El tema es "¿Es más seguro usar firewalls de dos proveedores diferentes?" No es mucho más seguro usar un firewall de múltiples proveedores porque " Más del 95% de las violaciones del firewall son causadas por configuraciones erróneas del firewall, no por fallas del firewall. "
Ahora, quiero usar diferentes proveedores porque si hay un Vulnerabilidad con un servidor de seguridad, tal vez un servidor de seguridad de otro. El proveedor no tiene esta vulnerabilidad. Lo es, ¿no?
El uso de varios cortafuegos seguidos aumenta la complejidad, tanto para el defensor como para el atacante. Esta configuración correctamente configurada puede aumentar significativamente la seguridad, ya que existe una gran posibilidad de que diferentes proveedores tengan diferentes puntos fuertes y débiles.
Si solo observa los cortafuegos de filtro de paquetes simples (es decir, la inspección de la capa 3 y la capa 4, no la inspección de la capa de aplicación), entonces no hay mucha diferencia en cómo funcionan estos cortafuegos. Pero los firewalls más complejos que son capaces de inspeccionar la capa de aplicación (usando inspección profunda de paquetes o proxies de aplicación) difieren mucho en la forma en que inspeccionan la capa de aplicación, ya que los protocolos y las cargas útiles involucradas son mucho más complejos que las capas 3 y 4. Por lo tanto, prácticamente todos estos firewalls tienen algunas debilidades en la inspección de la capa de aplicación, pero los dispositivos de diferentes proveedores generalmente no tienen exactamente las mismas debilidades. Esto significa que al combinar estos, se obtienen menos puntos débiles, por supuesto, a costa de más costos y más complejidad en la administración.
En cuanto a la afirmación sobre la mala configuración: no sé de dónde proviene esta afirmación (algunos mencionan a Gartner, algunos con el 95% en 2018 y otros con un 99% proyectado en 2020) y no sé qué tipo de configuración errónea se entiende por esta afirmación. Si se trata de una configuración errónea por diseño (es decir, políticas demasiado amplias, filtrado deshabilitado debido a que es una molestia), es probable que múltiples firewalls no ayuden mucho a mitigar el problema de configuración incorrecta. Pero si se trata de una mala configuración por accidente (tal vez debido a formas no intuitivas de configurar el cortafuegos), varios cortafuegos podrían reducir la posibilidad de una mala configuración, ya que el administrador probablemente no repetirá todos los errores en todos los cortafuegos. la configuración debe hacerse difiere.
Es una pregunta interesante, y en realidad, he visto configuraciones como esta en mi trabajo, por ejemplo, he visto a una compañía usar un ASA de Cisco y luego, detrás de él, un firewall de Checkpoint, y para ser honesto, puedo Ver el método a la locura.
Sin embargo, teniendo en cuenta que una gran cantidad de firewalls en realidad son causados por una mala configuración como se indica en su publicación, de manera realista, no veo que tenga un impacto masivo .
Cuando se encuentran vulnerabilidades en los firewalls (y otros productos) la mayoría de las veces, los equipos de respuesta de seguridad del producto los rectifican muy rápidamente, y generalmente todo lo que se requiere es poner una nueva versión de firmware en el dispositivo. Cuanto más rápido realices esta mejora, mejor. En general, no veo que esto haga una gran diferencia, si su firewall se mantiene de manera proactiva y las amenazas de seguridad se responden rápidamente, no estoy seguro de que gastar dinero extra y recursos en el mantenimiento de dos firewalls diferentes sea todo lo que vale la pena. p>
Al final, se trata de su modelo de amenaza y su presupuesto. Yo diría que si está protegiendo algo realmente valioso, dos firewalls diferentes de diferentes proveedores son potencialmente beneficiosos. Al final, es muy difícil responder a esto. cuestione cómo lo hace, en realidad, baje a su modelo de amenaza.
Para los productos de seguridad que dependen de las "suscripciones" (definiciones de antivirus, filtros de suplantación de identidad, etc.), existe un fuerte argumento para una defensa en capas con cada capa proveniente de un proveedor diferente.
Por ejemplo: es posible que tenga un filtro de malware instalado en su servidor de correo, y probablemente también tenga un endpoint anti malware instalado en sus estaciones de trabajo. Si un atacante le envía algún malware nuevo de día cero, y ambos productos provienen del mismo proveedor, existe una alta probabilidad de que el malware se deslice a través de AMBAS capas de protección. Sin embargo, si utiliza dos proveedores diferentes, existe la posibilidad de que un proveedor detecte algo que el otro no detectó.
Este argumento se puede aplicar a los cortafuegos con UTM, donde han incorporado malware y bloqueo de sitios maliciosos. La protección contra malware de su firewall debe provenir de un proveedor diferente al de la protección de punto final.
Lea otras preguntas en las etiquetas firewalls vulnerability