Имеет ли смысл использовать брандмауэр для сервера с выходом в Интернет, скажем, веб-сервера? Предполагая, что я не хочу никому ограничивать доступ к веб-серверу в его способности обслуживать веб-страницы, я бы заблокировал другие службы на машине.
Если машина заблокирована должным образом, будет ли это необходимо?
Я мог подумать об одном риске, если бы на веб-сервере была использована уязвимость, и злоумышленник попытался открыть обратную командную оболочку ... использование брандмауэра для блокировки исходящих соединений, инициированных веб-сервером, остановило бы это.
Однако стоит ли защищать брандмауэр в таком сценарии? Могу ли я пропустить другие сценарии атаки?
Не увеличивает ли брандмауэр перед сервером, выходящим в Интернет, вероятность того, что сервер окажется недоступным из-за DoS-атаки (насколько я понимаю, это проще сделать на брандмауэре).
А как насчет IDS .... те же аргументы?
Брандмауэр, конечно, очень важен. Но для правильной настройки межсетевого экрана требуется:
белый список конкретных исходящий трафик, который разрешен межсетевому экрану. (т. е. единственный трафик, который веб-сервер может рассматривать, это обновления ОС). Блокирование этого может минимизировать возможность использования обратной оболочки для установки вредоносного ПО на ваш веб-сервер. Точно так же блокировка разрешения DNS также может ограничить возможность начального переполнения буфера, чтобы нанести ущерб.
блокирование всех портов, которые, как известно, не используются
Наконец, как бы ни был важен брандмауэр, ведение журнала (и мониторинг журналов) также имеют решающее значение.
Если вы серьезно не настроите брандмауэр, это может только помочь. Накладные расходы на брандмауэры обычно незначительны, если у вас нет действительно сложного набора правил. Помните, все, что он делает, это проверяет входящие пакеты на соответствие набору правил. Также помните, что настройки брандмауэра предусмотрены даже в самых маленьких корпоративных средах с общедоступными серверами. Даже небольшой домашний маршрутизатор или настольный компьютер действительно может выиграть от наличия брандмауэра. Придумайте свой пароль для входа. Вероятность того, что кто-то проникнет в ваш дом и воспользуется вашим компьютером, невелика, но «накладные расходы» на защиту вашей учетной записи паролем настолько незначительны, что вы могли бы просто сделать это. Вы не предоставили никакой информации о своей настройке, кроме того, что вы используете веб-сервер с общедоступным IP-адресом. Я не могу адаптировать свой ответ к вашей настройке.
Скорее всего, на этой машине открыто несколько других портов (например, SSH или какой-нибудь NetBIOS или RPC, если это Windows). Брандмауэр позволит вам оставить порт 80 открытым для обычных дел, предотвращая возможные эксплойты других служб, которые вы запускаете на своем компьютере, сознательно или неосознанно.
Кроме того, некоторые большинство пакетов брандмауэра, такие как PF и Iptables, могут использоваться для предотвращения сканирования и злоупотребления вашими законными общедоступными серверами. Например, если у вас есть служба, которая подвергается брутфорсу ботом, вы можете заблокировать этот IP-адрес своим брандмауэром, разрешив другим IP-адресам продолжать доступ к вашему веб-серверу. Большинство брандмауэров имеют встроенные модули или надстройки для автоматизации этого процесса (например, fail2ban и sshguard).
Правильно настроенный брандмауэр не должен делать вас более уязвимыми для DoS-атак. Это поможет предотвратить SYN-наводнение, потому что вы можете заблокировать оскорбительные IP-адреса. Конечно, чтобы избежать этого, исходные IP-адреса могут быть изменены на случайные значения. Однако PF использует «synproxy», который может смягчить это. Атаку Teardrop также можно предотвратить с помощью брандмауэра (т. Е. Привязки «очистить»).
Таким образом, существует множество других методов атаки, которым может помешать брандмауэр. Брандмауэры - это нечто большее, чем просто блокировка и разрешение портов.
Я не могу много говорить об IDS.
Источник: у меня есть опыт настройки брандмауэра / шлюзов на FreeBSD в средах IPv4 и IPv6.
Короткий ответ: нет оправдания тому, чтобы не устанавливать брандмауэр перед сервером, выходящим в Интернет. Вероятность DDoS-атаки, которая приведет к сбою вашего брандмауэра, скорее всего, приведет к сбою и вашего сервера. Это называется отказом закрытия, чтобы прекратить прием запросов в случае неисправности.
С IDS все по-другому, в основном потому, что оно выполняет совершенно другую функцию. IDS - это все об обнаружении и традиционно находится за вашим брандмауэром, но перед серверами, выходящими в Интернет. ЕСЛИ ваша IDS имела функции IPS и была перегружена, я бы сказал, вы хотите, чтобы она не открывалась и продолжала принимать запросы.
По сути, глубинная защита - это лучший способ: межсетевой экран, мониторинг безопасности, усиленные серверы.
Также я согласен, Cocoabean, брандмауэры значительно снижают вероятность многих типов DoS-атак.