¿vale la pena implementar un firewall en un servidor web que usted controla?

4

Veo que las razones principales para que un firewall en un servidor web sea defense in depth y una protección adicional para un posible error de administración al ejecutar un demonio innecesario. Estoy tratando de ver si estoy pasando por alto algo. Estoy pensando que en una situación en la que tienes una pequeña infraestructura (unos pocos servidores) que controlas no es posible implementar un firewall.

    
pregunta m33lky 23.12.2011 - 09:04
fuente

3 respuestas

11

Como ha implicado, la seguridad se trata de capas. Los sistemas son atacados y se rompen de muchas maneras. Al combinar nuestras soluciones de seguridad, evitamos que nuestros sistemas estén sujetos a un solo punto de falla de seguridad. A veces las personas ponen los dispositivos de firewall fuera de la caja y otras veces también los ponen en la caja. Algunas veces hacen ambas cosas solo por la razón que usted establece: para protegerse contra los errores de configuración, una condición humana muy real, bien definida y explotable.

Sin embargo, al leer su pregunta, casi parece que no tiene la infraestructura para admitir un firewall fuera de la caja. Por lo tanto, si se trata de NO tener un firewall y tener un firewall, aunque en su servidor web, coloque el firewall en su servidor. El firewall evita más que solo conexiones a otros servicios. Puede evitar ciertos tipos de ataques de inundación, puede evitar que paquetes extraños y malintencionados ingresen al sistema, puede proteger contra las debilidades del sistema operativo, puede proteger contra la asignación de su red y puede proteger contra la información que se está filtrando desde su sistema. p>     

respondido por el logicalscope 23.12.2011 - 10:48
fuente
3

Además de la excelente respuesta de logicalscope, vale la pena tener en cuenta que en la mayoría , un firewall implementado en el sistema operativo introduce una latencia significativamente menor que la de un dispositivo separado. OTOH, los firewalls de SO varían en la cantidad de sistema que exponen antes de aplicar el filtrado.

  

en una situación en la que tienes una pequeña infraestructura (unos pocos servidores) que controlas, no es posible implementar un firewall.

Esa no es una buena razón para que no tenga un firewall separado. Incluso los enrutadores más básicos disponibles en la actualidad proporcionan alguna funcionalidad de firewall. Y dado que va a necesitar algún tipo de enrutamiento (es decir, tiene una sobrecarga de latencia de todos modos) es bastante imprudente no para aplicar el filtrado de ingreso y egreso.

    
respondido por el symcbean 23.12.2011 - 11:19
fuente
0

No es solo el riesgo de un problema de administración, tener un firewall en un dispositivo separado reduce el riesgo de ataque:

  • Un dispositivo que solo se ejecuta como un firewall tiene una superficie de ataque mucho más pequeña que un servidor web, que tendrá una gran cantidad de servicios en ejecución.
  • Un dispositivo de firewall tendrá, en la mayoría de los casos, una latencia considerablemente menor que la implementada en un servidor que también ejecuta otras cosas

Sin embargo, los ataques principales que se van a ver no apuntarán al firewall de todos modos, sino que se dirigirán al servidor web, por lo que un firewall normal simplemente permitirá que el tráfico en el puerto 80 o 443 atraviese, así que Un entorno con restricciones de costos. Si puede al menos agregar un filtro o una lista de control de acceso en su enrutador y luego tener un firewall ejecutándose en su servidor, al menos estará reduciendo sus riesgos de manera rentable.

    
respondido por el Rory Alsop 29.12.2011 - 10:23
fuente

Lea otras preguntas en las etiquetas