Моя хостинговая компания утверждает, что IPTables бесполезен и не предоставляет любая защита. Это ложь?
TL; DR
У меня есть два совмещенных сервера. Вчера моя компания DC связалась со мной, чтобы сказать, что, поскольку я использую программный брандмауэр, мой сервер «уязвим для множества критических угроз безопасности», а мое текущее решение предлагает «Нет защиты от любой формы атак».
Говорят, мне нужен специальный межсетевой экран Cisco (установка 1000 долларов, затем 200 долларов в месяц). каждый) для защиты моих серверов. Мне всегда казалось, что, хотя аппаратные брандмауэры более безопасны, что-то вроде IPTables на RedHat предлагает достаточную защиту для вашего среднего сервера.
Оба сервера - это просто веб-серверы, на них нет ничего критически важного, но я использовал IPTables, чтобы заблокировать SSH только моим статическим IP-адресом и заблокировать все, кроме основных портов (HTTP (S), FTP и несколько других стандартных сервисов. ).
Я не собираюсь получать брандмауэр, если бы эфир серверов был взломан, это было бы неудобством, но все, что они запускают, - это несколько сайтов WordPress и Joomla, поэтому я определенно не думаю, что это стоит денег.
Аппаратные брандмауэры тоже работают с программным обеспечением, единственная реальная разница состоит в том, что устройство создано специально для этой задачи. Программные брандмауэры на серверах могут быть такими же безопасными, как и аппаратные брандмауэры, при правильной настройке (обратите внимание, что аппаратные брандмауэры, как правило, «легче» получить до этого уровня, а программные брандмауэры «легче» испортить).
Если у вас устаревшее программное обеспечение, скорее всего, существует известная уязвимость. Хотя ваш сервер может быть восприимчив к этому вектору атаки, заявление о том, что он незащищен, является подстрекательским, вводящим в заблуждение или дерзкой ложью (зависит от того, что именно они сказали и как они это имели в виду). Вам следует обновить программное обеспечение и исправить все известные уязвимости независимо от вероятности эксплуатации.
Заявление о неэффективности IPTables - это в лучшем случае вводит в заблуждение. Хотя опять же, если одно правило разрешить все от всех до всех тогда да, он вообще ничего не сделает.
Примечание: все мои личные серверы работают на FreeBSD и используют только IPFW (встроенный программный брандмауэр). У меня никогда не было проблем с этой настройкой; Я также слежу за объявлениями о безопасности и никогда не видел никаких проблем с этим программным брандмауэром.
На работе у нас многоуровневая безопасность; пограничный межсетевой экран отфильтровывает всю очевидную хрень (аппаратный межсетевой экран); внутренние межсетевые экраны фильтруют трафик для отдельных серверов или местоположения в сети (сочетание в основном программных и аппаратных межсетевых экранов).
Для сложных сетей любого типа лучше всего подходит многослойная безопасность. Для простых серверов, подобных вашему, наличие отдельного аппаратного брандмауэра может принести некоторую выгоду, но весьма незначительную.
Запуск межсетевого экрана на самом защищаемом сервере является менее безопасен, чем использование отдельного брандмауэра. Это не обязательно должен быть «аппаратный» брандмауэр. Другой сервер Linux, настроенный как маршрутизатор с IPTables, будет работать нормально.
Проблема безопасности с брандмауэрами на защищаемом сервере заключается в том, что машина может быть атакована через ее запущенные службы. Если злоумышленник может получить доступ корневого уровня, брандмауэр можно изменить, отключить или обойти его с помощью корневого пакета ядра.
На отдельном компьютере с брандмауэром не должно быть запущено никаких служб, кроме доступа SSH, и этот доступ SSH должен быть ограничен диапазонами административных IP-адресов. Он должен быть относительно неуязвимым для атак, конечно, без ошибок в реализации IPTables или стеке TCP.
Машина с брандмауэром может блокировать и регистрировать сетевой трафик, которого не должно существовать, давая вам ценное раннее предупреждение о взломанных системах.
Думаю, это тоже зависит от производительности. То, что программно-серверный брандмауэр использует циклы ЦП, аппаратный брандмауэр может делать с помощью специализированных микросхем (ASIC), что приводит к повышению производительности и пропускной способности.
Если ваш трафик невелик, попробуйте небольшой Устройство Cisco ASA, такое как 5505. Он находится в диапазоне от 500 до 700 долларов и определенно создан специально. Co-lo вроде как дает вам BS, но их ставки для брандмауэра также необоснованны.
С вашей точки зрения реальная разница между «программным» (на самой машине) и «аппаратным» брандмауэром состоит в том, что в первом случае трафик уже находится на машине, которую вы хотите защитить, поэтому он потенциально более уязвим, если что-то было упущено из виду или неправильно сконфигурировано.
Аппаратный брандмауэр, по сути, действует как предварительный фильтр, который позволяет только определенному трафику достигать и / или выходить из вашего сервера.
Учитывая ваш вариант использования и, конечно, при условии, что у вас есть надлежащие резервные копии, дополнительные расходы будет очень трудно оправдать. Лично я бы продолжил то, что есть у вас, хотя, возможно, использовал бы другую хостинговую компанию.
Поздно к игре на этом. Да, поставщик услуг понятия не имеет, о чем они говорят. Если вы компетентный администратор IPTABLES, я бы сказал, что вы в большей безопасности, чем стандартный аппаратный брандмауэр. Причина в том, что когда я их использовал, приятный интерфейс не отражает фактическую конфигурацию разрешенного трафика. Продавцы пытаются заглушить это для нас, глупых. Я хочу знать обо всех возможностях входа и выхода каждого пакета.
IPTABLES не для всех, но если вы серьезно относитесь к безопасности, вы хотите быть как можно ближе к сети. Обеспечить безопасность системы легко, а обратное проектирование межсетевого экрана - нет.