Вы не можете понимать, какому количеству Вы извлекаете выгоду из брандмауэров просто, потому что все другие используют их. Через день, когда буквально у всех, вниз для размещения пользователей DSL есть брандмауэры на месте, сниффинг порта был почти брошен как выполнимый вектор атаки. Достойный хакер не пропадает зря их время, проверяя на такие вещи.

Брандмауэры могут препятствовать тому, чтобы пользователи системы открыли доступные для сети сервисы, о которых администраторы не знают или делают перенаправление портов к другим машинам. Путем использования hashlimit модуля брандмауэры могут также злоумышленники ограничения скорости на основе удаленного IP.

Брандмауэр является другой системой поддержки, которая гарантирует, что Ваши политики придерживаются к. Несомненно, не выполняйте сервисы, Вы не ожидаете.

Я определенно рекомендую, чтобы обновления программного обеспечения были применены своевременно, например, но я также рекомендую брандмауэры на всех машинах. Это похоже, когда я управляю: Уверенный я стараюсь избегать препятствий и других автомобилей, но я также ношу ремень безопасности и имею подушки безопасности на всякий случай, неожиданное происходит.

Почему всем Вашим серверам нужен общедоступный адрес?

Установите сервер в серверной и дайте ему общедоступный IP-адрес.

Приблизительно из 14 серверов, которые я выполняю регулярно, только 2 имеют публично доступные интерфейсы.

Отредактированный для добавления: В других сетях, что я принял участие в управлении, у нас была способность повернуться от/на сервисов по желанию, тогда как у нас не было доступа для управления брандмауэром. Я не могу даже начать говорить Вам, на сколько раз непреднамеренно конечно, ненужный сервис (SMTP) был включен и уехал, и единственная вещь, сохраняющая нас от становления дампом спама и попадения в черный список в процессе, был брандмауэр.

Кроме того, весь трафик, который передает между серверами, полностью зашифрованными?

Можно ли, конечно, водить автомобиль 100 миль в час без ремней безопасности, никаких подушек безопасности и лысых шин, но почему был бы Вы??

В первую очередь, Вашим разговором о перенаправлении портов, я думаю, что Вы объединяете брандмауэринг с NATing. В то время как в эти дни NATs очень часто функционируют как фактические брандмауэры, что это не цель, для которой они были разработаны. NAT является инструментом маршрутизации. Брандмауэры для регулирования доступа. Для ясности мысли важно сохранить эти понятия отличными.

Это, конечно, верно, что, помещая сервер позади поля NAT и затем настраивая NAT для передачи чего-либо тому серверу, не более безопасно, чем помещение сервера непосредственно в Интернете. Я не думаю, что любой спорил бы с этим.

Точно так же брандмауэр, настроенный для разрешения всего трафика, не является никаким брандмауэром вообще.

Но, "позволяют весь трафик" действительно политика, которую Вы хотите? У кого-либо когда-либо есть потребность к ssh к каким-либо вашим серверам от российского IP-адреса? При переделывании конфигурации некоторого нового экспериментального сетевого демона целому миру действительно нужен доступ к ней?

Питание брандмауэра состоит в том, что он позволяет Вам сохранить открытыми только те сервисы, что Вы знаете потребность быть открытыми и поддержать единственную точку управления для проведения этой политики.

Должен сказать Ernie, которые, пока Вы кажетесь, делают много, чтобы укрепить Ваши серверы и смягчить против нападений и уязвимостей, я не соглашаюсь с Вашей позицией по брандмауэрам.

Я рассматриваю безопасность немного как луковица в том идеально, у Вас есть слои, через которые необходимо пройти, прежде чем Вы доберетесь до ядра, и лично я думаю, что это чрезвычайно дезинформировало, чтобы не иметь некоторую форму аппаратного брандмауэра в Вашем сетевом периметре.

Я признаю, что приезжаю в это от, "что я используюсь для" поворота, но я знаю, что каждый месяц получаю миленький список, которого месяцы исправляет от Microsoft, многих из них используемый в дикой природе. Я предположил бы, что то же происходит для в значительной степени любой ОС и набора приложений, о которых Вы хотите думать.

Теперь я не предлагаю, чтобы брандмауэры покончили с этим, и при этом брандмауэры не неуязвимы для наличия ошибок/уязвимостей, очевидно, "аппаратный" брандмауэр является просто программным обеспечением, работающим на аппаратной стопке.

Тем не менее я сплю намного более безопасное знание что, если у меня есть сервер, которому нужен только порт 443, чтобы быть доступным от сети, мой периметр, Juniper гарантирует, что только порт 443 доступен от сети. Не только это, но и мой Пало-Альто гарантируют, что входящий трафик дешифрован, и осмотрен, и зарегистрирован и просканирован для IPS/IDS - не, что он покончил с потребностью сохранить сервер (серверы) безопасным и актуальным, но почему Вы НЕ нашли бы, что преимущество, учитывая, что он может смягчить для использования нулевого дня и старой доброй человеческой ошибки?

Уязвимости трудно предсказать. Практически невозможно предсказать, какой путь Ваша инфраструктура собирается быть использованной. Наличие брандмауэра "поднимает планку" для взломщика, желающего использовать уязвимость, и это - важная часть перед знанием, какова та уязвимость. Кроме того, разветвления брандмауэра могут быть понятными заранее, таким образом, Вы вряд ли ВЫЗОВЕТЕ проблемы с брандмауэром, которые более серьезны, чем проблемы, которых Вы, вероятно, избежите.

Поэтому "никто никогда не увольнялся за установку брандмауэра". Их реализация является очень низким риском и имеет ВЫСОКУЮ вероятность или предотвращения или смягчения использования. Кроме того, самые действительно противные уязвимости заканчивают тем, что были использованы автоматизацией, таким образом, что-либо "необычное" закончит тем, что повредило бота или по крайней мере заставило его пропускать Вас в пользу более легкой цели.

Примечание стороны; брандмауэры не для Интернета только. Вашему бухгалтерскому отделу не нужен ssh/whatever к Вашему ldap серверу, не давайте его им. Разделение внутренних сервисов может иметь большое значение к заданию очистки, если что-то ДЕЙСТВИТЕЛЬНО нарушает стены замка.

В материальном мире люди защищают ценности путем помещения их в сейфы. Но нет никакого сейфа, в который нельзя ворваться. Сейфы или контейнеры безопасности, оцениваются с точки зрения того, сколько времени это берет для принуждения записи. Цель сейфа состоит в том, чтобы задерживать взломщика достаточно долго, что они обнаруживаются, и активные меры затем останавливают нападение.

Точно так же надлежащее предположение безопасности - то, что Ваши выставленные машины, в конечном счете, будут поставлены под угрозу. Брандмауэры и хосты оплота не настраиваются, чтобы предотвратить Ваш сервер (с Вашими ценными данными) от компромисса, но вынудить взломщика скомпрометировать их сначала и позволить Вам обнаруживать (и удерживать) нападение, прежде чем ценности будут потеряны.

Обратите внимание, что ни брандмауэры, ни банковские хранилища не защищают от угроз инсайдера. Это - одна причина для бухгалтеров банка взять отпуск двух недель последовательно, и чтобы серверы имели полные меры предосторожности внутренней безопасности даже при том, что защищенный оплотом размещает.

Вы, кажется, подразумеваете в исходном сообщении передачу пакетов "внешнего мира" через брандмауэр непосредственно к серверу. В этом случае, да, Ваш брандмауэр не делает очень. Лучшая круговая оборона сделана с двумя брандмауэрами и хостом оплота, где нет никакого прямого логического соединения снаружи с внутренней частью - каждое соединение завершается в хосте оплота демилитаризованной зоны; каждый пакет исследован соответственно (и возможно проанализирован) перед передачей.

Блок цитирования ну, Вы правы, я не помещал недостатков там. Недостатки: увеличенная сложность сети, единая точка отказа, единственный сетевой интерфейс, через который пропускная способность является bottlenecked. Аналогично, административные ошибки, сделанные на одном брандмауэре, могут уничтожить Вашу всю сеть. И боги запрещают это, Вы блокируете себя из него тем временем, когда это - 20-минутное прохождение в серверную.

Во-первых, добавление самое большее одного дополнительного маршрутиризированныма узел через Вашу сеть не сложно. Во-вторых, никакое решение для брандмауэра, реализованное с любой единой точкой отказа, не абсолютно бесполезно. Точно так же, как Вы кластеризируете свой важный сервер или сервисы и используете связанный NICs, Вы реализуете высоконадежные брандмауэры. Выполнение так, или не распознавание и знание, что Вы сделали бы так, очень близоруки. Просто заявление, что существует единственный интерфейс, автоматически не делает что-то узким местом. То утверждение показывает, что Вы понятия не имеете, как правильно запланировать и развернуть брандмауэр, измеренный для обработки трафика, который тек бы через сеть. Вы корректны в высказывании, что ошибка в политике может нанести ущерб Вашей всей сети, но я утверждал бы, что поддержание личных страховых полисов на всех Ваших серверах намного более подвержено ошибкам что единственное место.

Что касается аргумента, что Вы не отстаете от исправления безопасности и следуете руководствам по обеспечению безопасности; это - шаткий аргумент в лучшем случае Обычно патчи безопасности не доступны, пока уязвимость не будет обнаружена. Это означает, что все время, Вы выполняете публично адресуемые серверы, они уязвимы, пока они не исправляются. Как другие указали, системы IPS могут помочь предотвратить компромиссы от таких уязвимостей.

Если Вы думаете, что Ваши системы так безопасны, как они могут быть, это - хорошая уверенность, чтобы иметь. Однако я рекомендовал бы выполнить профессиональную проверку защиты в сети. Это может просто открыть Ваши глаза.

Брандмауэр, конечно, не нужен для меньших установок. Если у Вас есть один или два сервера, программные брандмауэры удобны в сопровождении. После этих слов мы не работаем без выделенных брандмауэров, и существует несколько причин, почему я поддерживаю эту философию:

Разделение ролей

Серверы для приложений. Брандмауэры для проверки пакетов, фильтрации и политик. Веб-сервер должен волноваться об обслуживании веб-страниц, и вот именно. Помещение обеих ролей в одном устройстве похоже на просьбу, чтобы Ваш бухгалтер также был Вашим охранником.

Программное обеспечение является движущейся целью

Программное обеспечение на хосте всегда изменяется. Приложения могут создать свои собственные исключения брандмауэра. ОС обновляется и исправляется. Серверы являются "администраторской" областью интенсивного трафика, и Ваши политики/политика безопасности брандмауэра часто являются путем, более важным для безопасности, чем Ваши конфигурации приложения. В среде Windows предположите, что кто-то делает ошибку на некотором уровне Групповой политики и выключает Windows Firewall на рабочих столах ПК и не понимает, что это собирается относиться серверы. Вы являетесь широко открытыми в течение щелчков.

Просто говоря с обновлениями, обновления встроенного микропрограммного обеспечения брандмауэра обычно выходят несколько раз год, в то время как ОС и сервисные обновления являются постоянным потоком.

Допускающие повторное использование сервисы/политики/правила, управляемость

Если я настроил сервис/политику, названный "веб-сервером" однажды (скажите, что TCP 80 и TCP 443), и применяют его к "группе веб-серверов" на уровне брандмауэра, который намного более эффективен (несколько изменений конфигурации) и экспоненциально менее подвержен человеческой ошибке, чем установка услуг брандмауэра на 10 полей и открытия 2 порта x 10 раз. Когда та политика должна измениться, это - 1 изменение по сравнению с 10.

Я могу все еще управлять брандмауэром во время нападения, или после компромисса

Скажите мой межсетевой экран узлов +, сервер приложений становится подвергшимся нападению, и ЦП от диаграммы. Чтобы даже начать выяснять, что происходит, я во власти своей загрузки, являющейся меньше, чем взломщик, чтобы даже войти и посмотреть на него.

Фактический опыт - я когда-то испортил правило брандмауэра (левые порты ЛЮБОМУ вместо определенного, и сервер имел уязвимый сервис), и у взломщика на самом деле была живая сессия Удаленного рабочего стола к полю. Каждый раз, когда я начал бы получать сессию, взломщик уничтожит от/разъединять моей сессии. Если это не было для способности закрыть то нападение от независимого межсетевого устройства, которое, возможно, было намного хуже.

Независимый контроль

Вход в систему специализированных единиц брандмауэра обычно намного выше основанных на хосте программных брандмауэров. Некоторые достаточно хороши, что Вам даже не нужен внешний SNMP / контрольное программное обеспечение NetFlow для получения точной картины.

Сохранение IPv4

Нет никакой причины иметь два IP-адреса, если Вы для сети, и каждый для почты. Сохраните сервисы на отдельные поля и направьте порты соответственно через устройство, разработанное, чтобы сделать это.

Я не специалист по безопасности каким-либо образом, но это звучит, как будто Вы - firewall'ed. Кажется, как будто Вы взяли часть базовой функциональности брандмауэра и сделали ее частью Ваших политик и процедур. Нет, Вам не нужен брандмауэр, если Вы собираетесь сделать то же задание как брандмауэр сами. Что касается меня, я приложил бы все усилия, я могу в поддержании на высоком уровне безопасности, но иметь брандмауэр, смотрящий через мое плечо, но в какой-то момент когда можно сделать все, брандмауэр делает, это начинает становиться не важным.

Брандмауэр является дополнительной защитой. Три конкретных сценария, от которых это защищает, являются нападениями сетевого стека (т.е. Ваш сервер, к которому ОС имеет уязвимость на специально обработанных пакетах, которые никогда не достигают уровня портов), успешное проникновение, устанавливающее связь, чтобы "позвонить домой" (или отправить спам, или безотносительно), или успешное проникновение, открывающее порт сервера или, менее обнаруживаемое, наблюдает за последовательностью стука порта прежде, чем открыть порт. Предоставленный, последние два имеют отношение к смягчению повреждения проникновения вместо того, чтобы предотвратить его, но это не означает, что это бесполезно. Помните, что безопасность не является бескомпромиссным суждением; каждый проявляет многоуровневый подход, пояс и подтяжки, для достижения уровня безопасности, которая достаточна для потребностей.

Все большие вопросы. НО - я - очень удивленная ПРОИЗВОДИТЕЛЬНОСТЬ, не принесен к таблице.

Для очень (мудрых ЦП) используемых веб-фронтэндов локальный брандмауэр действительно ухудшает производительность, период. Попробуйте нагрузочный тест и посмотрите. Я видел это тонны времен. Выключение брандмауэра увеличилось, производительность (запросите на секунду) на 70% или больше.

Этот компромисс нужно рассмотреть.

Брандмауэр является инструментом. Это не делает вещи безопасными в и себя, но это может сделать вклад как слой в защищенной сети. Это не означает, что Вам нужно один, и я, конечно, волнуюсь о людях, которые вслепую говорят, что "я должен получить брандмауэр", не понимая, почему они думают, что путь и кто не понимает достоинств и недостатков брандмауэров.

Существует много инструментов, мы можем сказать, что нам не нужно... Действительно ли возможно выполнить компьютер Windows без Антивируса? Да это..., но это - хороший слой страховки, чтобы иметь ту.

Я сказал бы то же о брандмауэрах - независимо от того, что можно сказать о них, они - хороший уровень страховки. Они не замена для исправления, для блокировки машин вниз, для того, чтобы отключить сервисы, которые Вы не используете для входа, и т.д...., но они могут быть полезным дополнением.

Я также предположил бы, что уравнение изменяется несколько в зависимости от того, говорите ли Вы о размещении брандмауэра перед группой серверов, за которыми тщательно ухаживают, поскольку Вы, кажется, или типичная LAN с соединением рабочих станций и серверов, некоторые из которых могли бы выполнять некоторый довольно волосатый материал несмотря на максимальные усилия и пожелания команды IT.

Еще одной вещью рассмотреть является преимущество создания, очевидно, укрепленной цели. Видимая безопасность, является ли это ярким светом, тяжелыми блокировками и очевидным сигнальным полем на здании; или очевидный брандмауэр на диапазоне бизнеса IP-адресов может удержать случайного злоумышленника - они пойдут, ища более легкую добычу. Это не удержит решительного злоумышленника, который знает, что у Вас есть информация, которую они хотят, и полон решимости получить его, но удерживание случайных злоумышленников все еще стоит - особенно, если Вы знаете, что к любому злоумышленнику, датчики которого сохраняются мимо средства устрашения, нужно отнестись особенно серьезно.

Should I firewall my server? Хороший вопрос. Казалось бы, что существует мало точки к удару брандмауэра сверху сетевого стека, который уже отклоняет попытки подключения всем кроме небольшого количества портов, которые законно открыты. Если существует уязвимость в ОС, которая позволяет злонамеренно обработанным пакетам разрушать/использовать хост, был бы, брандмауэр, работающий на том же самом хосте, предотвращает использование? Ну, возможно...

И это - вероятно, самая сильная причина выполнить брандмауэр на каждом хосте: брандмауэр мог бы препятствовать тому, чтобы уязвимость сетевого стека была использована. Это - достаточно сильная причина? Я не знаю, но я предполагаю, что можно было сказать, "Никто никогда не увольнялся за установку брандмауэра".

Другая причина выполнить брандмауэр на сервере состоит в том, чтобы отделить эти две иначе решительно коррелированых проблемы:

1. От того, где, и к какой порты, я принимаю соединения на?
2. Какие услуги работают и прислушиваются к соединениям?

Без брандмауэра набор сервисного выполнения (наряду с конфигурациями для tcpwrappers и такого) полностью определяет набор портов, которые сервер будет иметь открытым, и от кого будут приняты соединения. Межсетевой экран узлов дает администратору дополнительную гибкость, чтобы установить и протестировать новые сервисы управляемым способом прежде, чем сделать их более широко доступными. Если такая гибкость не требуется, то существует меньше причины установить брандмауэр на сервере.

На заключительной ноте существует один объект, не упомянутый в Вашем контрольном списке безопасности, который я всегда добавляю, и это - основанная на хосте система обнаружения проникновения (HIDS), такая как ПОМОЩНИК или samhain. Хороший HIDS делает чрезвычайно трудным для злоумышленника внести нежелательные изменения в систему и остаться необнаруженным. Я полагаю, что все серверы должны выполнять некоторый HIDS.

Большинство Ваших объяснений, кажется, опровергает потребность в брандмауэре, но я не вижу довод "против" к наличию того кроме небольшого количества времени для установки того.

Немногими вещами является "необходимость" в строгом значении слова. Безопасность больше об установке всех блокад, Вы можете. Больше работы должно было ворваться в Ваши средства сервера меньше шанса успешного нападения. Вы хотите сделать это большим количеством работы для вторжения в машины, чем где-то в другом месте. Добавление брандмауэра делает больше работы.

Я думаю, что ключевое использование является дублированием в безопасности. Другой плюс брандмауэров является Вами, может просто отбросить попытки соединиться с любым портом вместо того, чтобы ответить на отклоненные запросы - это сделает nmapping немного более неудобный для взломщика.

Самый важный для меня на практической ноте Вашего вопроса Вы, может заблокировать SSH, ICMP и другие внутренние сервисы вниз к локальным подсетям, а также входящим соединениям ограничения скорости, чтобы помочь облегчить DoS-атаки.

"Точка безопасности не должна защищать себя после успешного нападения - это, как уже доказывают, невозможно - это должно не пустить взломщиков во-первых".

Я не согласен. Ограничение убытков может быть столь же важным. (под этим идеалом, почему пароли хеша? или прикрепите свое программное обеспечение базы данных на другой сервер, чем Ваши веб-приложения?) Я думаю, что старая поговорка "Не придерживается, все Ваши яйца в одной корзине" применимы здесь.

(Можно хотеть считать "Жизнь без Брандмауэров"),

Теперь: Что относительно того, чтобы иметь унаследованную систему, для которой никакие патчи больше не публикуются? Что относительно того, чтобы не быть способным применять патчи к N-машинам в то время, когда необходимо сделать так, в то время как одновременно можно применить их в меньшем количестве узлов в сети (брандмауэры)?

Нет никакого смысла в дебатировании существования или потребности брандмауэра. То, что действительно имеет значение, - то, что необходимо реализовать политику безопасности. Чтобы сделать так, Вы будете использовать любые инструменты, реализует его и поможет Вам управлять, развернуть и развить его. Если брандмауэры необходимы, чтобы сделать так, это прекрасно. Если они не нужны, это прекрасно также. То, что действительно имеет значение, имеет работу и реализацию поддающуюся проверке Вашей политики безопасности.

Оболочки tcp можно было возможно назвать реализацией межсетевого экрана узлов; Вы фильтруете сетевой трафик.

Для точки на взломщике, устанавливающем исходящие связи на произвольном порте, брандмауэр обеспечил бы средство управления исходящим трафиком также; правильно настроенный брандмауэр управляет входом и выходом способом, который соответствует риску, связанному с системой.

На точке о том, как любая уязвимость TCP не смягчена брандмауэром, Вы nt знакомый с тем, как работают брандмауэры. Cisco имеет целый набор правил доступных для скачивания, которые определяют, что пакеты создали способом, который вызовет конкретные проблемы операционных систем. Если Вы захватите Фырканье и начнете выполнять его с правильным набором правила, то Вы будете также предупреждены на такого рода вещи. И конечно, Linux iptables может отфильтровать злонамеренные пакеты.

В основном брандмауэр является превентивной защитой. Дальше Вы убегаете от того, чтобы быть превентивным, наиболее вероятное, которое Вы найдете сами в ситуации, где Вы реагируете на проблему вместо того, чтобы предотвратить проблему. Концентрация Вашей защиты на границе, как с выделенным брандмауэром, делает вещи легче справиться, потому что у Вас есть центральное узкое горло вместо того, чтобы копировать правила везде.

Но никакой единственной вещью не является обязательно конечное решение. Хорошее решение по обеспечению безопасности обычно является многослойным, где у Вас есть брандмауэр на границе, оболочки tcp в устройстве и вероятно некоторые правила о внутренних маршрутизаторах также. Необходимо обычно защищать сеть от Интернета и защищать узлы друг от друга. Этот многослойный подход не похож на развертку дыры через несколько листов фанеры, это больше похоже на подъем пары дверей, таким образом, у злоумышленника есть две блокировки для повреждения вместо всего один; это называют прерыванием человека в физической безопасности, и почти каждое здание имеет один по причине.:)

Межсетевые экраны с проверкой пакетов с отслеживанием состояния НЕ размещаются перед общедоступными серверами. Вы принимаете все подключения, поэтому отслеживание состояния бесполезно. Традиционные брандмауэры являются серьезной помехой при DDoS-атаках и, как правило, в первую очередь выходят из строя при DDoS-атаках, даже до того, как полоса пропускания канала или ресурсы сервера полностью израсходованы.

Фильтры пакетов без сохранения состояния на маршрутизаторах имеют смысл перед общедоступными серверами, но только в том случае, если они могут обрабатывать линейную скорость всего входящего и исходящего трафика (например, аппаратный ACL в маршрутизаторе).

Google, Facebook и даже Microsoft не ставят традиционные «брандмауэры» перед общедоступными серверами. Это должен знать любой, кто запускал общедоступные веб-сервисы в масштабе «более одного сервера».

Другие функции традиционных межсетевых экранов, таких как Cisco ASA или других, лучше всего реализованы на самих хостах, где их можно эффективно масштабировать. В любом случае, ведение журнала, IDS и т. Д. - это все программные функции брандмауэров, поэтому они просто становятся огромным узким местом и целью DDoS, если размещаются перед общедоступными серверами.

Как уже упоминалось, в целом безопасность важна. Существуют причины, по которым существуют брандмауэры, и дело не только в том, что все остальные лемминги являются глупыми идиотами.

Этот ответ приходит, поскольку поиск «fail2ban» на этой странице не дал мне никаких результатов. Так что, если я удваиваю другой контент, терпите меня. И извините, если я немного разглагольствую, я поделюсь простым опытом, поскольку это может пригодиться другим. :)

Сетевые соображения, локальные и внешние

Это довольно специфично для Linux и сосредоточено на брандмауэре на основе хоста, который обычно используется.Внешний брандмауэр идет рука об руку с правильной сетевой структурой, и при этом обычно учитываются другие соображения безопасности. Либо вы знаете, что здесь подразумевается, тогда эта публикация вам, скорее всего, не понадобится. Или нет, тогда просто читайте дальше.

Запуск брандмауэров извне и локально может показаться нелогичным и двойной работой. Но это также дает возможность включить правила на внешнем, не ставя под угрозу безопасность всех остальных хостов, находящихся за ним. Необходимость может возникнуть либо по причинам отладки, либо потому, что кто-то просто облажался. Другой вариант использования будет описан в разделе «Адаптивный глобальный брандмауэр», для которого вам также понадобятся как глобальные, так и локальные брандмауэры.

Стоимость, доступность и все время одна и та же история:

Брандмауэр - это только один аспект надлежащей защищенной системы. Не устанавливать брандмауэр, поскольку он «стоит» денег, вводит SPOF или что-то еще, это просто чушь собачья, простите за мой французский. Просто настройте кластер. О, но что, если пожарная ячейка вышла из строя? Затем настройте кластер на два или более пожарных отсека.

Но что, если весь дата-центр недоступен, поскольку оба внешних оператора не работают (экскаватор отключил ваше волокно)? Тогда просто сделайте свой кластер, охватывающим несколько центров обработки данных.

Это дорого? Кластеры слишком сложные? Что ж, за паранойю нужно платить.

Простое нытье по поводу SPOF, но нежелание платить больше денег или создавать немного более сложные установки - явный случай двойных стандартов или просто небольшой кошелек на стороне компании или клиента.

Этот образец применим ко ВСЕМ этим обсуждениям, независимо от того, какая услуга сейчас актуальна. Неважно, шлюз ли это VPN, Cisco ASA, используемый только для межсетевого экрана, база данных MySQL или PostgreSQL, виртуальная система или серверное оборудование, серверная часть хранилища, коммутаторы / маршрутизаторы, ...

К настоящему времени вы должны понять .

Зачем возиться с брандмауэром?

Теоретически ваши рассуждения верны. (Можно использовать только запущенные службы.)

Но это только половина правды. Брандмауэр, особенно брандмауэр с отслеживанием состояния, может сделать для вас гораздо больше. Брандмауэры без сохранения состояния важны только в том случае, если у вас возникают проблемы с производительностью, подобные уже упомянутым.

Простое, централизованное, дискретное управление доступом

Вы упомянули TCP-оболочки, которые реализуют в основном те же функции для защиты вашего. В качестве аргумента предположим, что кто-то не знает tcpd и любит пользоваться мышью? fwbuilder может прийти на ум.

Вам следовало включить полный доступ из вашей сети управления, что является одним из первых вариантов использования вашего брандмауэра на основе хоста.

Как насчет мульти -сервера, где база данных работает где-то еще, и вы не можете поместить обе / все машины в общую (частную) подсеть по какой-либо причине? Используйте брандмауэр, чтобы разрешить доступ MySQL к порту 3306 только для одного заданного IP-адреса другого сервера, готово, просто.

И это также работает безупречно для UDP. Или каким-то другим протоколом. Брандмауэры могут быть чертовски гибкими. ;)

Устранение последствий сканирования портов

Кроме того, с помощью брандмауэра можно обнаруживать и смягчать общие сканирования портов, поскольку количество подключений за временной интервал можно отслеживать через ядро ​​и его сетевой стек, и межсетевой экран может действовать на это.

] Также недопустимые или непонятные пакеты могут быть обработаны до того, как они достигнут вашего приложения.

Ограничение исходящего трафика

Фильтрация исходящего трафика обычно является головной болью. Но это может быть обязательно, в зависимости от контракта.

Статистика

Еще одна вещь, которую может дать вам брандмауэр, - это статистика. (Подумайте смотреть -n1 -d iptables -vnxL INPUT с добавлением некоторых правил для специальных IP-адресов прямо вверху, чтобы увидеть, проходят ли пакеты.)

Вы можете видеть при дневном свете, что что-то работают или нет. Что ОЧЕНЬ полезно при поиске и устранении неисправностей в соединениях и при возможности сообщить другому человеку по телефону, что вы не получаете пакеты, без необходимости использования болтливого tcpdump . Сеть - это весело, большинство людей теперь просто знают, что делают, и зачастую это просто ошибки маршрутизации. Черт, даже я не всегда знаю, что делаю. Хотя я уже работал буквально с десятками сложных систем и устройств, часто с туннелированием, к настоящему времени.

IDS / IPS

Межсетевой экран Layer7 обычно является змеиным маслом (IPS / IDS), если его не использовать должным образом и не обновлять регулярно. К тому же лицензии чертовски дороги, поэтому я бы не стал их покупать, если у вас нет реальной необходимости получать все, что можно купить за деньги.

Masqerading

Легко, просто попробуйте это со своими обертками. : D

Переадресация локального порта

См. Маскировку.

Защита каналов доступа паролем с динамическими IP-адресами

Что делать, если у клиентов есть динамические IP-адреса и не развернута настройка VPN? Или другие динамические подходы к межсетевому экрану? На это уже намекают в вопросе,и вот пример использования для К сожалению, я не могу найти брандмауэры, которые это делают. часть.

Обязательно отключите доступ к учетной записи root с помощью пароля. Даже если доступ ограничен определенными IP-адресами.

Кроме того, наличие еще одной пустой учетной записи с паролем для входа в систему на случай потери ключей ssh ​​или сбоя развертывания очень удобно, если что-то действительно пойдет не так (пользователь имеет административный доступ к машине и «что-то случилось»?). Это та же идея для доступа к сети, поскольку он имеет однопользовательский режим в Linux или использование init = / bin / bash через grub для локального доступа очень плохо и не может использовать живой диск по какой-то причине. Не смейтесь, существуют продукты виртуализации, запрещающие это. Даже если такая функциональность существует, что, если устаревшая версия программного обеспечения работает без этой функциональности?

В любом случае, даже если вы запустите свой демон ssh на каком-то эзотерическом порту, а не на 22, если вы не реализовали такие вещи, как отключение порта (чтобы открыть даже другой порт и, таким образом, смягчение сканирования портов, которое постепенно становится слишком непрактичным), сканирование портов в конечном итоге обнаружит вашу службу.

Обычно вы также настраиваете все серверы с одинаковой конфигурацией, с одинаковыми портами и службами из соображений эффективности. Вы не можете настроить ssh на другой порт на каждой машине. Кроме того, вы не можете изменять ее на всех машинах каждый раз, когда считаете, что это «общедоступная» информация, потому что она уже есть после сканирования. Вопрос о том, является ли nmap законным или нет, не является проблемой, если в вашем распоряжении взломанное соединение Wi-Fi.

Если эта учетная запись не называется «root», люди не смогут угадать имя учетной записи вашего «бэкдора». Но они будут знать, получат ли они еще один сервер от вашей компании или просто купят какое-то веб-пространство, и получат незарегистрированный / неконтролируемый / неконтролируемый взгляд на / etc / passwd .

Теперь в качестве чисто теоретической иллюстрации они могут использовать взломанный веб-сайт, чтобы получить доступ к вашему серверу и посмотреть, как вещи обычно работают у вас. Ваши инструменты поиска взлома могут не работать круглосуточно (обычно они работают ночью из-за производительности диска при сканировании файловой системы?), А ваши антивирусные сканеры не обновляются, когда появляется новый нулевой день в день, поэтому он не обнаружит эти события сразу, и без других мер защиты вы даже можете никогда не узнать, что произошло. Вернемся к реальности: если у кого-то есть доступ к эксплойтам нулевого дня, очень вероятно, что он все равно не будет нацеливаться на ваши серверы, поскольку они просто дороги. Это просто для иллюстрации того, что всегда есть путь в систему, если возникнет «необходимость».

Но снова по теме, просто не используйте дополнительную учетную запись с паролем и не беспокойтесь? Продолжайте читать.

Даже если злоумышленники узнают имя и порт этой дополнительной учетной записи, комбинация fail2ban + iptables остановит их, даже если вы использовали только восемь -буквенный пароль. Кроме того, fail2ban может быть реализован и для других сервисов, расширяя горизонт мониторинга!

Для ваших собственных сервисов, если когда-либо возникнет необходимость: в принципе, каждая ошибка регистрации сервиса в файле может получить поддержку fail2ban посредством предоставления файла, какое регулярное выражение будет совпадение и количество допустимых сбоев, и брандмауэр с радостью забанит каждый IP-адрес, на который ему велено.

Я не говорю использовать 8-значные пароли! Но если их забанят на 24 часа за пять попыток неправильного пароля, вы можете догадаться, сколько времени им придется пытаться, если в их распоряжении нет ботнета даже при такой ужасной безопасности. И вы будете удивлены, какие пароли обычно используют клиенты, а не только для ssh . Взглянув на пароли электронной почты людей через Plesk , вы узнаете все, что вам не хотелось бы знать, если бы вы когда-либо делали это, но то, что я, конечно, не пытаюсь здесь подразумевать. :)

Адаптивный глобальный брандмауэр

fail2ban - это всего лишь одно приложение, которое использует что-то вроде iptables -I 1 -s -j DROP , но вы может легко создать такие вещи самостоятельно с помощью магии Bash и довольно быстро.

Чтобы еще больше расширить что-то вроде этого, объедините все IP-адреса fail2ban с серверов в вашей сети на дополнительный сервер, который курирует все списки и передает их, в свою очередь, вашему основные брандмауэры, блокирующие весь трафик, уже находящийся на границе вашей сети.

Такую функциональность нельзя продать (конечно, можно, но это будет просто хрупкая и отстойная система), но ее необходимо встроить в вашу инфраструктуру.

При этом вы также можете использовать черный список IP-адресов или списки из других источников, будь они агрегированы вами или внешними.