yang terpisah. Tidak harus firewall "perangkat keras". Server Linux lain yang ditetapkan sebagai router dengan IPTables akan berfungsi dengan baik.

Masalah keamanan dengan firewall pada server yang dilindungi adalah bahwa mesin dapat diserang melalui layanan yang berjalan. Jika penyerang bisa mendapatkan akses level root, firewall dapat dimodifikasi atau dinonaktifkan atau dilewati melalui root-kit kernel.

Mesin firewall terpisah tidak boleh memiliki layanan yang berjalan kecuali untuk akses SSH dan akses SSH harus dibatasi untuk rentang IP administrasi. Seharusnya relatif tidak kebal untuk menyerang, kecuali bug dalam implementasi IPTables atau TCP stack, tentu saja.

Mesin firewall dapat memblokir dan mencatat lalu lintas jaringan yang seharusnya tidak ada, memberi Anda peringatan dini yang berharga tentang sistem yang retak.

Zan Lynx
sumber
3
Jika server di-root, kemungkinan besar penyerang tidak dapat membuka port lain, karena mereka sudah dapat mengakses apa pun yang lokal. Jika penyerang dapat memperoleh akses root ke server melalui port yang diizinkan melalui Firewall, kemungkinan tidak masalah apa yang diblokir firewall. Selanjutnya, SSH di server harus dibatasi sama seperti akses SSH ke mesin firewall.
CrackerJack9
4

Jika lalu lintas Anda rendah, coba unit Cisco ASA kecil seperti 5505 . Ini dalam kisaran $ 500- $ 700 dan pasti dibangun khusus. Co-lo ini agak memberi Anda BS, tetapi tarif mereka untuk firewall juga tidak masuk akal.

putih
sumber
4

Saya pikir itu juga tergantung pada kinerja. Apa yang dilakukan oleh firewall berbasis perangkat lunak / server menggunakan siklus CPU, firewall perangkat keras dapat dilakukan dengan chip yang dibuat khusus (ASIC) yang menghasilkan kinerja dan throughput yang lebih baik.

Robert
sumber
1
Apakah Anda memiliki metrik untuk perbandingan itu? Server kemungkinan menjalankan prosesor yang lebih kuat dan perlu melakukan perhitungan terkait TCP, terlepas dari firewall perangkat keras yang ada di depannya (pikirkan tumpukan TCP lokal, dll.)
CrackerJack9
3

Dari sudut pandang Anda perbedaan nyata antara "perangkat lunak" (pada mesin itu sendiri) dan "perangkat keras" firewall adalah bahwa dalam kasus pertama lalu lintas sudah di mesin yang ingin Anda lindungi, sehingga berpotensi lebih rentan jika sesuatu telah diabaikan atau salah konfigurasi.

Firewall perangkat keras pada dasarnya bertindak sebagai pra-filter, yang hanya memungkinkan lalu lintas khusus untuk mencapai dan / atau keluar dari server Anda.

Mengingat kasus penggunaan Anda, dan dengan asumsi tentu saja bahwa Anda memiliki cadangan yang tepat, biaya tambahan akan sangat sulit untuk dibenarkan. Secara pribadi saya akan melanjutkan dengan apa yang Anda miliki, walaupun mungkin menggunakan perusahaan hosting yang berbeda.

John Gardeniers
sumber
3

Terlambat dalam game yang satu ini. Ya, penyedia layanan tidak tahu apa yang mereka bicarakan. Jika Anda adalah administrator IPTABLES yang kompeten, saya akan mengatakan bahwa Anda lebih aman daripada firewall perangkat keras out-of-the-box. Alasannya adalah bahwa ketika saya telah menggunakannya, antarmuka gee-jagoan yang bagus tidak mencerminkan konfigurasi sebenarnya dari lalu lintas apa yang diizinkan. Para penjual mencoba membodohi kita karena orang bodoh. Saya ingin tahu tentang setiap kemungkinan setiap paket masuk dan keluar.

IPTABLES bukan untuk semua orang, tetapi jika Anda serius tentang keamanan, Anda ingin berada sedekat mungkin dengan kabel. Mengamankan sistem itu mudah - rekayasa balik firewall blackbox tidak.

dalel2000
sumber
Saya percaya rantai default iptables RHEL adalah ACCEPT, sementara sebagian besar firewall perangkat keras di-default-kan DROP. Dalam hal itu, perangkat keras out of the box lebih aman daripada perangkat lunak out of the box. Memang, banyak vendor cloud telah memodifikasi default itu dan panduan instalasi memungkinkan Anda untuk menentukan aturan sebelum instalasi selesai ...
CrackerJack9