¿Es realmente necesario habilitar firewalls locales en las máquinas si ejecuta firewalls basados en hardware como pfsense o netgear fvs338 y lo usa para controlar las conexiones enlazadas de entrada / salida?
Personalmente, no veo cómo un firewall agrega localmente ningún tipo de protección (suponiendo que no ocurran infecciones) aparte de otra capa de ACL.
Los firewalls basados en host no son necesarios si tiene un firewall de red dedicado.
Sin embargo, defensa en profundidad siempre es una buena práctica. Los firewalls basados en host le permiten un control más preciso de una máquina a otra y también le permiten filtrar el tráfico que proviene de las redes internas. Esto puede ser un gran activo para evitar que una sola máquina comprometida en su red ponga en peligro al resto de su red.
En un sistema operativo bien diseñado con un mantenimiento adecuado, no hay ningún proceso que ejecute y ofrezca servicios e implique varias actividades, excepto aquellas que son estrictamente necesarias para lo que el administrador del sistema y el usuario desean que haga la máquina.
Desafortunadamente, el sistema operativo de escritorio ha crecido mucho más allá del punto en el que una simplicidad tan eficiente podría lograrse de manera realista. Tiene que lidiar con el sistema operativo que incluye una gran cantidad de elementos y actividades no documentados, algunos de los cuales implican actividad de la red, en particular escuchando las solicitudes entrantes en algún puerto y, por lo tanto, ofreciendo un servicio a personas externas. Es una buena idea hacer un inventario de lo que se está ejecutando en su máquina e intentar rastrear dichos elementos no deseados (consulte la lista de procesos, también vea los puertos abiertos con netstat -a , etc.).
Sin embargo, también es una buena idea aplicar una política estricta de entrada / salida para todo lo relacionado con la red, en caso de que no haya realizado una limpieza completa. Un firewall es algo que impone esta política de entrada / salida. El servidor de seguridad de su hardware externo interceptará toda la actividad que la atraviesa , pero es posible que no vea la actividad relacionada con la red local (y los sistemas Windows lo hacen mucho, con todos los NetBIOS cosas). Un servidor de seguridad local , al ser local, puede ver cada byte que ingresa al salir de la máquina, por lo que es más exhaustivo para detectar actividad no deseada.
Por otro lado, un firewall externo será más eficiente para bloquear ataques dirigidos directamente a la implementación de protocolos de red de bajo nivel; el servidor de seguridad local actúa solo después de que se haya recibido el paquete IP y ya se haya procesado algo en el kernel del sistema operativo, por lo que es demasiado tarde para el tipo de ataque que explota los desbordamientos de búfer en el kernel. En ese sentido, el firewall externo y el firewall local se complementan entre sí . Ambos pueden hacer cosas que el otro no puede, aunque haya una superposición parcial en sus respectivas funcionalidades.
Los firewalls basados en host son los únicos firewalls que tienen acceso a qué proceso intenta acceder a la red. Depende de qué tan restrictivo pueda ser con el firewall de hardware, pero a menos que sea realmente restrictivo, el malware dentro de la red podría pretender ser un servicio legítimo o incluso utilizar un protocolo de servicio legítimo para comunicarse. En estos casos, un servidor de seguridad basado en host tendrá muchas más posibilidades de detener la amenaza.
No servirá de nada si el malware usa el proceso real para un servicio que está autorizado, pero si el malware comienza a intentar enviar su propio correo electrónico o mensajes de Skype o algo así, un firewall basado en el host lo evitará. a menos que el proceso esté autorizado.
Por lo tanto, si bien un buen firewall de hardware puede reducir el beneficio de los firewalls basados en host, no lo elimina por completo.