Si puedo ejecutar un sitio a sitio VPN, NAT & ACL reflexivas en un enrutador de borde (más las funciones de enrutamiento normales), ¿cuál sería el uso de ejecutar un firewall de valores detrás de él?
Por ejemplo, Core Switch - > Cortafuegos - > Enrutador de borde - > Conexiones ISP
Preguntado de otra manera, ¿por qué desearía ejecutar VPNs & ACL reflexivas en el firewall, y funciones de enrutamiento NAT + en el enrutador, si el enrutador puede hacerlo todo?
Lo que no menciona, y lo que generalmente es importante para este tipo de preguntas, es específicamente qué tipo de hardware tiene, cuáles son sus requisitos (rendimiento, conexiones concurrentes, carga de criptografía, etc.). ¿Cómo se ve una instantánea de su tráfico, de dónde viene y qué, idealmente, debería entrar y salir?
(Y también debe preocuparse por los peores escenarios de casos, dependiendo de a quién apoye: el mundo, clientes externos con SLA, clientes internos, dos personas en una oficina, es posible que tenga que preocuparse por en el peor de los casos, solo un poco, o potencialmente podría estar en el centro de su diseño).
Con eso faltante, aquí hay algunas razones generales por las que evitaría las soluciones todo en uno:
la mayoría de los dispositivos de rol (enrutadores, o conmutadores, o firewalls), especialmente una vez que se sale de la materia básica de productos básicos, están optimizados para sus roles principales.
Esto significa que hardware está optimizado: la criptografía para IPSec u otra VPN se descarga a los ASIC, los backplanes de conmutadores se convierten en autopistas (o no), los chips especializados manejan los flujos de la capa 2, etc. Los switches de Cisco han usado ASICS desde siempre. Juniper y Cisco han estado haciendo enrutamiento durante mucho tiempo y saben cómo descargar el hardware de manera adecuada.
... y software están optimizados. Los componentes pueden funcionar, pero si son adiciones, no integradas desde el principio, verás el resultado en flexibilidad, resistencia y estabilidad. En muchos casos, las empresas han adquirido porque tienen dispositivos que apuntalan una debilidad y hacen una o dos cosas muy bien: con el tiempo se han agregado (y agregado y agregado), generalmente solo en software, para que usted, el cliente puede comprar un buen producto "bien redondeado". Puede ver las consecuencias de esto en todo, desde interfaces de usuario básicas hasta la rigidez de las herramientas de informes para algunos componentes en comparación con otros. Si tiene una ACL reflexiva y VPN e IPSec y la captura de paquetes y la inspección profunda de paquetes en un dispositivo: alguien tiene que configurarlo, alguien debe monitorearlo y alguien tendrá que, en algún momento, solucionarlo. ¿Son estas cosas que surgen naturalmente, se derivan del diseño de la interfaz de usuario, o tiene que llamar al servicio de asistencia solo para explicar el lenguaje del menú, o para analizar un volcado de datos?
Analogía ridícula número uno: puedes poner un spoiler en un civic, e incluso podría hacer algo little , pero ese spoiler es solo una decoración. (Si su seguridad tiene que ver con golpear las casillas correctas para las auditorías, a veces puede "salirse" con decoraciones. Pero esto no es una seguridad real, y lo sabemos).
Tener un producto que hace demasiado puede aparecer también en el soporte del producto. Si tiene un problema en su dispositivo Everything, ¿cuánto soporte hay para él? ¿Cuánto tiempo llevan soportando la capacidad complementaria 96 y 97 de este dispositivo? Si es una ocurrencia tardía, esto podría ser un problema. ¿Cuántos desarrolladores tiene el proveedor involucrado en las pruebas de regresión, corrección de errores y nuevas versiones de código?
Para el hardware, a menudo puede agregar módulos que le brindan energía adicional en algunas áreas. Cisco vende una gran cantidad de tarjetas y módulos que descargarán criptografía, o 'anti-X', o trabajo de IDS / IPS, y estos van en todo, desde ASA hasta 6500 switches centrales. ¿Gran idea? Eso depende. ¿Puede comprar otro dispositivo o va a hacer más con menos?
Y los enrutadores siguen siendo los mejores en el tráfico de enrutamiento, los conmutadores centrales generalmente son mejores para no confundirse con las listas de acceso, los firewalls son mejores para no ejecutar OSPF y BGP.
Para terminar, aquí hay otra analogía ridícula: un atleta puede ser un fantástico nadador, un jugador de baloncesto o un gimnasta, pero eso no significa que el mismo atleta también deba ocupar una posición en la lista de fútbol o rugby. Si usted es una persona de TI y tiene una serie de requisitos, puede hacer que un dispositivo ocupe todas las casillas de verificación de su lista: ocupe todos los puestos disponibles en su lista. Pero si tiene el presupuesto y los recursos para comprar y desplegar una solución más sólida para cada una de las necesidades que tenga, ciertamente iría lejos como una estrategia más sostenible.
No tiene sentido agregar un firewall de inspección de estado o mover VPN y NATing a un firewall de inspección de estado. Esto se debe a que los firewalls de inspección de estado clasifican y controlan el tráfico por números de puerto. Dado el número de aplicaciones de salto de puerto y el número de aplicaciones que utilizan el Puerto 80 o el Puerto 443, un servidor de seguridad con estado es inútil.
Sin embargo, recomendaría implementar un firewall de "próxima generación" (NGFW) detrás de su enrutador de borde. Las funciones clave que llevaría a cabo el NGFW serían la identificación y el control de la aplicación, el control del usuario, la segmentación interna de la red, el enrutamiento basado en políticas, la calidad del servicio y la prevención de amenazas.
Como la mayoría de los ataques populares pasan por alto el firewall de inspección de paquetes al ejecutarse en el puerto 80, sugeriría una configuración ligeramente diferente.
Primero, hace diez años, los principales proveedores de firewall incorporaron protocolos de enrutamiento en sus firewalls, de modo que el enrutador de borde podría eliminarse, simplificando el diseño y la implementación de la red. Se acordaron suficientes tipos de seguridad de TI corporativa, por lo que Nokia / Check Point, Juniper / NetScreen y Cisco tenían un negocio próspero. Por lo tanto, al menos según la opinión popular basada en las ventas, puede tener un diseño de red sólido si el firewall y el enrutador de borde son el mismo dispositivo.
Le sugeriría, entonces, que tenga un firewall / enrutador en el borde, y luego algún tipo de dispositivo proxy o Deep Packet Inspection dentro. El firewall / enrutador maneja todas las cosas viejas, "fáciles" y bien entendidas. El proxy / DPI proporciona alguna protección contra las cosas actuales. Todo el tráfico interno debe pasar por un dispositivo proxy / DPI, para validar que el tráfico que sale es aceptable (no de un troyano o gusano, no ir a sitios que demandarían a la organización) y que las respuestas que se devuelven no son malware (no es que obtengas el 100%, pero puedes reducir la exposición potencial).
Puede obtener un firewall VPN DPI con enrutamiento, todo en una caja, por un montón de dinero. Eso estaria bien Sugeriría, entonces, que divida el funcional basado en la carga en lugar de solo la función. Por lo tanto, si tiene mucho tráfico de VPN, y eso es atar la CPU, entonces tiene sentido obtener un dispositivo VPN separado. Si DPI / proxy está tomando una gran cantidad de CPU, saque eso a su propia caja.
Finalmente, obtén algo de la religión de Defensa en Profundidad. Piense en las vulnerabilidades que tiene cuando se ven comprometidos diferentes componentes de la red, por ejemplo, las máquinas de los usuarios finales o el servidor de Exchange o el servidor de respaldo de la empresa. Haciendo cada uno de ellos, piense en el diseño de su red, cómo detectaría que el componente estaba comprometido, qué pasos podría seguir un atacante y cómo podría limpiar el desorden después de que se encontró el comprometido.