¿Es suficiente una ACL para el firewall empresarial?

No, no y no.

Las ACL bloquean el tráfico de direcciones IP, subredes o puertos / servicios específicos (dependiendo de si está usando estándar o extendido), pero no realizan funciones de firewall reales como se indicó anteriormente. La seguridad es mejor en capas, y las ACL están destinadas a ser one capa en un plan de seguridad mucho más grande . No hay detección de intrusiones o protección contra intrusiones, y no existe una mitigación de amenazas graves con ellos. Además, EOL durante más de 3 años es muy peligroso, ya que se desarrollan diariamente nuevos exploits y Cisco ha tenido muchos CVE. últimamente ...

Además de las ACL, necesita al menos un dispositivo de seguridad. Para una empresa de su tamaño, Sonicwall sería un gran ajuste. Barracuda también es una opción, aunque no brindan servicios idénticos.

Fui administrador en una empresa de tamaño similar hace muchos años, y cuando comencé no teníamos nada más que Clam AV. Le ahorraré los detalles, pero fuimos atacados de manera rutinaria con poca protección y tuvimos dificultades para responder a las amenazas. Tomó un incidente de malware muy costoso para finalmente convencer al propietario de que pague dinero por un Sonicwall. El nuestro no costó el promedio de la industria de $ 7.91 millones al que se hace referencia anteriormente, pero es seguro que (inserte la palabra profana preferida aquí) era más caro que comprar varios electrodomésticos.

TL;DR

Es absolutamente necesario que haya más dispositivos y mecanismos de seguridad que solo una ACL, esto no es suficiente, la seguridad se hace mejor en un enfoque por capas. Una ACL en un enrutador es simplemente una capa que debería tener muchas, muchas más.

Según lo que ha dicho, su seguridad es bastante deficiente y no hay excusa para el tipo de datos que maneja.

Las listas de control de acceso donde se crearon originalmente para ser una función de seguridad, brindan un buen nivel básico de seguridad, sin embargo, no están ni cerca del nivel de lo que un firewall puede hacer por usted. Las ACL tienden a usarse bien para segregar en las capas 2 y amp; 3 (Sí, puede poner ACL en los conmutadores en cosas como las líneas VTY, etc.).

ACL estándar

Las ACL estándar proporcionan una función muy limitada, solo pueden permitir o denegar el tráfico en función de la dirección de origen; esto puede ser útil, sin embargo, como dije muy limitado y no tienden a usarse tanto como una ACL extendida.

ACL extendidas

Las ACL extendidas proporcionan algunas funciones adicionales en comparación con una ACL estándar, aún no es un firewall, sin embargo las ACL extendidas pueden permitir o denegar el tráfico según la dirección de origen, la dirección de destino y los números de puerto.

Otra cosa que puede hacer en la capa 2 es la seguridad del puerto, la seguridad del puerto en sus conmutadores siempre es una buena idea si su cabina es algo accesible y usted sabe que los dispositivos que van en ciertos puertos del conmutador permanecerán allí. no hay ninguna razón para que alguien necesite desconectarlo y enchufar otro dispositivo. Sin ir demasiado complejo, la seguridad del puerto permite cosas como el filtrado de direcciones MAC, por lo que solo una dirección MAC específica puede comunicarse en ese puerto y si se viola la regla se lleva a cabo una acción, como que la interfaz se deshabilita por error para que no pueda pasar más tráfico.

Firewalls

Ahora puede que se esté preguntando cuáles son los beneficios de un firewall y una de las mejores cosas de ellos (especialmente los firewalls de gama alta) es cuán granular puede ser con las reglas. Algunas características para pensar, reglas de acceso granulares, inspección profunda de paquetes y amp; filtrado, etc. La mayoría de los firewalls harán el mismo tipo de cosas, sin embargo, los de muy alta calidad tendrán más funciones, solo dependerá de lo que vaya con ellos, recientemente he visto muchas más implementaciones con firewalls virtuales en redes de clientes que Es interesante de gestionar.

IPS & IDS

Es común ver un IPS / IDS integrado en un servidor de seguridad hoy en día, especialmente en los cortafuegos de próxima generación, sin embargo, hablaré de estos por separado.

Un IPS es como un servidor de seguridad en el sentido de que hace el control de acceso, pero lo hace al revés a un servidor de seguridad. Un firewall permite el acceso a través de declaraciones de permiso y tiene un rechazo implícito si no coincide, mientras que un IPS tendrá reglas de rechazo si un paquete no impacta ninguna de esas reglas de rechazo que permitirá.

Un IDS es ligeramente diferente de un IPS, ya que analiza la seguridad de una red, IDS puede ser increíblemente poderoso para ayudar a los ingenieros a descubrir de dónde provienen los problemas. A continuación se muestra una lista de las cosas que normalmente hará un IDS.

• Infracciones de la política de seguridad
• Exploración de infecciones
• Fuga de información
• errores de configuración
• Clientes no autorizados

Summary

La capacidad de acceder a esta información con el clic de unos pocos botones es increíblemente poderosa y es algo que absolutamente no obtendrá de una lista de acceso. Como se mencionó, la seguridad se realiza mejor en un enfoque por capas: las listas de acceso son muy buenas para la segregación, pero si desea tener una visión real de lo que está sucediendo, en su red y dónde están los problemas, necesita más que solo listas de acceso e incluso más que un cortafuegos.

Algunos firewalls vienen con un IPS / IDS incorporado, lo cual es genial porque resuelve la necesidad de tener tres dispositivos físicos (si no estás usando cualquier virtualización), lo cual no era una opción.

Cuando maneje datos como los datos que está manejando, debe proteger la red en todos los puntos, no en un punto. Idealmente, desea aprovechar las listas de acceso, seguridad de puertos, firewalls, IPS, IDS y más.