Hardware Firewall Vs. Software-Firewall (IP-Tabellen, RHEL)

Mein Hosting-Unternehmen sagt, IPTables sei nutzlos und biete keinen Schutz . Ist das eine Lüge?

TL; DR
Ich habe zwei Server am selben Standort. Gestern hat mich mein DC-Unternehmen kontaktiert, um mir mitzuteilen, dass mein Server aufgrund der Verwendung einer Software-Firewall "für mehrere kritische Sicherheitsbedrohungen anfällig" ist und meine aktuelle Lösung "keinen Schutz vor Angriffen jeglicher Art" bietet.

Sie sagen, ich brauche eine dedizierte Cisco-Firewall (1000 US-Dollar Installation, dann 200 US-Dollar pro Monat ), um meine Server zu schützen. Ich hatte immer den Eindruck, dass Hardware-Firewalls zwar sicherer sind, IPTables auf RedHat jedoch einen ausreichenden Schutz für einen durchschnittlichen Server bieten.

Bei beiden Servern handelt es sich nur um Webserver. Sie sind nicht von entscheidender Bedeutung, aber ich habe IPTables verwendet, um SSH nur auf meine statische IP-Adresse zu beschränken und alles außer den grundlegenden Ports (HTTP (S), FTP und einigen anderen Standarddiensten zu blockieren ).

Ich werde die Firewall nicht bekommen, wenn die Server gehackt würden, wäre das eine Unannehmlichkeit, aber alles, was sie ausführen, sind ein paar WordPress- und Joomla-Sites, also denke ich definitiv nicht, dass es das Geld wert ist.

Hardware-Firewalls führen auch Software aus. Der einzige wirkliche Unterschied besteht darin, dass das Gerät speziell für diese Aufgabe entwickelt wurde. Software-Firewalls auf Servern können bei korrekter Konfiguration genauso sicher sein wie Hardware-Firewalls (beachten Sie, dass Hardware-Firewalls in der Regel einfacher zu erreichen und Software-Firewalls einfacher zu beschädigen sind).

Wenn Sie veraltete Software ausführen, liegt wahrscheinlich eine bekannte Sicherheitsanfälligkeit vor. Während Ihr Server möglicherweise für diesen Angriffsmechanismus anfällig ist, ist die Angabe, dass er ungeschützt ist, entzündlich, irreführend oder eine kühne Lüge (hängt davon ab, was genau sie gesagt haben und wie sie es gemeint haben). Sie sollten die Software aktualisieren und alle bekannten Schwachstellen korrigieren, unabhängig von der Wahrscheinlichkeit der Ausnutzung.

Die Aussage, dass IPTables unwirksam ist, ist bestenfalls irreführend . Aber wenn die eine Regel lautet , alles von allen zu allen zuzulassen , dann würde es überhaupt nichts tun.

Nebenbemerkung : Alle meine persönlichen Server sind FreeBSD-fähig und verwenden nur IPFW (integrierte Software-Firewall). Ich hatte noch nie ein Problem mit diesem Setup. Ich folge auch den Sicherheitsankündigungen und habe noch nie Probleme mit dieser Firewall-Software gesehen.
Bei der Arbeit haben wir Sicherheit in Schichten; Die Edge-Firewall filtert alle offensichtlichen Fehler heraus (Hardware-Firewall). Interne Firewalls filtern den Datenverkehr für die einzelnen Server oder Standorte im Netzwerk herunter (Mischung aus hauptsächlich Software- und Hardware-Firewalls).
Für komplexe Netzwerke jeglicher Art ist die Sicherheit in Schichten am besten geeignet. Bei einfachen Servern wie Ihrem kann es von Vorteil sein, eine separate Hardware-Firewall zu haben, aber ziemlich wenig.

Das Ausführen einer Firewall auf dem geschützten Server selbst ist weniger sicher als die Verwendung eines separaten Firewall-Computers. Es muss keine "Hardware" -Firewall sein. Ein anderer Linux-Server, der als Router mit IPTables eingerichtet ist, funktioniert problemlos.

Das Sicherheitsproblem bei Firewalls auf dem geschützten Server besteht darin, dass der Computer über die ausgeführten Dienste angegriffen werden kann. Wenn der Angreifer Zugriff auf Root-Ebene hat, kann die Firewall über ein Kernel-Root-Kit geändert, deaktiviert oder umgangen werden.

Auf einem separaten Firewall-Computer sollten außer dem SSH-Zugriff keine Dienste ausgeführt werden, und der SSH-Zugriff sollte auf Administrations-IP-Bereiche beschränkt sein. Es sollte relativ unverwundbar für Angriffe sein, abgesehen von Fehlern in der IPTables-Implementierung oder natürlich im TCP-Stack.

Der Firewall-Computer kann Netzwerkdatenverkehr blockieren und protokollieren, der nicht vorhanden sein sollte, sodass Sie frühzeitig vor geknackten Systemen gewarnt werden.

Wenn Ihr Datenverkehr gering ist, versuchen Sie es mit einem kleinen Cisco ASA-Gerät wie dem 5505 . Es liegt im Bereich von 500 bis 700 US-Dollar und ist definitiv für diesen Zweck gebaut. Das Co-Lo gibt Ihnen ein bisschen BS, aber die Preise für die Firewall sind auch nicht zumutbar.

Ich denke, es kommt auch auf die Leistung an. Was eine Software / Server-basierte Firewall mit CPU-Zyklen macht, kann eine Hardware-Firewall mit speziell entwickelten Chips (ASICs) tun, was zu einer besseren Leistung und einem besseren Durchsatz führt.

Aus Ihrer Sicht besteht der eigentliche Unterschied zwischen "Software" (auf dem Computer selbst) und "Hardware" -Firewalls darin, dass sich der Datenverkehr im ersten Fall bereits auf dem Computer befindet, den Sie schützen möchten, sodass er potenziell anfälliger ist, wenn etwas übersehen wurde oder falsch konfiguriert.

Eine Hardware-Firewall fungiert im Wesentlichen als Vorfilter, der nur bestimmten Datenverkehr ermöglicht, Ihren Server zu erreichen und / oder zu verlassen.

In Anbetracht Ihres Anwendungsfalls und der Annahme, dass Sie über ordnungsgemäße Sicherungen verfügen, wäre der Mehraufwand sehr schwer zu rechtfertigen. Persönlich würde ich mit dem, was Sie haben, fortfahren, obwohl ich vielleicht eine andere Hosting-Firma benutze.

Spät zum Spiel in diesem Fall. Ja, der Dienstanbieter hat keine Ahnung, wovon er spricht. Wenn Sie ein kompetenter IPTABLES-Administrator sind, sind Sie sicherer als eine standardmäßige Hardware-Firewall. Der Grund dafür ist, dass die nette gee-whiz-Oberfläche, wenn ich sie verwendet habe, nicht die tatsächliche Konfiguration des zulässigen Datenverkehrs widerspiegelt. Die Verkäufer versuchen, es für uns dumme Leute zu dumm zu machen. Ich möchte wissen, welche Möglichkeiten es gibt, dass jedes Paket ein- und ausgeht.

IPTABLES ist nicht jedermanns Sache, aber wenn Sie es mit der Sicherheit ernst meinen, möchten Sie so nah wie möglich am Kabel sein. Das Sichern eines Systems ist einfach - das Reverse Engineering einer Blackbox-Firewall nicht.