¿Puede un enrutador proteger nuestra red o necesitamos un firewall de hardware?

Navega tus respuestas
1

Estoy en una pequeña empresa (12 PC en la red interna). Usamos esta arquitectura de red ahora: 

Internet(Modem) --> Router --> Firewall --> Switch -- > Internal Network (clients PCs)
                |                       |
                |- Wifi Router          |- DHCP & AD Server
                |- HTTP file server

El servidor principal y las PC de los clientes son (relativamente) nuevas (para otros componentes), se compraron en 2005. Pero los otros dispositivos son antiguos y espeluznantes, muchos de ellos tienen más de 15 años. Se convirtieron en los cuellos de botella de la red.

Aquí describo todos los componentes en una sesión corta:

  • El Enrutador es un antiguo ASUS (Rx3041)
  • Firewall es un MS Server 2003 R2 con ISA 2006 instalado (ahora anteriormente Forefront Threat Management Gateway) Definitivamente este es el cuello de botella principal de nuestra red, necesitamos reiniciar este servidor más de uno por semana, porque comenzar aleatoriamente a soltar las conexiones permitidas.
  • DHC & AD Server es un MS SVR 2008 R2 y también funciona como un servidor de archivos interno y un servidor HTTP interno (ejecutamos un rastreador de problemas de Redmine en él. Pero no en IIS).
  • Wifi Router es simplemente un punto de acceso a Internet fuera de nuestro firewall para nuestros dispositivos inalámbricos, como teléfonos y tabletas (pero no computadoras portátiles o computadoras, que utilizamos para trabajar).
  • El servidor de archivos HTTP es una computadora portátil vieja, que también está fuera del firewall (sin embargo, tenemos una regla para que pueda acceder a ella desde la red interna, por lo que la usamos como unidad de red para publicar algunas cosas).

Mientras nuestros programadores trabajan fuera de la oficina, no tenemos información confidencial en la mayoría de las PC cliente, excepto en una. Nuestro servidor almacena información sensible también. (código fuente, información de nuestros clientes, etc.)

Queremos refrescar un poco nuestra red. Planeamos usar solo un enrutador en lugar de 2 enrutadores y un firewall. Se parece a esto: 

Internet(Modem) --> Router with wifi --> Switch -- > Internal Network (clients PCs)
                           |                      
                           |- HTTP file server (DMZ maybe?)

Queremos utilizar el enrutador Asus RT-AC66U.

Leí esta gran respuesta de Bill Frank, pero esa pregunta tiene tres años y las cosas cambian rápidamente. Tal vez los enrutadores evolucionaron lo suficiente como para poder asegurar una red. Entonces mi pregunta: ¿es esta una opción viable? ¿Podría un enrutador protegernos? ¿O debemos usar (aún) un firewall de hardware para proteger nuestra red? (Deberíamos, pero debemos?)

Elegimos esta opción debido a la cuestión del dinero. Si pudiera configurar un nuevo enrutador y colocar toda la red detrás de un firewall (en una nueva máquina) pero la administración dice que no hay dinero fácil para eso. ¿Debo luchar por un nuevo servidor de firewall? ¿O el enrutador será suficiente?

    
pregunta NoNameProvided 10.04.2014 - 10:05
fuente

2 respuestas

2

Muchos enrutadores, incluso en el segmento del consumidor, tienen capacidades básicas de filtrado de red basadas en el protocolo, el puerto y la IP, lo que significa que también pueden usarse como un cortafuegos básico. Los dispositivos de firewall dedicados a menudo ofrecen funciones adicionales, como la inspección profunda de paquetes para detectar ciertas amenazas conocidas en el nivel de protocolo o la detección automática de ataques basada en heurísticas (pueden advertirle cuando alguien parece estar investigando su red en busca de vulnerabilidades). Si necesita esto o no, depende de qué tan segura debe estar su red y cuánto vale esta seguridad para usted.

El manual de ese enrutador muestra algunas capturas de pantalla de la interfaz web donde hay un botón "Firewall" visible, aunque le falte documentación escrita sobre esa característica. Pero tengo un enrutador Asus aún más barato, y puede hacer filtrado basado en puertos e IP, así que supongo que este también puede hacerlo ( póngase en contacto con el soporte de ASUS cuando necesite conocer los detalles).

Pero tenga en cuenta que los enrutadores de grado de consumo rara vez se endurecen lo suficiente. Las noticias sobre vulnerabilidades críticas en home-routers son numerosos. Existe una dura guerra de precios en ese mercado, y el soporte en forma de parches de seguridad rápidos para los productos existentes parece ser uno de los primeros factores de costo a reducir.

Cuando utiliza un enrutador de nivel de consumidor, debe tener en cuenta que un pirata informático cualificado que le ataque específicamente encontrará una vulnerabilidad y la usará para ponerla en peligro. Hacer un análisis de riesgo de este escenario depende de usted. Debe estimar la probabilidad de que un pirata informático experto se interese en sus datos y el daño que causaría cuando estos sean robados.

    
respondido por el Philipp 10.04.2014 - 10:38
fuente
2

Pensamientos en torno a esto: Hay numerosos factores que importan en tal ambiente. ¿Cuánto está dispuesto a gastar en cortafuegos 'apropiados' y / o seguridad de TI en general? Algunos hardware para un firewall de código abierto no se comparan tanto con lo que puede ser costoso si se expone cierta información.

Los firewalls en general no necesitan ser costosos; Echa un vistazo a pfSense . Es totalmente de código abierto y gratuito, requiere poco o nada de hardware, tiene muchos paquetes, etc.

Sin embargo, si elige ir con un enrutador, está OpenWRT y DD-WRT a su servicio, totalmente gratis y entregue lo que quiera.

    
respondido por el Neophyte 10.04.2014 - 10:46
fuente

Lea otras preguntas en las etiquetas

BeeF - ¿Cómo funciona? [duplicar] certificado de hoja no reconocido