Servidores: por qué un dispositivo separado para un firewall, además de la reducción en la falsificación de IP o el aumento en el rendimiento

4

¿Por qué el firewall debe estar fuera del servidor, exceptuando estos dos elementos?

  • Elimine el impacto del ruido en el rendimiento del servidor.
  • Agregue una capa física entre dispositivos para que puedan estar en subredes separadas, luego use ACL para evitar la falsificación de IP. De esta manera, la dirección IP puede usarse de manera confiable para verificar de qué red interna provienen los paquetes. (los datos de una red interna se descartarían si la dirección IP no coincidiera, los datos de la red se bloquearían si la dirección IP coincidiera con una de las redes internas). Esto probablemente podría lograrse utilizando los puertos Ethernet alternativos en la red. servidores, pero el dispositivo separado parece más fácil de administrar.

    En realidad, tiendo a pensar que las verificaciones de IP de origen podrían reemplazarse con claves privadas y protocolos de encriptación, pero entiendo que esto puede ser poco práctico.

Aparte de eso, me parece que el firewall del software debería manejar todo, incluido el bloqueo de protocolos, la supresión de "conexión rechazada", etc.

Eso deja a estos

  • La falta de un buen software de solución de firewall (por ejemplo, mi PC con Windows probablemente nunca debería conectarse directamente a Internet.
  • Agregar una segunda capa, en caso de que el firewall del software esté mal configurado.
  • "compensar" las deficiencias en el software a bordo, por ejemplo, un firewall podría actualizarse automáticamente con las últimas reglas de inspección, pero si el software es seguro para comenzar, este debería no ser un problema.

Por favor, ilumíneme si me falta algo sobre el propósito correcto de un dispositivo separado. Encuentro que creo que los primeros dos artículos son el único propósito legítimo. El resto solo está compensando las deficiencias del servidor.

    
pregunta George Bailey 21.09.2011 - 21:44
fuente

3 respuestas

1

El objetivo de un dispositivo separado es reducir la probabilidad de explotación. Cualquier servicio que ejecute en un dispositivo puede tener una vulnerabilidad que un atacante podría explotar.

El trabajo de un firewall es, literalmente, tomar decisiones de control de acceso al tráfico en función de un conjunto de reglas. Si también ejecutaba un servidor ftp, por ejemplo, un atacante podría intentar explotar la escalada del servidor ftp para controlar el firewall y luego modificar las reglas de control de acceso para permitir cualquier entrada o salida.

Mientras que usar netstat puede ayudar, y para realmente bloquear un entorno en el que podría ejecutar controles de acceso en cada dispositivo, en la práctica es más fácil colocar controles en aquellos dispositivos que pasan el tráfico dentro y fuera de la red.

La mayoría de las empresas actualmente tienen controles limitados en cada punto final: antivirus, bloqueo de ciertos sitios web, cortafuegos para evitar la división de túneles, etc., pero no en la misma medida.

    
respondido por el Rory Alsop 22.09.2011 - 09:57
fuente
5

Una razón para un dispositivo separado es para que pueda eliminar todo que no sea estrictamente necesario para el funcionamiento seguro del firewall. Esto reduce la cantidad de posibles ataques en el dispositivo, lo que aumenta la seguridad.

    
respondido por el user400 21.09.2011 - 23:18
fuente
3

Hay muchos buenos cortafuegos de software que se ejecutan como dispositivos separados. El problema es "dispositivo separado" más que cualquier otra cosa.

El punto de un dispositivo separado es que es un punto de control único para toda la red.

Por ejemplo, digamos que alguien conecta una computadora portátil a la red. Si no hay un dispositivo de firewall, está abierto tanto a Internet como a Internet local, y un pirata informático puede explotarlo para saltar a su red.

Técnicamente, realmente no necesita un firewall en un servidor: simplemente ejecute netstat , y desactive todos los puertos que se supone que no deben estar abiertos y escuchando. La razón por la que tiene un dispositivo de firewall separado que proporciona control central es que a menudo comete errores al hacerlo, más que en el firewall.

Como es de esperar, para las grandes corporaciones, los conjuntos de reglas de firewalls se vuelven tan grandes y propensos a errores que se convierten en un único punto de falla en lugar de un solo punto de control.

    
respondido por el Robert David Graham 22.09.2011 - 01:35
fuente

Lea otras preguntas en las etiquetas