Digamos que nuestro primer firewall tiene alguna vulnerabilidad y una persona maliciosa puede explotarlo. Si hay un segundo servidor de seguridad después de él, él / ella debería poder detener el ataque, ¿no?
Además, ¿cuáles serán los efectos secundarios? Quiero decir, ¿esto frenaría el tráfico o no? ¿Cuáles son otros efectos posibles como este?
Esto es lo que quiero decir para la configuración:
Hay dos ventajas y desventajas al tener dos firewalls. Si bien los firewalls no son comúnmente explotados, son propensos a ataques de denegación de servicio.
En una topología con un solo firewall que sirve tanto a usuarios internos como externos (LAN y WAN), actúa como un recurso compartido para estas dos zonas. Debido a la potencia informática limitada, un ataque de denegación de servicio en el firewall de la WAN puede interrumpir los servicios en la LAN.
En una topología con dos firewalls, protege los servicios internos en la LAN de los ataques de denegación de servicio en el firewall perimetral.
Por supuesto, tener dos firewalls también aumentará la complejidad administrativa: es necesario mantener dos políticas de firewall diferentes + copia de seguridad y parches.
Algunos administradores prefieren solo filtrar el tráfico de ingreso, esto simplifica la política de firewall. La otra práctica es mantener dos conjuntos de reglas separados con filtros de salida y de entrada. Si necesita una apertura de LAN a WAN, deberá implementar la regla en ambos firewalls. La razón detrás de esto es que un solo error no expondrá toda la red, solo las partes que el firewall está sirviendo directamente. El mismo error se debe hacer dos veces.
La principal desventaja es el costo y el mantenimiento, pero en mi opinión, las ventajas superan a estas.
Como regla general, no
Los firewalls no son como barricadas que un atacante tiene que "derrotar" para continuar. Pasas por alto un firewall al encontrar algún camino que no esté bloqueado. No se trata tanto de la cantidad de obstáculos que pongas, sino de los caminos que te permitan. Como regla, cualquier cosa que pueda hacer con dos firewalls puede hacerlo con uno.
¿Dos firewalls son mejores que uno? Desde el punto de vista de un pirata informático, hay dos puntos de vista que no importa, ya que buscan puertos abiertos para su explotación. Desde el punto de vista del administrador de red, el firewall crea un único punto de falla. El uso de Firewall múltiple puede proporcionar redundancia si un firewall de dispositivo activo falla, entonces el tráfico de servicio se cambia a firewall de respaldo. Dependiendo del tipo de firewall implementado, debe haber sincronización entre dos firewalls antes del cambio de enlace. Además, se puede implementar Multiple Firewall en.
Fuente: Técnicas de conmutación por error con estado del Libro Blanco
Existe potencialmente un escenario en el que el software de firewall tiene un error que hace que permita el tráfico a través del cual no debería. En ese caso, podría ser beneficioso tener un segundo servidor de seguridad detrás del primer software diferente, suponiendo que el software diferente no sufre el mismo error.
¿Pero qué tan comunes son los errores de firewall? Mi sensación es que no son lo suficientemente comunes como para justificar la complejidad adicional de esta configuración, lo que aumenta el riesgo de una mala configuración y hace que pierda el tiempo que podría estar mejor dedicado a proteger los servicios detrás del firewall.
Las características y capacidades difieren mucho entre los firewalls, por lo que no puede simplemente preguntar si dos firewalls serían mejores que uno. Supongo que tiene un presupuesto limitado, por lo que podría ser mejor obtener un firewall único, pero más capaz por el mismo dinero, que dos firewalls más baratos, que incluso combinados tienen menos capacidades que el dispositivo más caro.
Pero, si tiene suficiente dinero, podría ser una buena idea combinar dispositivos capaces de diferentes proveedores, para que se unan en un sistema más seguro. Por supuesto, no solo costará más dinero comprar estos cortafuegos, sino también mantenerlos. Cada uno de ellos tendrá una interfaz diferente, capacidades ligeramente diferentes o al menos formas diferentes de lograr lo mismo. Por lo tanto, debe obtener administradores que dominen todos estos modelos diferentes, tal vez tenga que encontrar alguna manera de combinar los diferentes registros y alertas de los diferentes cortafuegos, etc.
Entonces, sí, será más seguro, pero solo si tiene el dinero para comprar dispositivos y administradores capaces. Si tiene un presupuesto limitado, sugeriría obtener mejor el mejor dispositivo y administrador que puede obtener por su dinero.
Estoy de acuerdo con la respuesta de Tylerl arriba. Sin embargo, leyendo los comentarios bajo esa respuesta, hay una discusión donde no debería haber ... lo cual es causado por la confusión que espero aclarar. Y luego explique por qué creo que dos firewalls no son mejores que uno para la pregunta formulada.
Punto de contención: ¿se puede explotar un cortafuegos? Un grupo dice que no, mientras que otros dicen que sí.
Esta es la pregunta importante que debe hacerse: ¿puede administrar el firewall en la red?
Por el bien de los argumentos, configuro una caja de Linux como un servidor de seguridad para administrar el tráfico entre Internet y mi red doméstica (cableada + wi-fi). También lo configuro de modo que la máquina de firewall NO esté en la red, por lo que la única forma de realizar cambios en las reglas del firewall es iniciar sesión físicamente en la máquina.
En esta administración sin configuración de red, es imposible explotar mi firewall desde Internet o desde mi red doméstica. Para explotarlo, primero deberías entrar en mi casa y acceder físicamente a la máquina.
Según lo señalado por varias personas, el aspecto del cortafuegos es simplemente una barricada que decide qué tráfico ingresa, no hay nada explotable en esa parte.
Pero si reconfiguré mi configuración para que la máquina firewall se conecte a la misma red doméstica y se haga accesible a través de SSH, entonces me arriesgaré. Cualquier atacante que ingrese a mi red doméstica (a través de cualquier puerto que estuviera abierto desde el firewall) podría utilizar algún exploit SSH para ingresar a la máquina del firewall.
Digamos que nuestro primer firewall tiene alguna vulnerabilidad y que una persona maliciosa puede explotarlo.
Esto implica que su primera caja de firewall estaba conectada a una red accesible para el atacante, y había algún servicio accesible como SSH para explotar.
Si hay un segundo servidor de seguridad después de él, él / ella debería poder detener el ataque, ¿no?
Depende: ¿su segundo servidor de firewall también está conectado a una red accesible para el atacante? Si es así, entonces seguro que también podría ser explotado por un atacante inteligente.
En realidad, no esperaría que los administradores experimentados cometan tales errores de novato.
Los múltiples cortafuegos son definitivamente mejores que uno. Yo uso tres Detrás de la primera está la DMZ con "honey pot" que controla el tráfico, tiene el Proxy de correo electrónico, el Proxy del navegador y los servidores de Internet; Todos los SE Linux. La información de Honey Pot ayuda a crear la Lista negra para el segundo firewall. Detrás del segundo servidor de seguridad se encuentran los servidores de Intranet, las impresoras y las computadoras de baja seguridad (Windows). Detrás del tercer servidor de seguridad, que tiene una Lista blanca, hay computadoras y servidores de nivel de administrador. Entre el monitoreo, tres paredes de fuego diferentes, una Lista negra y una Lista blanca, se crea una red muy segura. La clave es el Honey Pot, que le permite saber quién está tratando de atacarlo para que pueda ajustar la lista negra y las reglas para proteger sus datos de Intranet. El correo electrónico público es a través de un proxy de Linux que está conectado de forma remota. Los archivos adjuntos deben descargarse de forma remota y luego pueden recuperarse después del escaneo, si es necesario. En más de 4 años, no he tenido un virus más allá de la DMZ, a menos que todavía sea desconocido. Hasta el momento, todos los virus se detectaron en los servidores proxy tan pronto como se descargaron. La navegación también se realiza a través de una máquina Proxy, no se descarga nada directamente desde Internet detrás del segundo o tercer firewall. Los puertos se reasignan por encima de 1024, por lo que los enrutadores segundo y tercero son casi agujeros negros. La nueva información del cliente se lleva a servidores más seguros cada día. Todas las máquinas de gestión son Linux. Inicialmente, la configuración y el Listado Negro requieren mucho tiempo, una vez que los grandes infractores (Microsoft, Google y NSA) están bloqueados, las cosas son fáciles de mantener.
Lea otras preguntas en las etiquetas firewalls