Si una computadora está conectada directamente a Internet, es vulnerable a los ataques.
Por lo tanto, conectamos un firewall de hardware entre la computadora e Internet. Pero, ¿esta nueva configuración no significa que ahora nuestro firewall de hardware sea el más vulnerable a los ataques?
Si ese es el caso, ¿no estaría infectado el propio firewall de hardware?
¿No estamos sustituyendo un cordero por uno nuevo?
La razón principal para obtener un firewall de hardware tampoco es que la computadora sea directamente vulnerable a los ataques, es porque necesita un dispositivo de rendimiento rápido, que sea manejable y tenga la capacidad de realizar un filtrado complejo. Obtener un firewall de hardware para una sola computadora es un poco tonto.
La cantidad de posibles vectores de ataque se reduce a medida que hay menos superficie de ataque presente. Un firewall tiene muchas menos aplicaciones ejecutándose que una computadora en primer lugar. Además, un servidor de seguridad que se coloca correctamente en una red no tiene sus interfaces administrativas (que administran el servidor de seguridad) frente a Internet. Estos se administran desde una red separada y restringida.
Esto significa que necesitarías poder tener algún tipo de desbordamiento de búfer cuando verifique las conexiones entrantes. Esto sería posible en teoría, pero la probabilidad es bastante baja. No estoy diciendo que sea imposible, sino más bajo.
Respuesta corta: sí. Los firewalls de hardware son vulnerables a las infecciones de manera similar a las computadoras porque son simplemente otra computadora.
No existe tal cosa como un "firewall de hardware". Estas son simplemente computadoras dedicadas con sistemas operativos dedicados y software dedicado, etc. Todavía es una computadora que ejecuta software que, por lo tanto, podría infectarse si alguien descubre una vulnerabilidad.
El problema de un servidor de seguridad "hardware" es que, en teoría, hay menos software en ejecución y menos puntos de acceso / conectividad que requieren pruebas de vulnerabilidades, por lo que es menos probable que estos dispositivos estén infectados. Sin embargo no es imposible.
El problema de un firewall "hardware" es que es menos probable que reciba actualizaciones de software (también conocidas como actualizaciones de firmware) durante su vida útil. Esto significa que si se descubre una vulnerabilidad con el dispositivo, puede llevar mucho tiempo crear un parche solucionando esto (si se crea un parche).
Una excepción a esta regla de parches podría ser Cisco y otras organizaciones dedicadas de seguridad de redes que hacen su trabajo de "mantenerse a la vanguardia". Estas personas pueden liberar parches más rápido. Sin embargo, para recibir este servicio, gastaría mucho más de lo que le costaría una solución de firewall del mercado local.
Nota: Si no mantiene su infraestructura de red parcheada y actualizada, será responsable de todas las vulnerabilidades conocidas para su dispositivo y la versión del software que se ejecuta en él. Lo mismo ocurre con los firewalls de software y los sistemas operativos en su propia computadora.
Caso en cuestión: Internet Census 2012
"Resumen: Mientras jugamos con Nmap Scripting Engine (NSE), descubrimos una increíble cantidad de dispositivos integrados abiertos en Internet. Muchos de ellos están basados en Linux y permiten el inicio de sesión en BusyBox estándar con el valor vacío o predeterminado credenciales. Usamos estos dispositivos para construir un escáner de puertos distribuidos para escanear todas las direcciones IPv4. Estas exploraciones incluyen sondas de servicio para los puertos más comunes, ping ICMP, DNS inverso y exploraciones SYN. Analizamos algunos de los datos para obtener una estimación de la Uso de la dirección IP. Todos los datos recopilados durante nuestra investigación se publican en el dominio público para su posterior estudio. "
Esta persona (o grupo) usó nombres de usuario y contraseñas y vulnerabilidades predeterminadas de "dispositivos integrados" (que podrían incluir enrutadores, teléfonos, firewalls, impresoras, muchos dispositivos "conectados a Internet") para acceder al dispositivo y ejecutar el código Lo que les ayudó a descubrir más dispositivos.
"Además, con cien mil dispositivos escaneando a diez sondas por segundo, tendríamos un escáner de puertos distribuidos para escanear puertos en todo el Internet IPv4 en una hora".
La probabilidad de infección / compromiso está relacionada con la generalidad de la función. Los firewalls de hardware proporcionan un conjunto muy limitado de características / funciones, y tienen una probabilidad de compromiso correspondientemente limitada. Creo que fue Gene Spafford quien observó por primera vez que la probabilidad de compromiso está directamente relacionada con el número de líneas de código. (Sospecho que está más cerca de una relación exponencial).
Cualquier cosa que acepte e interprete entradas externas tiene el potencial de ser comprometido.
La instalación de un servidor de seguridad de hardware entre su estación de trabajo e Internet no lo hará seguro porque nada lo hará 100% seguro. Lo que quieres apuntar es reducir el riesgo. Puede reducir el riesgo minimizando la superficie de ataque y ejecutando versiones bien mantenidas, y un buen firewall de red puede ayudarlo a hacerlo.
Si instala un servidor de seguridad de hardware con muchas características "avanzadas" como la inspección profunda de paquetes y la detección de intrusos y nunca lo instala, tiene una gran área de superficie e interfaces vulnerables.
Probablemente haya más vectores de ataque para una estación de trabajo que un firewall, es de esperar que no esté leyendo el correo electrónico y abriendo archivos PDF en su firewall. Dicho esto, un firewall de red no mitigará muchos de esos vectores de ataque (phishing, archivos infectados con malware, XSS), por lo que debe proteger el firewall y la estación de trabajo. Un firewall bien diseñado con una buena configuración reducirá el riesgo de escaneos y ataques basados en la red.
Un firewall de red también lo ayudará después de que su estación de trabajo se vea comprometida. Si confía en un firewall basado en host y su host se ve comprometido, el atacante simplemente deshabilitará los datos de firewall y exfiltrate. Si hay un firewall de red en el medio y está bloqueando las conexiones salientes no aprobadas, hace que la exfiltración sea un poco más difícil.
Un ejemplo de casi en el que se puede acceder / explotar un cortafuegos (y luego se pueden cambiar las cosas):