Un amigo mío instaló un nuevo software de firewall en su compañía. A veces trabaja desde casa y también tiene que mantener el firewall.
El software de administración de firewall es un sitio web. Mi amigo hizo accesible el software de administración enlace .
¿Es esta una buena idea o una mala idea?
Si dependiera de mí, haría que el software de administración solo fuera accesible desde la red de la empresa y usara un túnel VPN para acceder a la red desde casa.
En teoría, si no hay problemas con los mecanismos de autenticación del sitio web y se implementa de forma segura (mediante una conexión SSL, no hay fallas en la implementación que puedan explotarse, etc.), entonces no importa. Dicho esto, eso es un GRAN si.
Sería más seguro alejarse de la compañía a través de una puerta de enlace ya existente, pero si no existe una puerta de enlace existente, y dependiendo de lo que el firewall sea responsable (si la omitiera no resultaría en la exposición del La red interna desde el exterior, pero solo permite cosas de adentro hacia afuera, podría ser más seguro administrar el firewall de esta manera que abrir una puerta de enlace a toda la red (ya que una VPN podría tener una vulnerabilidad similar). / p>
Si el firewall está desactivado permitiría la entrada de atacantes externos, entonces no es más seguro que la VPN que se agrega, ya que un compromiso daría acceso a la red interna. Una VPN probablemente tenga un área de superficie de ataque más pequeña, por lo que probablemente sea más segura en ese caso.
De cualquier manera, es mejor asegurarse de poner mucha seguridad en las credenciales para el acceso remoto y hacer que se bloqueen rápidamente si se intenta un ataque de fuerza bruta. Probablemente incluso valdría la pena usar una autenticación basada en certificados, ya que son las claves del reino. Personalmente no querría poner esa funcionalidad en Internet, incluso detrás de un portal seguro, a menos que sea absolutamente necesario.
AJ Henderson hace absolutamente grandes puntos. Tengo una cosa que añadir.
La mayoría del personal con el que he tratado que quiere una solución pública de administración de firewall ha tenido miedo de hacer algo para desconectarse de su consola de administración.
Como solución alternativa, he sugerido encarecidamente elegir un dispositivo secundario de cortafuegos / VPN (la serie Cisco ASA 55xx), que proporcionaría acceso independiente al interior de la red. Más de uno de mis clientes se ha enamorado de esta idea, algunos incluso han elegido una línea secundaria de Internet para acceso independiente. :)
En mi humilde opinión, es una extremadamente mala idea exponer la administración de su firewall a Internet a través de una interfaz web.
Estoy bastante convencido de que cualquiera incluso consideraría exponer su administración de firewall a Internet. De nuevo, mi humilde opinión.
Lea otras preguntas en las etiquetas web-application firewalls