เหตุใดฉันจึงควรใช้เซิร์ฟเวอร์ไฟร์วอลล์


104

โปรดทราบ:ฉันไม่สนใจที่จะทำให้สิ่งนี้เป็นสงครามที่ลุกเป็นไฟ! ฉันเข้าใจว่าหลายคนมีความเชื่อมั่นอย่างแรงกล้าเกี่ยวกับเรื่องนี้ในส่วนที่ไม่น้อยเพราะพวกเขาใช้ความพยายามอย่างมากในการแก้ปัญหาไฟร์วอลล์ของพวกเขาและเพราะพวกเขาได้รับการปลูกฝังให้เชื่อในความจำเป็นของพวกเขา

อย่างไรก็ตามฉันกำลังมองหาคำตอบจากคนที่เป็นผู้เชี่ยวชาญด้านความปลอดภัย ฉันเชื่อว่านี่เป็นคำถามที่สำคัญและคำตอบจะเป็นประโยชน์มากกว่าตัวฉันและ บริษัท ที่ฉันทำงานด้วย ฉันใช้เครือข่ายเซิร์ฟเวอร์ของเรามาหลายปีแล้วโดยไม่มีการประนีประนอมเลย ไม่มีการประนีประนอมการรักษาความปลอดภัยที่เราได้มีจะได้รับการป้องกันด้วยไฟร์วอลล์

ฉันเดาว่าฉันทำงานที่นี่นานเกินไปเพราะเมื่อฉันพูดว่า "เซิร์ฟเวอร์" ฉันมักจะหมายถึง "บริการที่เสนอให้กับสาธารณะ" ไม่ใช่ "ฐานข้อมูลการเรียกเก็บเงินภายในที่เป็นความลับ" เช่นกฎระเบียบใด ๆ ที่เราจะมีในไฟร์วอลล์จะต้องอนุญาตให้เข้าถึงอินเทอร์เน็ตทั้งหมด นอกจากนี้เซิร์ฟเวอร์การเข้าถึงสาธารณะของเราทั้งหมดอยู่ในดาต้าเซ็นเตอร์โดยเฉพาะแยกต่างหากจากสำนักงานของเรา

มีคนอื่นถามคำถามที่คล้ายกันและคำตอบของฉันถูกโหวตเป็นตัวเลขติดลบ สิ่งนี้ทำให้ฉันเชื่อว่าคนที่โหวตไม่เข้าใจคำตอบของฉันหรือฉันไม่เข้าใจความปลอดภัยเพียงพอที่จะทำสิ่งที่ฉันกำลังทำอยู่

นี่คือแนวทางของฉันในการรักษาความปลอดภัยเซิร์ฟเวอร์:

  1. ปฏิบัติตามแนวทางความปลอดภัย ของระบบปฏิบัติการของฉันก่อนเชื่อมต่อเซิร์ฟเวอร์ของฉันกับอินเทอร์เน็ต

  2. ใช้ TCP wrappers เพื่อ จำกัด การเข้าถึง SSH (และบริการการจัดการอื่น ๆ ) กับที่อยู่ IP จำนวนเล็กน้อย

  3. ตรวจสอบสถานะของเซิร์ฟเวอร์นี้กับMunin และแก้ไขปัญหาความปลอดภัยอย่างร้ายแรงที่มีอยู่ใน Munin-node ในการกำหนดค่าเริ่มต้น

  4. Nmap เซิร์ฟเวอร์ใหม่ของฉัน (ก่อนที่จะเชื่อมต่อเซิร์ฟเวอร์ของฉันกับอินเทอร์เน็ต) ถ้าฉันจะไฟร์วอลล์เซิร์ฟเวอร์นี้ควรจะเป็นชุดที่แน่นอนของพอร์ตการเชื่อมต่อขาเข้าควรถูก จำกัด

  5. ติดตั้งเซิร์ฟเวอร์ในห้องเซิร์ฟเวอร์และให้ที่อยู่ IP สาธารณะ

  6. รักษาระบบให้ปลอดภัยโดยใช้คุณสมบัติอัปเดตความปลอดภัยของระบบปฏิบัติการของฉัน

ปรัชญาของฉัน (และพื้นฐานของคำถาม) คือความปลอดภัยระดับสูงของโฮสต์ขจัดความจำเป็นของไฟร์วอลล์ ปรัชญาการรักษาความปลอดภัยโดยรวมระบุว่าการรักษาความปลอดภัยระดับสูงยังคงเป็นสิ่งจำเป็นแม้ว่าคุณจะมีไฟร์วอลล์ (ดูแนวทางความปลอดภัย ) เหตุผลนี้เป็นเพราะไฟร์วอลล์ที่ส่งต่อบริการสาธารณะไปยังเซิร์ฟเวอร์ช่วยให้ผู้โจมตีเพียงเท่าที่ไม่มีไฟร์วอลล์ เป็นบริการที่มีความเสี่ยงและเนื่องจากการให้บริการกับอินเทอร์เน็ตทั้งหมดนั้นเป็นข้อกำหนดของการดำเนินงานการ จำกัด การเข้าถึงมันไม่ได้เป็นประเด็น

หากมีเป็นพอร์ตที่มีอยู่บนเซิร์ฟเวอร์ที่ไม่จำเป็นต้องเข้าถึงได้โดยทางอินเทอร์เน็ตทั้งจากนั้นซอฟต์แวร์ที่จำเป็นต้องปิดตัวลงในขั้นตอนที่ 1 และได้รับการตรวจสอบโดยขั้นตอนที่ 4 ควรให้ผู้บุกรุกที่ประสบความสำเร็จในการเจาะเข้าสู่เซิร์ฟเวอร์ผ่านซอฟแวร์ที่มีช่องโหว่ และเปิดพอร์ตตัวเองผู้โจมตีสามารถ (และทำ) ได้อย่างง่ายดายเช่นเดียวกับการเอาชนะไฟร์วอลล์ใด ๆ โดยทำการเชื่อมต่อขาออกบนพอร์ตสุ่มแทน จุดรักษาความปลอดภัยไม่ใช่เพื่อปกป้องตัวคุณเองหลังจากการโจมตีที่ประสบความสำเร็จซึ่งพิสูจน์แล้วว่าเป็นไปไม่ได้ - เพื่อป้องกันผู้โจมตีในตอนแรก

มีคนแนะนำว่ามีข้อควรพิจารณาด้านความปลอดภัยอื่น ๆ นอกเหนือจากพอร์ตที่เปิดอยู่ แต่สำหรับฉันแล้วดูเหมือนว่าจะปกป้องความเชื่อของคน ๆ หนึ่ง ช่องโหว่ของระบบปฏิบัติการ / TCP ใด ๆ ควรมีความเสี่ยงเท่ากันไม่ว่าไฟร์วอลล์จะมีอยู่หรือไม่ก็ตามขึ้นอยู่กับความจริงที่ว่าพอร์ตนั้นถูกส่งต่อโดยตรงไปยังระบบปฏิบัติการ / สแต็ก TCP ในทำนองเดียวกันการเรียกใช้ไฟร์วอลล์ของคุณบนเซิร์ฟเวอร์เองเมื่อเทียบกับการมีไว้ในเราเตอร์ (หรือแย่กว่านั้นทั้งสองแห่ง) ดูเหมือนว่าจะเป็นการเพิ่มความซับซ้อนที่ไม่จำเป็น ฉันเข้าใจปรัชญา "การรักษาความปลอดภัยมาในเลเยอร์" แต่มีจุดที่มันเหมือนกับการสร้างหลังคาโดยการวางไม้อัดจำนวน X จำนวนซ้อนทับกันและจากนั้นเจาะรูผ่านพวกเขาทั้งหมด ไม้อัดอีกชั้นจะไม่หยุดยั้งการรั่วไหลผ่านรูของคุณ

ความจริงแล้ววิธีเดียวที่ฉันเห็นไฟร์วอลล์กำลังใช้งานเซิร์ฟเวอร์คือถ้ามีกฎแบบไดนามิกที่ป้องกันการเชื่อมต่อทั้งหมดไปยังเซิร์ฟเวอร์ทั้งหมดจากผู้โจมตีที่รู้จัก - เช่น RBLs สำหรับสแปม (ซึ่งบังเอิญเป็นสิ่งที่เซิร์ฟเวอร์อีเมลของเราทำ) . น่าเสียดายที่ฉันไม่พบไฟร์วอลล์ที่ทำเช่นนั้น สิ่งที่ดีที่สุดถัดไปคือเซิร์ฟเวอร์ IDS แต่ก็ถือว่าผู้โจมตีไม่โจมตีเซิร์ฟเวอร์จริงของคุณก่อนและผู้โจมตีนั้นจะตรวจสอบเครือข่ายทั้งหมดของคุณก่อนที่จะโจมตี นอกจากนี้สิ่งเหล่านี้เป็นที่ทราบกันดีว่าก่อให้เกิดผลบวกปลอมจำนวนมาก


2
และทราฟฟิกทั้งหมดที่ผ่านระหว่างเซิร์ฟเวอร์ของคุณจะถูกเข้ารหัสหรือไม่?
GregD

5
รักมัน กฎไฟร์วอลล์ในตัวเครื่องจะขึ้นอยู่กับทุกครั้ง
unixtippse

2
คุณมีเดสก์ท็อป / พนักงานในเครือข่ายของคุณหรือไม่? คุณทำอะไรกับพวกเขา
แบรนดอน

8
คำถามนี้เหมาะสำหรับsecurity.stackexchange.com
Olivier Lalonde

2
@routeNpingme: ดูเหมือนว่าฉันไม่ได้รวมชิ้นอาหารอันโอชะที่โพสต์ต้นฉบับของฉัน เซิร์ฟเวอร์ทั้งหมดของเราต้องเปิดให้สาธารณะและอยู่ในดาต้าเซ็นเตอร์โดยเฉพาะ หากสำนักงานของคุณคือดาต้าเซ็นเตอร์ของคุณฉันคิดว่ามันจำเป็นต้องมีไฟร์วอลล์ระหว่างเครือข่ายเซิร์ฟเวอร์ของคุณและเครือข่ายสำนักงานของคุณ ในกรณีนี้ฉันกำลังพูดถึงเครือข่ายเซิร์ฟเวอร์ - เหตุใดจึงมีบางสิ่งที่ทำให้ไฟร์วอลล์เข้าถึงการเข้าถึงสาธารณะได้อย่างสมบูรณ์
เออร์นี่

คำตอบ:


54

ข้อดีของไฟร์วอลล์:

  1. คุณสามารถกรองทราฟฟิกขาออก
  2. Layer 7 firewalls (IPS) สามารถป้องกันช่องโหว่ของแอพพลิเคชันที่ทราบ
  3. คุณสามารถปิดกั้นช่วงที่อยู่ IP และ / หรือพอร์ตส่วนกลางมากกว่าการพยายามเพื่อให้แน่ใจว่าไม่มีบริการฟังพอร์ตที่ในแต่ละเครื่องแต่ละบุคคลหรือปฏิเสธการเข้าถึงโดยใช้ห่อ TCP
  4. ไฟร์วอลล์สามารถช่วยได้หากคุณต้องจัดการกับผู้ใช้ / ผู้ดูแลระบบที่ตระหนักถึงความปลอดภัยน้อยลงเพราะพวกเขาจะให้การป้องกันในระดับที่สอง หากไม่มีพวกเขาจะต้องแน่ใจว่าโฮสต์นั้นปลอดภัยซึ่งต้องการความเข้าใจด้านความปลอดภัยที่ดีจากผู้ดูแลระบบทั้งหมด
  5. ไฟล์บันทึกของไฟร์วอลล์จะจัดเตรียมบันทึกส่วนกลางและช่วยในการตรวจจับการสแกนตามแนวตั้ง ไฟร์วอลล์บันทึกสามารถช่วยในการกำหนดว่าผู้ใช้ / ลูกค้าบางคนพยายามเชื่อมต่อกับพอร์ตเดียวกันของเซิร์ฟเวอร์ทั้งหมดของคุณเป็นระยะ ในการทำเช่นนี้หากไม่มีไฟร์วอลล์เราจะต้องรวมบันทึกจากเซิร์ฟเวอร์ / โฮสต์ต่างๆเพื่อรับมุมมองส่วนกลาง
  6. ไฟร์วอลล์ยังมาพร้อมกับโมดูลต่อต้านสแปม / ป้องกันไวรัสซึ่งเพิ่มการป้องกัน
  7. ความปลอดภัยอิสระของระบบปฏิบัติการ โดยอาศัยระบบปฏิบัติการของโฮสต์นั้นจำเป็นต้องใช้เทคนิค / วิธีการต่าง ๆ ในการทำให้โฮสต์ปลอดภัย ตัวอย่างเช่น TCP Wrappers อาจไม่พร้อมใช้งานบนเครื่อง Windows

เหนือสิ่งอื่นใดถ้าคุณไม่มีไฟร์วอลล์และระบบถูกบุกรุกคุณจะตรวจจับได้อย่างไร การพยายามเรียกใช้คำสั่ง 'ps', 'netstat' และอื่น ๆ ในระบบภายในไม่สามารถเชื่อถือได้เนื่องจากไบนารีเหล่านั้นสามารถถูกแทนที่ได้ 'nmap' จากระบบระยะไกลไม่รับประกันการป้องกันเนื่องจากผู้โจมตีสามารถมั่นใจได้ว่าชุดรากจะยอมรับการเชื่อมต่อจากที่อยู่ IP ต้นทางที่เลือกในเวลาที่เลือกเท่านั้น

ไฟร์วอลล์ฮาร์ดแวร์ช่วยในสถานการณ์ดังกล่าวเป็นเรื่องยากมากที่จะเปลี่ยนไฟล์ / ไฟล์วอลล์ของไฟร์วอลล์เมื่อเทียบกับไฟล์ OS / โฮสต์

ข้อเสียของไฟร์วอลล์:

  1. ผู้คนรู้สึกว่าไฟร์วอลล์จะดูแลความปลอดภัยและไม่อัปเดตระบบเป็นประจำและหยุดบริการที่ไม่ต้องการ
  2. พวกเขาเสียค่าใช้จ่าย บางครั้งต้องชำระค่าธรรมเนียมใบอนุญาตทุกปี โดยเฉพาะอย่างยิ่งหากไฟร์วอลล์มีโมดูลป้องกันไวรัสและป้องกันสแปม
  3. จุดเดียวของความล้มเหลวเพิ่มเติม หากการรับส่งข้อมูลทั้งหมดผ่านไฟร์วอลล์และไฟร์วอลล์ล้มเหลวเครือข่ายก็จะหยุด เราสามารถมีไฟร์วอลล์ซ้ำซ้อน แต่ก่อนหน้านี้จากจุดที่ค่าใช้จ่ายจะได้รับการขยายเพิ่มเติม
  4. การติดตามแบบไร้รัฐไม่มีค่าสำหรับระบบสาธารณะที่ยอมรับการเชื่อมต่อขาเข้าทั้งหมด
  5. ไฟร์วอลแบบ Stateful เป็นคอขวดขนาดใหญ่ในระหว่างการโจมตี DDoS และมักเป็นสิ่งแรกที่ล้มเหลวเพราะพวกเขาพยายามที่จะคงสถานะและตรวจสอบการเชื่อมต่อที่เข้ามาทั้งหมด
  6. ไฟร์วอลล์ไม่สามารถมองเห็นการรับส่งข้อมูลที่เข้ารหัสได้ เนื่องจากการรับส่งข้อมูลทั้งหมดควรได้รับการเข้ารหัสตั้งแต่ต้นจนจบไฟร์วอลล์ส่วนใหญ่จึงเพิ่มมูลค่าเพียงเล็กน้อยต่อหน้าเซิร์ฟเวอร์สาธารณะ ไฟร์วอลล์รุ่นต่อไปบางตัวสามารถรับไพรเวตคีย์เพื่อยกเลิก TLS และดูภายในทราฟฟิกอย่างไรก็ตามสิ่งนี้จะเพิ่มความไวของไฟร์วอลล์ให้ DDoS มากยิ่งขึ้นและแบ่งรูปแบบความปลอดภัยแบบ end-to-end ของ TLS
  7. ระบบปฏิบัติการและแอพพลิเคชั่นได้รับการแก้ไขจากช่องโหว่ที่รวดเร็วกว่าไฟร์วอลล์ ผู้จำหน่ายไฟร์วอลล์มักจะประสบปัญหาที่ทราบมาหลายปีโดยไม่ต้องทำการปะแก้และการแก้ไขคลัสเตอร์ไฟร์วอลล์มักจะต้องหยุดทำงานสำหรับบริการและการเชื่อมต่อขาออกจำนวนมาก
  8. ไฟร์วอลล์นั้นยังห่างไกลจากความสมบูรณ์แบบและหลาย ๆ ไฟร์วอลล์เป็นซอฟต์แวร์ที่ทำงานบนระบบปฏิบัติการบางรูปแบบโดยอาจมี ASIC หรือ FPGA เพิ่มเติมนอกเหนือจาก CPU (โดยปกติจะช้า) ไฟร์วอลล์มีข้อบกพร่อง แต่ดูเหมือนจะมีเครื่องมือบางอย่างสำหรับจัดการกับปัญหา ดังนั้นไฟร์วอลล์จึงเพิ่มความซับซ้อนและแหล่งที่มาเพิ่มเติมของข้อผิดพลาดที่ยากต่อการวินิจฉัยไปยังแอปพลิเคชันสแต็ก

6
Above all this if you do not have firewall and system is compromised then how would you detect it?การตรวจจับการบุกรุกไม่ใช่งานของไฟร์วอลล์ งานนั้นได้รับการจัดการอย่างถูกต้องมากขึ้นโดย HIDS (ระบบตรวจจับการบุกรุกบนโฮสต์) ซึ่งเป็นอิสระจากไฟร์วอลล์
Steven Monday

6
เซิร์ฟเวอร์ Syslog ไม่จำเป็นต้องมีรายการ 5 หากมีสิ่งใดเป็นการดีที่สุดที่จะส่งไฟล์บันทึกไฟร์วอลล์ของคุณไปยังเซิร์ฟเวอร์ syslog ในกรณีที่ผู้โจมตีสามารถจัดการกับไฟร์วอลล์และลบบันทึกได้ จากนั้นผู้โจมตีจะต้องประนีประนอมสองระบบเพื่อลบบันทึกและพวกเขาอาจไม่เตรียมพร้อมสำหรับการนั้น (โดยเฉพาะการโจมตีอัตโนมัติ) ในทำนองเดียวกันหากทุกระบบของคุณมีการบันทึกจากส่วนกลางคุณจะได้รับรายละเอียดเกี่ยวกับการโจมตีที่ดีกว่าการบันทึกไฟร์วอลล์
เออร์นี่

2
ประเด็นของฉันคือเนื่องจาก HIDS อยู่ในโฮสต์เราจึงไม่สามารถไว้วางใจผลลัพธ์ของมันได้ ตัวอย่างเช่นแม้ว่าเราจะใช้ 'tripwire' ที่มีความปลอดภัยจากการเข้ารหัสในฐานะ IDS ตามโฮสต์ผู้โจมตีสามารถแทนที่ไบนารี tripwire ทั้งหมด (twadmin, tripwire, twprint และอื่น ๆ ) ด้วยเวอร์ชันที่ถูกบุกรุกซึ่งจะไม่รายงานการบุกรุก แม้ว่าเราพยายามที่จะคัดลอกไลบรารี่ / ไบนารีจากระบบอื่น ๆ แต่ก็อาจมีกระบวนการที่ใช้ตรวจสอบไบนารี่ที่ถูกบุกรุกเหล่านี้และแทนที่มันด้วยเวอร์ชั่นที่เสียหายในกรณีที่พวกมันถูกแทนที่หรืออัพเดท ไฟร์วอลล์เป็นอิสระจากโฮสต์สามารถเชื่อถือได้ในสถานการณ์เช่นนี้
Saurabh Barjatiya

2
คำตอบนี้เป็นที่ยอมรับมากกว่าคำตอบที่ได้รับความนิยมมากขึ้นเพราะให้เหตุผลที่ดีกว่าและมีเหตุผลที่ครอบคลุมกว่าสำหรับการใช้ไฟร์วอลล์ และไม่ใช่สำหรับเรื่องนั้น
เออร์นี่

ไฟร์วอลล์การตรวจสอบแพ็คเก็ต stateful ไม่ได้อยู่หน้าเซิร์ฟเวอร์ พวกเขามีความรับผิดชอบอย่างมากในการโจมตี DDoS และโดยทั่วไปจะเป็นสิ่งแรกที่ล้มเหลวภายใต้การโจมตี
rmalayter

33

TCP Wrappers อาจเรียกได้ว่าการติดตั้งไฟร์วอลล์แบบโฮสต์ คุณกำลังกรองปริมาณการใช้เครือข่าย

สำหรับจุดประสงค์ของผู้โจมตีที่ทำการเชื่อมต่อขาออกบนพอร์ตโดยพลการไฟร์วอลล์จะให้วิธีการควบคุมทราฟฟิกขาออกเช่นกัน ไฟร์วอลล์ที่ตั้งค่าไว้อย่างถูกต้องจะจัดการการเข้าใช้และออกไปข้างนอกในลักษณะที่เหมาะสมกับความเสี่ยงที่เกี่ยวข้องกับระบบ

ในประเด็นเกี่ยวกับความอ่อนแอของไฟร์วอลล์ TCP ที่ไม่ได้รับการบรรเทาคุณไม่คุ้นเคยกับการทำงานของไฟร์วอลล์ Cisco มีกฎมากมายให้ดาวน์โหลดซึ่งระบุแพ็คเก็ตที่สร้างขึ้นในลักษณะที่อาจทำให้เกิดปัญหาระบบปฏิบัติการโดยเฉพาะ หากคุณคว้า Snort และเริ่มต้นด้วยชุดกฎที่ถูกต้องคุณจะได้รับการแจ้งเตือนในสิ่งนี้ และแน่นอนว่า iptables Linux สามารถกรองแพ็คเก็ตที่เป็นอันตรายได้

โดยพื้นฐานแล้วไฟร์วอลล์เป็นการป้องกันเชิงรุก ยิ่งคุณอยู่ห่างจากการเป็นเชิงรุกมากเท่าไหร่โอกาสที่คุณจะพบว่าตัวเองอยู่ในสถานการณ์ที่คุณมีปฏิกิริยาต่อปัญหามากกว่าการป้องกันปัญหา การรวมการป้องกันที่ชายแดนเช่นเดียวกับไฟร์วอลล์เฉพาะทำให้การจัดการง่ายขึ้นเพราะคุณมีจุดที่ทำให้หายใจไม่ออกแทนที่จะทำซ้ำกฎทุกที่

แต่ไม่มีสิ่งใดจำเป็นต้องเป็นทางออกสุดท้าย โดยทั่วไปโซลูชันด้านความปลอดภัยที่ดีคือหลายเลเยอร์ที่คุณมีไฟร์วอลล์ที่ชายแดนติดตั้ง TCP ที่อุปกรณ์และอาจมีกฎบางอย่างเกี่ยวกับเราเตอร์ภายในเช่นกัน โดยปกติคุณควรปกป้องเครือข่ายจากอินเทอร์เน็ตและป้องกันโหนดจากกัน วิธีการหลายเลเยอร์นี้ไม่เหมือนกับการเจาะรูผ่านแผ่นไม้อัดหลายแผ่นมันเหมือนกับการวางประตูคู่หนึ่งขึ้นมาเพื่อให้ผู้บุกรุกมีกุญแจล็อคสองบานที่จะแตกแทนที่จะเป็นแบบเดียว สิ่งนี้เรียกว่าดักคนในความปลอดภัยทางกายภาพและส่วนใหญ่อาคารทุกหลังจะมีหนึ่งเหตุผล :)


6
นอกจากนี้หากพวกเขาแอบเข้าไปในอาคารและเปิดประตูด้านในให้เพื่อนข้างนอกพวกเขาต้องปลดล็อคและเปิดประตูด้านนอกด้วย (เช่นไม่มีไฟร์วอลล์ภายนอกใครบางคนที่เข้ามาในเซิร์ฟเวอร์ของคุณสามารถเปิดขึ้นมาได้ในขณะที่ไฟร์วอลล์ภายนอกจะยังคงปิดกั้นพอร์ตที่เปิดอยู่จากด้านนอก)
Ricket

@Ricket: บางทีพวกเขาทำได้ แต่ผู้โจมตียุคใหม่ไม่สนใจสิ่งนี้ ไซต์ของคุณจะต้องให้ความสนใจเป็นพิเศษสำหรับผู้โจมตีที่จะทำอะไรมากกว่าการเพิ่มเซิร์ฟเวอร์ของคุณไปที่ฟาร์มซอมบี้
เออร์นี่

1
@Ernie - ไม่เพียง แต่จะต้องมีการตรวจสอบโดยอัตโนมัติสำหรับพื้นที่ว่างสำหรับ Warez ฐานข้อมูลลูกค้าข้อมูลทางการเงินรหัสผ่านและการเพิ่มไปยัง botnet - แต่ถึงแม้จะไม่ดีพอ - ผู้ดูแลระบบบางคนจะมีความสุข blackhole IP ของคุณ ถ้าดูเหมือนว่าคุณเป็นเจ้าภาพซอมบี้
Rory Alsop

TCP Wrappers could be arguably called a host-based firewall implementation+1 สำหรับคำตอบที่ดี
sjas

15

(คุณอาจต้องการอ่าน " ชีวิตที่ไม่มีไฟร์วอลล์ ")

ตอนนี้: แล้วการมีระบบดั้งเดิมที่ไม่มีการเผยแพร่แพตช์อีกต่อไป? สิ่งที่เกี่ยวกับการไม่สามารถใช้แพตช์กับเครื่อง N- ในเวลาที่คุณต้องทำในขณะที่ในเวลาเดียวกันคุณสามารถใช้พวกเขาในโหนดน้อยลงในเครือข่าย (ไฟร์วอลล์)

ไม่มีประเด็นที่จะโต้แย้งการดำรงอยู่หรือความต้องการของไฟร์วอลล์ สิ่งที่สำคัญคือคุณต้องใช้นโยบายความปลอดภัย ในการทำเช่นนั้นคุณจะใช้เครื่องมืออะไรก็ได้ที่จะนำไปใช้และช่วยคุณจัดการขยายและพัฒนามัน หากจำเป็นต้องใช้ไฟร์วอลล์ก็ถือว่าใช้ได้ หากพวกเขาไม่ต้องการก็ไม่เป็นไรเช่นกัน สิ่งสำคัญคือการใช้นโยบายความปลอดภัยของคุณที่ทำงานและตรวจสอบได้


1
หึ ฉันใช้เครือข่ายเซิร์ฟเวอร์ของเราเป็นเวลา 8 ปีที่ผ่านมาโดยไม่มีไฟร์วอลล์ ฉันสามารถเขียน "ชีวิตที่ไม่มีไฟร์วอลล์" แต่เขาทำงานได้ดีกว่าและใช้เครือข่ายที่ใหญ่กว่าฉันอยู่ดี
เออร์นี่

2
@ เออร์นี่ - ฉันคิดว่าคุณคงโชคดีได้ คุณจะรู้ได้อย่างไรว่าคุณไม่ได้ถูกโจมตี? ผลลัพธ์ของการตรวจสอบทางนิติเวชในลูกค้าของฉันหลายคนพบว่ามีการประนีประนอมซึ่งบางครั้งอาจย้อนหลังไปหลายเดือนในขณะที่ผู้โจมตีพบข้อมูลส่วนบุคคลและข้อมูลทางการเงินรายละเอียดลูกค้าทรัพย์สินทางปัญญาแผนธุรกิจและอื่น ๆ
Rory Alsop

1
ที่จริงนอกเหนือจากความจริงที่ว่าเครือข่ายเซิร์ฟเวอร์ของเราแยกจากเครือข่ายสำนักงานของเรา (และดังนั้นจึงไม่มีการรวบรวมข้อมูลที่ละเอียดอ่อนอย่างแท้จริงแม้จะมีการเข้าถึงรูทบนเซิร์ฟเวอร์ทุกเครื่อง) ฉันก็สามารถค้นพบการประนีประนอมทุกครั้งที่เรา เคยมีมาตั้งแต่ฉันเริ่มต้นที่นี่ ฉันสามารถแสดงเกี่ยวกับหนังสยองขวัญที่มีอยู่เมื่อฉันเริ่ม แต่ฉันมีพื้นที่ไม่เพียงพอ :) พอเพียงที่จะบอกว่าการโจมตีส่วนใหญ่นั้นไม่ได้เป็นเรื่องละเอียด โอ้ใช่แล้วการแยกสิทธิพิเศษของผู้ใช้คือเพื่อนของคุณ
เออร์นี่

9

คำอธิบายส่วนใหญ่ของคุณดูเหมือนจะปฏิเสธความต้องการไฟร์วอลล์ แต่ฉันไม่เห็นคำสั่งที่จะมีหนึ่งนอกเหนือจากเวลาเล็กน้อยในการตั้งค่า

มีบางสิ่งที่ "จำเป็น" ในความหมายที่เข้มงวดของคำ ความปลอดภัยนั้นเกี่ยวกับการตั้งค่าการปิดล้อมทั้งหมดที่คุณสามารถทำได้ การทำงานที่จำเป็นมากขึ้นในการเจาะเข้าไปในเซิร์ฟเวอร์ของคุณหมายถึงโอกาสน้อยที่การโจมตีสำเร็จ คุณต้องการให้มันทำงานได้มากขึ้นในการบุกเข้าไปในเครื่องของคุณมากกว่าที่อื่น การเพิ่มไฟร์วอลล์ช่วยให้ทำงานได้มากขึ้น

ฉันคิดว่าการใช้งานที่สำคัญคือความปลอดภัยซ้ำซ้อน ข้อดีอีกอย่างของไฟร์วอลล์คือคุณสามารถวางความพยายามในการเชื่อมต่อกับพอร์ตใด ๆ แทนที่จะตอบสนองต่อคำขอที่ถูกปฏิเสธซึ่งจะทำให้การแมปไม่สะดวกขึ้นสำหรับผู้โจมตี

สิ่งที่สำคัญที่สุดสำหรับฉันในบันทึกของคำถามของคุณคือคุณสามารถล็อค SSH, ICMP, และบริการภายในอื่น ๆ ลงในเครือข่ายย่อยในท้องถิ่นรวมถึงอัตราการ จำกัด การเชื่อมต่อขาเข้าเพื่อช่วยบรรเทาการโจมตีของ DOS

"จุดรักษาความปลอดภัยไม่ใช่เพื่อปกป้องตัวคุณเองหลังจากการโจมตีที่ประสบความสำเร็จ - ซึ่งพิสูจน์แล้วว่าเป็นไปไม่ได้ - มันคือการทำให้ผู้โจมตีเข้ามามีส่วนร่วมในตอนแรก"

ฉันไม่เห็นด้วย. การจำกัดความเสียหายอาจสำคัญเช่นกัน (ภายใต้อุดมคตินี้ทำไมรหัสผ่านแฮชหรือติดซอฟต์แวร์ฐานข้อมูลของคุณบนเซิร์ฟเวอร์ที่แตกต่างจากเว็บแอปพลิเคชันของคุณ) ฉันคิดว่าคำพูดเดิม ๆ ที่ว่า "อย่าติดไข่ทั้งหมดในตะกร้าเดียว" ใช้ได้ที่นี่


1
คุณพูดถูกฉันไม่ได้ใส่อะไรลงไปเลย จุดด้อย: เพิ่มความซับซ้อนของเครือข่าย, จุดล้มเหลวเดียว, เครือข่ายอินเทอร์เฟซเดียวผ่านแบนด์วิดท์ที่มีปัญหาคอขวด เช่นเดียวกันข้อผิดพลาดด้านการดูแลระบบที่ทำบนไฟร์วอลล์เดียวสามารถฆ่าเครือข่ายทั้งหมดของคุณได้ และเทพห้ามมิให้คุณล็อคตัวเองออกจากมันในขณะเดียวกันเมื่อเดินทางไปยังห้องเซิร์ฟเวอร์ 20 นาที
เออร์นี่

1
นี่อาจเป็นเพียงการโวหาร แต่เมื่อคุณพูดว่า "ความปลอดภัยเป็นเรื่องของการตั้งค่าการปิดล้อมทั้งหมดที่คุณสามารถทำได้" ฉันอยากได้ยิน "การรักษาความปลอดภัยเป็นเรื่องเกี่ยวกับการปิดกั้นทุกอย่างเป็นค่าเริ่มต้น
MatthieuP

+1 แผนความปลอดภัยที่ครอบคลุมครอบคลุมการป้องกันการตรวจจับและการตอบสนอง
จิม OHalloran

8

Should I firewall my server?คำถามที่ดี. ดูเหมือนว่ามีจุดเล็กน้อยที่จะตบไฟร์วอลล์ที่ด้านบนของสแต็กเครือข่ายที่ปฏิเสธการพยายามเชื่อมต่อไปแล้วทั้งหมด แต่พอร์ตจำนวนหนึ่งที่เปิดได้อย่างถูกกฎหมาย หากมีช่องโหว่ในระบบปฏิบัติการที่อนุญาตให้แพ็คเก็ตที่ออกแบบมาเพื่อประสงค์ร้ายรบกวน / ใช้ประโยชน์จากโฮสต์ไฟร์วอลล์ที่ทำงานบนโฮสต์เดียวกันนั้นจะป้องกันการโจมตีดังกล่าวหรือไม่ ดีอาจจะ ...

และนั่นอาจเป็นเหตุผลที่แข็งแกร่งที่สุดในการใช้งานไฟร์วอลล์ในทุกโฮสต์: ไฟร์วอลล์อาจป้องกันช่องโหว่ของเครือข่ายจากการถูกโจมตี นั่นเป็นเหตุผลที่แข็งแกร่งเพียงพอหรือไม่ ฉันไม่รู้ แต่ฉันคิดว่าจะมีคนพูดว่า "ไม่มีใครถูกไล่ออกเพราะติดตั้งไฟร์วอลล์"

อีกเหตุผลหนึ่งในการเรียกใช้ไฟร์วอลล์บนเซิร์ฟเวอร์คือการแยกข้อกังวลสองข้อที่มีความสัมพันธ์อย่างมากออกจากกัน:

  1. ฉันจะยอมรับการเชื่อมต่อได้จากที่ไหนและไปที่พอร์ตใด
  2. บริการใดที่ใช้งานอยู่และกำลังฟังการเชื่อมต่ออยู่

หากไม่มีไฟร์วอลล์ชุดของบริการที่ทำงานอยู่ (พร้อมกับการกำหนดค่าสำหรับ tcpwrappers และอื่น ๆ ) จะกำหนดชุดพอร์ตที่เซิร์ฟเวอร์จะเปิดและจะยอมรับการเชื่อมต่อจากใคร ไฟร์วอลล์ที่ใช้โฮสต์ให้ความยืดหยุ่นเพิ่มเติมแก่ผู้ดูแลระบบในการติดตั้งและทดสอบบริการใหม่ในวิธีการควบคุมก่อนที่จะให้บริการอย่างกว้างขวางยิ่งขึ้น หากไม่ต้องการความยืดหยุ่นดังกล่าวแสดงว่ามีเหตุผลน้อยกว่าในการติดตั้งไฟร์วอลล์บนเซิร์ฟเวอร์

ในบันทึกสุดท้ายมีหนึ่งรายการที่ไม่ได้กล่าวถึงในรายการตรวจสอบการรักษาความปลอดภัยของคุณที่ฉันมักจะเพิ่มและที่เป็นโฮสต์ที่ใช้ระบบตรวจจับการบุกรุก (HIDS) เช่นAIDEหรือSamhain HIDS ที่ดีทำให้ผู้บุกรุกสามารถทำการเปลี่ยนแปลงระบบที่ไม่พึงประสงค์ได้ยากและไม่ถูกตรวจพบ ฉันเชื่อว่าเซิร์ฟเวอร์ทั้งหมดควรใช้ HIDS บางประเภท


1
+1 สำหรับการกล่าวถึงระบบ HIDS
Sam Halicke

3
HIDS ยอดเยี่ยม - หากคุณตั้งใจจะตั้งและลืมมัน และไม่เคยเพิ่มหรือลบบัญชี ไม่เช่นนั้นบันทึก HIDS ส่วนใหญ่จะเป็นรายการที่ยาวนานของสิ่งที่คุณทำในวันนี้และท้ายที่สุดจะถูกเพิกเฉยตลอดเวลา
เออร์นี่

ไม่มีความเจ็บปวดไม่มีกำไรเหมือนที่พวกเขาพูด บนเซิร์ฟเวอร์ที่มีการเปลี่ยนแปลงมากมายคุณสามารถกรองสัญญาณรบกวนที่คาดไว้ทำให้คุณมีสมาธิกับสิ่งที่ไม่คาดคิด
Steven วันจันทร์ที่

6

ไฟร์วอลล์เป็นเครื่องมือ มันไม่ได้ทำให้สิ่งต่าง ๆ ปลอดภัยและอยู่ในตัวของมันเอง แต่มันสามารถสร้างผลงานเป็นเลเยอร์ในเครือข่ายที่ปลอดภัย นั่นไม่ได้หมายความว่าคุณต้องการและฉันก็กังวลเกี่ยวกับคนที่สุ่มสี่สุ่มห้าพูดว่า "ฉันต้องได้รับไฟร์วอลล์" โดยไม่เข้าใจว่าทำไมพวกเขาถึงคิดอย่างนั้นและผู้ที่ไม่เข้าใจจุดแข็งและจุดอ่อนของไฟร์วอลล์

มีเครื่องมือมากมายที่เราสามารถพูดได้ว่าเราไม่ต้องการ ... มันเป็นไปได้ไหมที่จะเรียกใช้คอมพิวเตอร์ Windows ที่ไม่มี Antivirus? ใช่มันคือ ... แต่เป็นชั้นประกันที่ดีที่จะมีหนึ่ง

ฉันจะพูดแบบเดียวกันกับไฟร์วอลล์ - ไม่ว่าคุณจะพูดอะไรเกี่ยวกับพวกเขาพวกเขาเป็นประกันที่ดี พวกเขาไม่ได้ใช้แทนการปะแก้, ล็อคเครื่อง, ปิดการใช้งานบริการที่คุณไม่ได้ใช้, เข้าสู่ระบบ, ฯลฯ ... แต่มันอาจเป็นส่วนเสริมที่มีประโยชน์

ฉันยังแนะนำว่าการเปลี่ยนแปลงสมการค่อนข้างขึ้นอยู่กับว่าคุณกำลังพูดถึงการวางไฟร์วอลล์ไว้หน้ากลุ่มของเซิร์ฟเวอร์ที่มีการดูแลอย่างระมัดระวังอย่างที่คุณดูเหมือนจะเป็นหรือ LAN ทั่วไปที่มีเวิร์กสเตชันและเซิร์ฟเวอร์ผสมกัน บางอย่างอาจมีบางสิ่งที่น่ารักแม้จะมีความพยายามและความปรารถนาดีที่สุดจากทีมไอที

อีกสิ่งที่ควรพิจารณาคือประโยชน์ของการสร้างเป้าหมายที่ชัดเจนขึ้น การรักษาความปลอดภัยที่มองเห็นได้ไม่ว่าจะเป็นไฟสว่างล็อคหนักและกล่องสัญญาณเตือนที่ชัดเจนในอาคาร หรือไฟร์วอลล์ที่ชัดเจนเกี่ยวกับที่อยู่ IP ของธุรกิจสามารถยับยั้งผู้บุกรุกทั่วไป - พวกเขาจะไปหาเหยื่อได้ง่ายขึ้น สิ่งนี้จะไม่ขัดขวางผู้บุกรุกที่ตั้งใจรู้ว่าคุณมีข้อมูลที่พวกเขาต้องการและมุ่งมั่นที่จะรับมัน แต่การสกัดกั้นผู้บุกรุกที่ไม่เป็นทางการนั้นยังคงคุ้มค่า - โดยเฉพาะอย่างยิ่งถ้าคุณรู้ว่าผู้บุกรุกที่มีโพรบ .


1
ดังนั้นเหตุผลที่ฉันพูดว่า "เซิร์ฟเวอร์" แทน "เครือข่ายสำนักงาน"? :) ในกรณีของเราโดยเฉพาะดาต้าเซ็นเตอร์และสำนักงานเป็นสองหน่วยงานที่แยกจากกัน
เออร์นี่

ฉันเข้าใจว่าเออร์นี่ แต่มันเป็นจุดที่ควรค่ากับการขีดเส้นใต้ ... ดังนั้นฉันจึงทำ
Rob Moir

5

ทุกคำถามที่ดี แต่ - ฉันประหลาดใจมาก PERFORMANCE ไม่ได้ถูกนำไปที่โต๊ะ

สำหรับหน้าเว็บที่ใช้ CPU (ฉลาด) ปลายไฟร์วอลล์ท้องถิ่นลดประสิทธิภาพระยะเวลา ลองทดสอบโหลดและดู ฉันเห็นครั้งนี้มากมาย การปิดไฟร์วอลล์เพิ่มประสิทธิภาพ (การร้องขอต่อวินาที) 70% หรือมากกว่า

การแลกเปลี่ยนนี้จะต้องได้รับการพิจารณา


2
ขึ้นอยู่กับกฎของไฟร์วอลล์เป็นอย่างมาก กฎไฟร์วอลล์จะทำงานตามลำดับในทุกแพ็กเก็ตดังนั้นคุณไม่ต้องการมีกฎหลายร้อยรายการที่ต้องดู ฤดูหนาวที่แล้วเมื่อเราจัดการไซต์ที่มีโฆษณาบน superbowl กฎของไฟร์วอลล์ก็ไม่ได้มีปัญหาเช่น แต่ฉันยอมรับว่าคุณต้องเข้าใจถึงผลกระทบด้านประสิทธิภาพของกฎไฟร์วอลล์
Sean Reifschneider

4

ไฟร์วอลล์คือการป้องกันเพิ่มเติม สถานการณ์ที่เฉพาะเจาะจงสามประการที่ป้องกันได้คือการโจมตีเครือข่ายสแต็ค (เช่นเซิร์ฟเวอร์ระบบปฏิบัติการของคุณมีช่องโหว่สำหรับแพ็คเก็ตที่ออกแบบมาเป็นพิเศษซึ่งไม่ถึงระดับพอร์ต) การบุกรุกที่ประสบความสำเร็จทำให้การเชื่อมต่อกับ "โทรศัพท์บ้าน" (หรือส่งสแปม ) หรือการบุกรุกที่ประสบความสำเร็จในการเปิดพอร์ตเซิร์ฟเวอร์หรือตรวจจับได้น้อยกว่าให้ดูลำดับการเคาะพอร์ตก่อนเปิดพอร์ต จริงอยู่ที่ทั้งสองต้องเกี่ยวข้องกับการบรรเทาความเสียหายของการบุกรุกมากกว่าการป้องกัน แต่ไม่ได้หมายความว่ามันไร้ประโยชน์ โปรดจำไว้ว่าความปลอดภัยไม่ใช่ข้อเสนอทั้งหมดหรืออะไรก็ตาม เราใช้วิธีการแบบเลเยอร์, ​​เข็มขัดและสายแขวนเพื่อให้ได้ระดับความปลอดภัยที่เพียงพอสำหรับความต้องการของคุณ


+1 แน่นอนการป้องกันในเชิงลึกเป็นกุญแจสำคัญ
จิม OHalloran

2
ฉันไม่เห็นว่าฉันจะมีความคาดหวังในการบล็อกทราฟฟิกขาออกไปยังผลกระทบใด ๆ โดยเฉพาะอย่างยิ่งเมื่อลูกค้าของเราคาดหวังว่าเซิร์ฟเวอร์จำนวนมากของเราที่จะส่งอีเมลไปยังโฮสต์สุ่มบนอินเทอร์เน็ต "การโทรกลับบ้าน" เป็นเพียงเรื่องของการเชื่อมต่อกับโฮสต์สุ่มอื่น ๆ บนเน็ต - และฉันสงสัยว่าการปิดกั้นการเชื่อมต่อขาออกทั้งหมดจะช่วยอะไรสองสามอย่างนั่นคือถ้าคุณต้องการทำอะไรบนอินเทอร์เน็ต และการบล็อกเพียงไม่กี่พอร์ตก็เหมือนกับการตั้งค่าตู้เก็บค่าผ่านทางกลางทะเลทราย
เออร์นี่

3

ฉันไม่มีผู้เชี่ยวชาญด้านความปลอดภัย แต่อย่างใดดูเหมือนว่าคุณเป็นไฟร์วอลล์ ดูเหมือนว่าคุณได้ใช้ฟังก์ชั่นหลักของไฟร์วอลล์และทำให้มันเป็นส่วนหนึ่งของนโยบายและขั้นตอนการทำงานของคุณ ไม่คุณไม่จำเป็นต้องใช้ไฟร์วอลล์หากคุณจะทำงานเช่นเดียวกับไฟร์วอลล์ด้วยตัวคุณเอง สำหรับตัวฉันเองฉันควรจะทำอย่างดีที่สุดในการรักษาความปลอดภัย แต่ให้ไฟร์วอลล์มองข้ามไหล่ของฉัน แต่เมื่อถึงจุดหนึ่งเมื่อคุณสามารถทำทุกอย่างที่ไฟร์วอลล์ทำอยู่มันจะเริ่มไม่เกี่ยวข้อง


3

ไฟร์วอลล์ไม่จำเป็นสำหรับการตั้งค่าขนาดเล็กอย่างแน่นอน หากคุณมีเซิร์ฟเวอร์หนึ่งหรือสองเซิร์ฟเวอร์ซอฟต์แวร์ไฟร์วอลล์นั้นสามารถดูแลรักษาได้ จากที่กล่าวมาเราไม่ได้ทำงานหากไม่มีไฟร์วอลล์เฉพาะและมีเหตุผลบางประการที่ฉันรักษาปรัชญานี้ไว้:

การแยกบทบาท

เซิร์ฟเวอร์สำหรับการใช้งาน ไฟร์วอลล์ใช้สำหรับการตรวจสอบแพ็คเก็ตกรองและนโยบาย เว็บเซิร์ฟเวอร์ควรกังวลเกี่ยวกับการแสดงหน้าเว็บ การใส่ทั้งสองบทบาทไว้ในอุปกรณ์เดียวก็เหมือนกับการขอให้บัญชีของคุณเป็นเจ้าหน้าที่รักษาความปลอดภัยด้วยเช่นกัน

ซอฟต์แวร์เป็นเป้าหมายเคลื่อนที่

ซอฟต์แวร์บนโฮสต์เปลี่ยนแปลงตลอดเวลา แอปพลิเคชันสามารถสร้างข้อยกเว้นไฟร์วอลล์ของตนเอง ระบบปฏิบัติการได้รับการปรับปรุงและแก้ไข เซิร์ฟเวอร์เป็นพื้นที่ "ผู้ดูแลระบบ" ที่มีการรับส่งข้อมูลสูงและนโยบายไฟร์วอลล์ / นโยบายความปลอดภัยมักมีความสำคัญต่อความปลอดภัยมากกว่าการกำหนดค่าแอปพลิเคชันของคุณ ในระบบ Windows สมมติว่ามีบางคนทำผิดพลาดในระดับนโยบายกลุ่มและปิด Windows Firewall บนพีซีเดสก์ท็อปและไม่ทราบว่าจะมีการนำไปใช้กับเซิร์ฟเวอร์ คุณเปิดกว้างในเรื่องของการคลิก

เพียงแค่พูดถึงการอัปเดตการอัปเดตเฟิร์มแวร์ของไฟร์วอลล์มักจะออกมาปีละครั้งหรือสองครั้งในขณะที่ระบบปฏิบัติการและการอัปเดตบริการเป็นกระแสที่คงที่

บริการ / นโยบาย / กฎนำมาใช้ใหม่ความสามารถในการจัดการ

ถ้าฉันตั้งค่าบริการ / นโยบายที่เรียกว่า "เว็บเซิร์ฟเวอร์" หนึ่งครั้ง (พูด TCP 80 และ TCP 443) และใช้กับ "เว็บเซิร์ฟเวอร์กลุ่ม" ที่ระดับไฟร์วอลล์นั่นมีประสิทธิภาพมากกว่า (การเปลี่ยนแปลงการกำหนดค่าสองสามอย่าง) และมีแนวโน้มที่จะเกิดข้อผิดพลาดจากมนุษย์น้อยกว่าการตั้งค่าบริการไฟร์วอลล์ในกล่อง 10 กล่องและเปิดพอร์ต 2 พอร์ต x 10 ครั้ง เมื่อนโยบายนั้นจำเป็นต้องเปลี่ยนแปลงจะมีการเปลี่ยนแปลง 1 ครั้งกับ 10

ฉันยังคงสามารถจัดการไฟร์วอลล์ในระหว่างการโจมตีหรือหลังจากการประนีประนอม

สมมติว่าไฟร์วอลล์ + เซิร์ฟเวอร์แอปพลิเคชันของฉันกำลังถูกโจมตีและ CPU ปิดแผนภูมิ ในการที่จะเริ่มคิดว่าเกิดอะไรขึ้นฉันอยู่ในความเมตตาของการโหลดของฉันที่น้อยกว่าผู้โจมตีที่จะเข้ามาและมองมัน

ประสบการณ์จริง - ฉันเคยทำกฎไฟร์วอลล์ (ทิ้งพอร์ตไว้ที่ใดก็ได้แทนที่จะเป็นเซิร์ฟเวอร์เฉพาะและเซิร์ฟเวอร์มีบริการที่มีช่องโหว่) และผู้โจมตีมีเซสชันเดสก์ท็อประยะไกลที่ทำงานอยู่จริง ทุกครั้งที่ฉันเริ่มเซสชันผู้โจมตีจะฆ่า / ยกเลิกการเชื่อมต่อเซสชันของฉัน หากไม่สามารถปิดการโจมตีนั้นได้จากอุปกรณ์ไฟร์วอลล์อิสระนั่นอาจเลวร้ายลงมาก

การตรวจสอบอิสระ

การเข้าสู่หน่วยไฟร์วอลล์เฉพาะนั้นมักจะเหนือกว่าซอฟต์แวร์ไฟร์วอลล์แบบโฮสต์ มีบางอย่างที่ดีพอที่คุณไม่ต้องการแม้แต่ซอฟต์แวร์การตรวจสอบ SNMP / NetFlow ภายนอกเพื่อให้ได้ภาพที่แม่นยำ

การอนุรักษ์ IPv4

ไม่มีเหตุผลที่จะต้องมีที่อยู่ IP สองแห่งหากที่อยู่นั้นมีไว้สำหรับเว็บและที่อยู่หนึ่งแห่งสำหรับจดหมาย เก็บบริการไว้ในกล่องแยกต่างหากและจัดเส้นทางพอร์ตอย่างเหมาะสมผ่านอุปกรณ์ที่ออกแบบมาเพื่อทำเช่นนั้น


2

Blockquote เอาล่ะคุณพูดถูกฉันไม่ได้ใส่อะไรลงไปเลย จุดด้อย: เพิ่มความซับซ้อนของเครือข่าย, จุดล้มเหลวเดียว, เครือข่ายอินเทอร์เฟซเดียวผ่านแบนด์วิดท์ที่มีปัญหาคอขวด เช่นเดียวกันข้อผิดพลาดด้านการดูแลระบบที่ทำบนไฟร์วอลล์เดียวสามารถฆ่าเครือข่ายทั้งหมดของคุณได้ และเทพห้ามมิให้คุณล็อคตัวเองออกจากมันในระหว่างนี้เมื่อเดินทางไปยังห้องเซิร์ฟเวอร์ 20 นาที

ก่อนอื่นการเพิ่มการส่งข้ามเส้นทางที่เพิ่มขึ้นอย่างน้อยหนึ่งครั้งผ่านเครือข่ายของคุณนั้นไม่ซับซ้อน ประการที่สองไม่มีการแก้ปัญหาไฟร์วอลล์ที่ดำเนินการกับจุดความล้มเหลวใด ๆ เช่นเดียวกับที่คุณจัดกลุ่มเซิร์ฟเวอร์หรือบริการที่สำคัญและใช้ NIC ที่ถูกผูกมัดคุณจะใช้ไฟร์วอลล์ที่มีความพร้อมใช้งานสูง ไม่ทำเช่นนั้นหรือจำไม่ได้และรู้ว่าคุณทำอย่างนั้นสายตาสั้นมาก เพียงแค่ระบุว่ามีอินเทอร์เฟซเดียวไม่ทำให้สิ่งที่เป็นคอขวดโดยอัตโนมัติ การยืนยันดังกล่าวแสดงให้เห็นว่าคุณไม่ทราบวิธีการวางแผนและปรับใช้ไฟร์วอลล์อย่างเหมาะสมเพื่อรองรับปริมาณข้อมูลที่ไหลผ่านเครือข่ายของคุณ คุณถูกต้องในการบอกว่าข้อผิดพลาดในนโยบายอาจก่อให้เกิดอันตรายต่อเครือข่ายทั้งหมดของคุณ แต่ฉันขอยืนยันว่าการรักษานโยบายส่วนบุคคลในเซิร์ฟเวอร์ทั้งหมดของคุณนั้นมีข้อผิดพลาดมากกว่าที่เกิดขึ้นเพียงครั้งเดียว

สำหรับอาร์กิวเมนต์ที่คุณติดตามการรักษาความปลอดภัยและปฏิบัติตามคำแนะนำการรักษาความปลอดภัย; นั่นเป็นข้อโต้แย้งที่สั่นคลอนที่สุด โดยทั่วไปจะไม่มีแพตช์รักษาความปลอดภัยจนกว่าจะพบช่องโหว่ นั่นหมายความว่าตลอดเวลาที่คุณใช้เซิร์ฟเวอร์ที่สามารถระบุได้แบบสาธารณะจะมีช่องโหว่จนกว่าจะได้รับการแก้ไข ดังที่คนอื่น ๆ ระบุไว้ระบบ IPS สามารถช่วยป้องกันการโจมตีจากช่องโหว่ดังกล่าวได้

หากคุณคิดว่าระบบของคุณปลอดภัยเท่าที่ควรจะเป็นนั่นเป็นความมั่นใจที่ดี อย่างไรก็ตามฉันขอแนะนำให้คุณทำการตรวจสอบความปลอดภัยอย่างมืออาชีพในเครือข่ายของคุณ มันอาจเปิดตาของคุณ


It may just open your eyes.+1 เนื่องจากมันจะเป็นเล็บสุดท้ายในโลงศพ
sjas

2

โดยทั่วไปแล้วการรักษาความปลอดภัยเป็นเรื่องหอมหัวใหญ่อย่างที่ได้กล่าวไปแล้ว มีเหตุผลไฟร์วอลล์อยู่และไม่ใช่แค่ส่วนอื่น ๆ ทั้งหมดที่เป็นปัญญาอ่อนโง่

คำตอบนี้มาเนื่องจากการค้นหา 'fail2ban' ในหน้านี้ไม่ได้ให้ผลลัพธ์ใด ๆ แก่ฉัน ดังนั้นถ้าฉันเพิ่มเนื้อหาเป็นสองเท่าให้อดทนกับฉัน และขอโทษด้วยถ้าฉันคุยโวเล็กน้อยฉันจะให้ประสบการณ์ที่เรียบง่ายเพราะอาจเป็นประโยชน์กับคนอื่น :)

ข้อควรพิจารณาเกี่ยวกับระบบเครือข่ายท้องถิ่นและภายนอก

นี่เป็นลินุกซ์ที่เฉพาะเจาะจงและมุ่งเน้นไปที่ไฟร์วอลล์ที่ใช้โฮสต์ซึ่งมักจะเป็นกรณีการใช้งาน ไฟร์วอลภายนอกเข้ากันพร้อมกับโครงสร้างเครือข่ายที่เหมาะสมและข้อควรพิจารณาด้านความปลอดภัยอื่น ๆ ไม่ว่าคุณจะรู้ว่าสิ่งใดที่บอกเป็นนัยถึงที่นี่คุณอาจไม่ต้องการโพสต์นี้ มิฉะนั้นคุณก็อ่านต่อไป

การเรียกใช้ไฟร์วอลล์ภายนอกและในพื้นที่อาจดูเหมือนทำงานง่ายและทำงานซ้ำได้ แต่สิ่งนี้ยังทำให้เกิดความเป็นไปได้ของกฎในกฎภายนอกโดยไม่กระทบต่อความปลอดภัยของโฮสต์อื่น ๆ ที่อยู่เบื้องหลัง ความต้องการอาจเกิดขึ้นจากเหตุผลในการดีบั๊กหรือเพราะใครบางคนเพิ่งจะยอมแพ้ อีกกรณีการใช้งานจะลงมาที่นี่ในส่วน 'ไฟร์วอลล์ทั่วโลกแบบปรับตัวได้' ซึ่งคุณจะต้องใช้ไฟร์วอลล์ทั้งในระดับโลกและในระดับท้องถิ่น

ค่าใช้จ่ายและความพร้อมและเรื่องราวเดียวกันตลอดเวลา:

ไฟร์วอลล์เป็นเพียงส่วนหนึ่งของระบบความปลอดภัยที่เหมาะสม ไม่ได้ติดตั้งไฟร์วอลล์เพราะเป็นเงิน 'ค่าใช้จ่าย' แนะนำ SPOF หรืออะไรก็ตามที่เป็นแค่เรื่องเหลวไหลให้อภัยภาษาฝรั่งเศสของฉันที่นี่ เพียงแค่ติดตั้งคลัสเตอร์ โอ้ แต่เกิดอะไรขึ้นถ้าเซลล์ไฟมีไฟดับ? จากนั้นตั้งค่าคลัสเตอร์ของคุณโดยการแบ่งช่องไฟสองช่องขึ้นไป

แต่ถ้าศูนย์ข้อมูลทั้งหมดไม่สามารถเข้าถึงได้เนื่องจากผู้ให้บริการภายนอกทั้งสองอยู่นอกธุรกิจ (เครื่องขุดทำลายไฟเบอร์ของคุณ) เพียงทำให้คลัสเตอร์ของคุณครอบคลุมดาต้าเซ็นเตอร์หลายแห่ง

นั่นแพงไหม กลุ่มซับซ้อนเกินไปหรือไม่ ต้องจ่ายค่าความหวาดระแวงด้วย

เพียงแค่คร่ำครวญเกี่ยวกับ SPOF แต่ไม่ต้องการจ่ายเงินมากขึ้นหรือสร้างการตั้งค่าที่ซับซ้อนขึ้นเล็กน้อยเป็นกรณีที่ชัดเจนของมาตรฐานสองเท่าหรือเพียงแค่กระเป๋าเงินขนาดเล็กใน บริษัท หรือลูกค้า

รูปแบบนี้ใช้กับการสนทนาทั้งหมดนี้ไม่ว่าการบริการใดเป็นเรื่องปัจจุบันของวัน ไม่ว่าจะเป็นเกตเวย์ VPN, Cisco ASA ใช้สำหรับไฟร์วอลล์, ฐานข้อมูล MySQL หรือ PostgreSQL, ระบบเสมือนหรือฮาร์ดแวร์เซิร์ฟเวอร์, พื้นที่เก็บข้อมูลส่วนหลัง, สวิตช์ / เราเตอร์, ...

โดยตอนนี้คุณควรจะได้รับความคิด

ทำไมต้องกังวลกับไฟร์วอลล์?

ในทางทฤษฎีเหตุผลของคุณคือเสียง (สามารถใช้ประโยชน์จากบริการที่เรียกใช้เท่านั้น)

แต่นี่เป็นความจริงเพียงครึ่งเดียว การทำไฟร์วอลล์โดยเฉพาะอย่างยิ่งการกำหนดสถานะไฟร์วอลล์สามารถทำสิ่งต่างๆให้คุณได้มากกว่า ไฟร์วอลล์ไร้สัญชาตินั้นมีความสำคัญหากคุณประสบปัญหาเรื่องประสิทธิภาพเช่นเดียวกับที่คนอื่น ๆ พูดถึงแล้ว

ควบคุมการเข้าถึงได้ง่ายกลางและไม่ต่อเนื่อง

คุณพูดถึง TCP wrappers ซึ่งใช้งานฟังก์ชั่นเดียวกันในการรักษาความปลอดภัยของคุณ เพื่อเหตุผลของการโต้แย้งสมมติว่ามีคนไม่รู้จักtcpdและชอบใช้เมาส์? fwbuilderอาจเข้ามาในใจ

การเข้าถึงแบบเต็มรูปแบบจากเครือข่ายการจัดการของคุณเป็นสิ่งที่คุณควรเปิดใช้งานซึ่งเป็นกรณีการใช้งานครั้งแรกของไฟร์วอลล์ที่ใช้โฮสต์ของคุณ

วิธีการเกี่ยวกับการตั้งค่าเซิร์ฟเวอร์หลายที่ฐานข้อมูลทำงานที่อื่นและคุณไม่สามารถใส่ทั้ง / เครื่องทั้งหมดในเครือข่ายย่อย (ส่วนตัว) ที่ใช้ร่วมกันด้วยเหตุผลใด? ใช้ไฟร์วอลล์เพื่ออนุญาตให้เข้าถึง MySQL บนพอร์ต 3306 เท่านั้นสำหรับที่อยู่ IP ที่กำหนดของเซิร์ฟเวอร์อื่นทำได้ง่าย

และยังใช้งานได้อย่างไม่มีที่ติสำหรับ UDP หรือโปรโตคอลอะไรก็ได้ ไฟร์วอลล์สามารถยืดหยุ่นได้ ;)

บรรเทาพอร์ต

นอกจากนี้ด้วยการไฟร์วอลล์ไฟร์วอลล์สามารถสแกนและลดขนาดพอร์ตทั่วไปได้เนื่องจากจำนวนการเชื่อมต่อต่อครั้งที่สามารถตรวจสอบได้ผ่านเคอร์เนลและเครือข่ายสแต็กและไฟร์วอลล์สามารถทำหน้าที่นั้นได้

นอกจากนี้ยังสามารถจัดการแพ็คเก็ตที่ไม่ถูกต้องหรือคลุมเครือก่อนที่จะถึงแอพพลิเคชันของคุณ

การ จำกัด การรับส่งข้อมูลขาออก

การกรองทราฟฟิกขาออกมักเป็นความเจ็บปวดในตูด แต่มันอาจจะต้องขึ้นอยู่กับสัญญา

สถิติ

อีกสิ่งหนึ่งที่ไฟร์วอลล์สามารถมอบให้คุณได้คือสถิติ (คิดว่าwatch -n1 -d iptables -vnxL INPUTต้องเพิ่มกฎบางอย่างสำหรับที่อยู่ IP พิเศษด้านบนเพื่อดูว่าแพ็คเก็ตกำลังจะผ่านมาหรือไม่)

คุณสามารถเห็นได้ในเวลากลางวันถ้าสิ่งต่าง ๆ ทำงานหรือพวกเขาไม่ได้ ซึ่งจะเป็นประโยชน์อย่างมากเมื่อการแก้ไขปัญหาการเชื่อมต่อและความสามารถในการที่จะบอกคนอื่น ๆ บนโทรศัพท์ที่คุณไม่ได้รับแพ็คเก็ตโดยไม่ต้องหันไปช่างพูดtcpdump's ระบบเครือข่ายเป็นเรื่องสนุกคนส่วนใหญ่เพิ่งรู้ว่าพวกเขากำลังทำอะไรและบ่อยครั้งที่มันเป็นเพียงข้อผิดพลาดในการเราต์ที่ง่าย แม้ฉันจะไม่รู้ว่าฉันกำลังทำอะไรอยู่ แม้ว่าฉันจะได้ทำงานกับระบบและเครื่องใช้ที่ซับซ้อนหลายสิบตัว แต่บ่อยครั้งที่มีการขุดอุโมงค์ด้วยเช่นกันตอนนี้

IDS / IPS

ไฟร์วอลล์แบบ Layer7 มักจะเป็นงูน้ำมัน (IPS / IDS) หากไม่ได้เข้าร่วมอย่างถูกต้องและอัพเดตเป็นประจำ นอกจากนี้ใบอนุญาตยังมีราคาแพงมากฉันเลยขอซื้อถ้าคุณไม่มีความต้องการที่จะรับเงินทุกอย่างสามารถซื้อให้คุณได้

Masqerading

ง่ายเพียงแค่ลองใช้สิ่งห่อหุ้มของคุณ : D

การส่งต่อพอร์ตท้องถิ่น

ดูการปลอมตัว

การรักษาความปลอดภัยช่องทางการเข้าถึงรหัสผ่านด้วยที่อยู่ IP แบบไดนามิก

จะเป็นอย่างไรถ้าลูกค้ามีที่อยู่ IP แบบไดนามิกและไม่มีการตั้งค่า VPN ที่ปรับใช้ หรือวิธีการแบบไดนามิกอื่น ๆ เพื่อไฟร์วอลล์? นี่เป็นคำใบ้ในคำถามแล้วและนี่จะเป็นกรณีการใช้งานสำหรับขออภัยฉันไม่พบไฟร์วอลล์ที่ทำเช่นนั้น ส่วนหนึ่ง

จำเป็นต้องปิดการใช้งานบัญชีรูทด้วยรหัสผ่าน แม้ว่าการเข้าถึงจะ จำกัด เฉพาะที่อยู่ IP บางแห่ง

นอกจากนี้ยังมีบัญชี blanko อีกบัญชีพร้อมรหัสผ่านหากคีย์ ssh สูญหายหรือการปรับใช้ล้มเหลวมีประโยชน์มากถ้ามีบางอย่างผิดปกติ (ผู้ใช้มีสิทธิ์การเข้าถึงของผู้ดูแลระบบและ 'สิ่งที่เกิดขึ้น') มันเป็นแนวคิดเดียวกันสำหรับการเข้าถึงเครือข่ายเนื่องจากมันมีโหมดผู้ใช้คนเดียวบน Linux หรือการใช้งานinit=/bin/bashผ่านgrubการเข้าถึงในท้องถิ่นนั้นแย่มากจริงๆและไม่สามารถใช้ดิสก์สดได้ไม่ว่าด้วยเหตุผลใด อย่าหัวเราะมีผลิตภัณฑ์เวอร์ชวลไลเซชันห้ามมิให้ แม้ว่าจะมีฟังก์ชั่นอยู่แล้วจะเกิดอะไรขึ้นถ้าซอฟต์แวร์รุ่นที่ล้าสมัยนั้นขาดฟังก์ชั่น

อย่างไรก็ตามแม้ว่าคุณจะเรียกใช้ ssh daemon ของคุณในพอร์ตลึกลับบางอย่างและไม่ใช่ในวันที่ 22 หากไม่ได้ใช้งานสิ่งต่าง ๆ เช่นการเคาะพอร์ต (เพื่อเปิดพอร์ตอื่นและทำให้พอร์ตสแกนลดลงอย่างช้าๆ บริการในที่สุด

โดยปกติคุณจะตั้งค่าเซิร์ฟเวอร์ทั้งหมดด้วยการกำหนดค่าเดียวกันด้วยพอร์ตและบริการเดียวกันด้วยเหตุผลด้านประสิทธิภาพ คุณไม่สามารถตั้งค่า ssh ไปยังพอร์ตอื่นในทุกเครื่อง นอกจากนี้คุณไม่สามารถเปลี่ยนได้ในทุกเครื่องทุกครั้งที่คุณพิจารณาว่าเป็นข้อมูล 'สาธารณะ' เพราะมันเกิดขึ้นหลังจากการสแกนแล้ว คำถามของnmapการถูกกฎหมายหรือไม่ไม่ใช่ปัญหาเมื่อมีการเชื่อมต่อ Wi-Fi ที่ถูกแฮ็ก

หากบัญชีนี้ไม่ได้ชื่อว่า 'รูท' คนอาจไม่สามารถเดาชื่อบัญชีผู้ใช้ของ 'แบ็คดอร์' ของคุณได้ แต่พวกเขาจะรู้ว่าหากพวกเขาได้รับเซิร์ฟเวอร์อื่นจาก บริษัท ของคุณหรือเพียงแค่ซื้อพื้นที่เว็บและมีการดูที่/etc/passwdไม่ได้รับการยืนยัน

สำหรับภาพประกอบเชิงทฤษฎีในตอนนี้พวกเขาสามารถใช้เว็บไซต์ที่แฮ็กได้ที่นั่นเพื่อเข้าถึงเซิร์ฟเวอร์ของคุณและค้นหาว่าสิ่งต่าง ๆ มักจะทำงานอยู่ที่สถานที่ของคุณ เครื่องมือค้นหาที่สับของคุณอาจไม่ทำงาน 24/7 (ปกติที่พวกเขาทำในเวลากลางคืนเพื่อเหตุผลด้านประสิทธิภาพในการสแกนดิสก์ระบบแฟ้ม?) และสแกนไวรัสของคุณไม่ได้อัปเดตที่สองใหม่ศูนย์วันเห็นแสงของวันจึงจะ ไม่พบสิ่งเหล่านี้ในทันทีและหากไม่มีมาตรการป้องกันอื่น ๆ คุณอาจไม่เคยรู้เลยว่าเกิดอะไรขึ้น เพื่อกลับสู่ความเป็นจริงถ้ามีคนเข้าถึงการหาประโยชน์แบบ zero-day มันเป็นไปได้มากที่เขาจะไม่กำหนดเป้าหมายเซิร์ฟเวอร์ของคุณเพราะสิ่งเหล่านี้มีราคาแพง นี่เป็นเพียงภาพประกอบเพื่ออธิบายว่ามีวิธีเข้าสู่ระบบเสมอหากความต้องการเกิดขึ้น

แต่ในหัวข้ออีกครั้งอย่าเพิ่งใช้บัญชีรหัสผ่านพิเศษและไม่ต้องกังวล โปรดอ่านต่อไป

แม้ว่าผู้โจมตีจะได้รับชื่อและพอร์ตของบัญชีพิเศษนี้การรวมกันfail2ban+ iptablesจะหยุดพวกเขาสั้น ๆ แม้ว่าคุณจะใช้รหัสผ่านแปดตัวอักษรเท่านั้น นอกจากนี้ fail2ban ยังสามารถนำไปใช้กับบริการอื่น ๆ ได้เช่นกันขยายขอบเขตการตรวจสอบ!

สำหรับบริการของคุณเองหากจำเป็นต้องเกิดขึ้น: โดยทั่วไปการบันทึกการบริการล้มเหลวไปยังไฟล์สามารถรับการสนับสนุน fail2ban ผ่านการให้บริการไฟล์ regex ที่จะจับคู่และจำนวนความล้มเหลวที่ได้รับอนุญาตและไฟร์วอลล์จะระงับทุกที่อยู่ IP จะบอกให้

ฉันไม่ได้บอกให้ใช้รหัสผ่าน 8 หลัก! แต่ถ้าพวกเขาถูกแบนเป็นเวลา 24 ชั่วโมงสำหรับรหัสผ่านที่ผิดพลาดห้าครั้งคุณสามารถเดาได้ว่าจะต้องใช้รหัสผ่านนานแค่ไหนหากพวกเขาไม่มีบอทเน็ตในการกำจัดแม้ว่าจะมีความปลอดภัยกับหมัด และคุณต้องการจะประหลาดใจในสิ่งที่รหัสผ่านที่ลูกค้ามักจะใช้ไม่เพียง sshแต่สำหรับ การได้ดูรหัสผ่านอีเมลของผู้คนผ่านPleskจะบอกทุกสิ่งที่คุณไม่อยากรู้ถ้าคุณเคยทำ แต่สิ่งที่ฉันไม่ได้พยายามบอกเป็นนัยถึงที่นี่ :)

การปรับเปลี่ยนไฟร์วอลล์ทั่วโลก

fail2banเป็นเพียงแอปพลิเคชั่นเดียวที่ใช้บางสิ่งบางอย่างตามแนวของiptables -I <chain_name> 1 -s <IP> -j DROPแต่คุณสามารถสร้างสิ่งต่าง ๆ ด้วยตัวเองด้วยเวทมนตร์ Bash บางอย่างรวดเร็ว

หากต้องการขยายบางสิ่งเช่นนี้เพิ่มเติมให้รวมที่อยู่ IP fail2ban ทั้งหมดจากเซิร์ฟเวอร์ภายในเครือข่ายของคุณบนเซิร์ฟเวอร์เพิ่มเติมซึ่งทำหน้าที่รวบรวมรายการทั้งหมดและส่งต่อไปยังไฟร์วอลล์หลักของคุณซึ่งปิดกั้นการรับส่งข้อมูลทั้งหมดที่อยู่บนเครือข่ายของคุณ

ฟังก์ชั่นดังกล่าวไม่สามารถขายได้ (แน่นอนว่ามันสามารถทำได้ แต่มันจะเป็นระบบที่เปราะบางและดูดได้) แต่จะต้องถูกผสมผสานเข้ากับโครงสร้างพื้นฐานของคุณ

ในขณะนั้นคุณยังสามารถใช้ที่อยู่ IP ของบัญชีดำหรือรายการจากแหล่งอื่นไม่ว่าจะเป็นการรวบรวมโดยตัวคุณเองหรือจากภายนอก


1

ในโลกทางกายภาพคนมีค่ารักษาความปลอดภัยโดยใส่ไว้ในตู้นิรภัย แต่ไม่มีความปลอดภัยที่ไม่สามารถแยกออกเป็น ตู้เซฟหรือตู้คอนเทนเนอร์รักษาความปลอดภัยได้รับการจัดอันดับในแง่ของระยะเวลาที่ใช้ในการบังคับให้เข้า จุดประสงค์ของตู้นิรภัยคือเพื่อชะลอการโจมตีของผู้โจมตีให้นานพอที่จะถูกตรวจพบและมาตรการที่ใช้งานแล้วหยุดการโจมตี

ในทำนองเดียวกันข้อสันนิษฐานด้านความปลอดภัยที่เหมาะสมคือในที่สุดเครื่องที่ถูกเปิดเผยของคุณจะถูกโจมตี ไฟร์วอลล์และโฮสต์ป้อมปราการไม่ได้ถูกตั้งค่าเพื่อป้องกันเซิร์ฟเวอร์ของคุณ (ด้วยข้อมูลที่มีค่าของคุณ) จากการประนีประนอม แต่เพื่อบังคับให้ผู้โจมตีประนีประนอมพวกเขาก่อนและอนุญาตให้คุณตรวจจับ (และยับยั้ง) การโจมตีก่อนที่ของมีค่าจะหายไป

โปรดทราบว่าไฟร์วอลล์หรือห้องเก็บของธนาคารไม่ป้องกันการคุกคามจากภายใน นั่นเป็นเหตุผลหนึ่งที่นักบัญชีธนาคารใช้เวลาสองสัปดาห์ออกจากการติดต่อกันและสำหรับเซิร์ฟเวอร์ที่มีข้อควรระวังด้านความปลอดภัยภายในอย่างเต็มที่แม้ว่าจะได้รับการปกป้องจากโฮสต์ของป้อมปราการ

ดูเหมือนว่าคุณหมายถึงในโพสต์ต้นฉบับที่คุณส่งต่อ "นอกโลก" แพ็คเก็ตผ่านไฟร์วอลล์ของคุณโดยตรงไปยังเซิร์ฟเวอร์ของคุณ ในกรณีนี้ใช่ไฟร์วอลล์ของคุณไม่ได้ทำอะไรมาก การป้องกันปริมณฑลที่ดีกว่าจะทำกับไฟร์วอลล์สองตัวและโฮสต์ของป้อมปราการที่ไม่มีการเชื่อมต่อทางตรรกะโดยตรงจากภายนอกสู่ภายใน - การเชื่อมต่อทุกอย่างจะสิ้นสุดใน DMZ bastion host; ทุกแพ็กเก็ตจะถูกตรวจสอบอย่างเหมาะสม (และแยกออกได้) ก่อนที่จะส่งต่อ


"นั่นเป็นเหตุผลหนึ่งที่นักบัญชีธนาคารต้องใช้เวลาสองสัปดาห์ติดต่อกัน" คุณช่วยชี้แจงได้ไหม? อาจไม่สำคัญที่นี่ แต่ฉันสนใจ
ต่อ Wiklander

-1 เพราะฉันกล่าวถึงความจริงที่ว่าคุณไม่จำเป็นต้องเจาะเข้าไปในไฟร์วอลล์ก่อนที่คุณจะเจาะเข้าไปในเซิร์ฟเวอร์ - ไฟร์วอลล์จะต้องอนุญาตให้สาธารณะเข้าถึงบริการที่คุณเสนอให้กับสาธารณะดังนั้นเซิร์ฟเวอร์เอง เปิดให้โจมตีจากสาธารณะ ไม่มีบริการใด ๆ บนเซิร์ฟเวอร์ของเราที่เราไม่ต้องการให้สาธารณชนเข้าถึงได้
เออร์นี่

@Ernie - คุณพลาดจุด การออกแบบโฮสต์ bastion DMZ แยกโฮสต์โดยไฟร์วอลล์ทั้งสองด้าน โฮสต์นั้นจะถูกโจมตีและในที่สุดจะถูกล้มล้าง แต่โฮสต์นั้นไม่ใช่เซิร์ฟเวอร์ของคุณและอย่างถูกต้องจะมีข้อมูลสำคัญน้อยที่สุดของคุณ DMZ (โฮสต์ + ไฟร์วอลล์) ทำให้การโจมตีบนเซิร์ฟเวอร์ของคุณช้าลงนานพอที่คุณสามารถตอบสนองและป้องกันความสำเร็จได้
mpez0

1
@Per Wiklander - GAAP รวมถึงการตรวจสอบการตรวจสอบปกติ นักบัญชีที่ยักยอกเงินอาจทำอาหารตัวเลขและป้องกันการค้นพบในระหว่างการตรวจสอบการตรวจสอบเมื่อมี แต่ถ้าจำเป็นต้องออกจากงานเป็นเวลาสองสัปดาห์ติดต่อกันจะมีคนอื่นจะรายงานและการค้นพบความผิดพลาดของพวกเขา มันเป็นรูปแบบของการควบคุมสองคน
mpez0

โฮสต์ป้อมปราการป้องกันอะไรบนเซิร์ฟเวอร์ได้อย่างไร ตัวอย่าง: พอร์ต 80, 25 และ 110 เป็นพอร์ตเปิดเฉพาะบนเซิร์ฟเวอร์ ไฟร์วอลล์อนุญาตการรับส่งข้อมูลไปยังพอร์ตเหล่านี้จากอินเทอร์เน็ตทั้งหมด ดังนั้นไฟร์วอลล์จึงไม่มีอะไรป้องกัน หากเซิร์ฟเวอร์ของคุณอยู่ในตำแหน่งที่แยกต่างหากจากสำนักงานของคุณคุณไม่จำเป็นต้องมีการป้องกันเพิ่มเติมยกเว้นไฟร์วอลล์ที่สำนักงานของคุณ
เออร์นี่

1

ช่องโหว่ยากต่อการคาดเดา เป็นไปไม่ได้ในทางปฏิบัติที่จะทำนายว่าโครงสร้างพื้นฐานของคุณจะถูกนำไปใช้ประโยชน์อย่างไร การมีไฟร์วอลล์ "ยกระดับ" สำหรับผู้โจมตีที่ต้องการใช้ช่องโหว่และนี่คือส่วนสำคัญก่อนที่คุณจะรู้ว่าช่องโหว่นั้นคืออะไร นอกจากนี้การทำความเข้าใจกับไฟร์วอลของไฟร์วอลล์นั้นสามารถเข้าใจได้ง่ายล่วงหน้าดังนั้นคุณจึงไม่น่าจะเกิดปัญหากับไฟร์วอลล์ที่รุนแรงกว่าปัญหาที่คุณหลีกเลี่ยง

นี่คือเหตุผลที่ "ไม่มีใครถูกไล่ออกจากการติดตั้งไฟร์วอลล์" การดำเนินการของพวกเขามีความเสี่ยงต่ำมากและมีโอกาสสูงในการป้องกันหรือบรรเทาการใช้ประโยชน์ นอกจากนี้ช่องโหว่ที่น่ารังเกียจจริงๆแล้วท้ายที่สุดถูกใช้ประโยชน์โดยระบบอัตโนมัติดังนั้นสิ่งที่ "ผิดปกติ" จะจบลงด้วยการทำลายบอทหรืออย่างน้อยก็ทำให้คุณข้ามเป้าหมายที่ง่ายกว่าไป

หมายเหตุด้านข้าง; ไฟร์วอลล์ไม่ได้มีไว้สำหรับอินเทอร์เน็ตเท่านั้น ฝ่ายบัญชีของคุณ ไม่ต้องการ ssh / อะไรก็ตามที่เซิร์ฟเวอร์ ldap ของคุณดังนั้นอย่าให้มันกับพวกเขา การจัดแบ่งบริการภายในสามารถสร้างความแตกต่างอย่างใหญ่หลวงกับงานการล้างข้อมูลในกรณีที่มีบางสิ่งผิดเพี้ยนไปจากกำแพงปราสาท


2
การมีไฟร์วอลล์ไม่ได้ยกระดับเมื่อคุณต้องการให้กฎไฟร์วอลล์เปิดพอร์ต 80, 53, 25, 110, 143, 443, 993, 995 และอื่น ๆ บนอินเทอร์เน็ตทั้งหมด เซิร์ฟเวอร์เหล่านั้นมีความเสี่ยงต่อไฟร์วอลล์เพียงเล็กน้อยหากคุณไม่จำเป็นต้องมีกฎเช่นนั้น
เออร์นี่

2
จริง แต่เซิร์ฟเวอร์เดียวกันอาจมีพอร์ต 3306 (mysql) และโปรโตคอลอื่น ๆ ที่หลากหลายซึ่งอาจได้รับประโยชน์จากไฟร์วอลล์ ไม่ได้หมายความว่าคุณไม่ควรได้รับความคุ้มครองใด ๆ เพียงแค่ว่าไฟร์วอลล์จะไม่ทำร้าย นอกจากนี้ฉันคิดว่าคุณพลาดจุดที่การรับส่งข้อมูลทั้งหมดไม่จำเป็นต้องเปิดสำหรับผู้ใช้ทุกคน พอร์ต 22 อาจจำเป็นต้องเปิด แต่ไม่ใช่สำหรับโฮสต์ทั้งหมดของคุณและแน่นอนว่าจะไม่เชื่อมต่อกับอินเทอร์เน็ตทั้งหมด (หรือการบัญชีและ HR) การปิดบัญชี 25 สำหรับการบัญชีหากคาดว่าจะดำเนินการมากกว่า 465 รายการอาจเป็นการบรรเทามัลแวร์สแปมบางประเภท
Enki

1

ต้องบอกว่าเออร์นี่ว่าในขณะที่คุณทำหลายอย่างเพื่อทำให้เซิร์ฟเวอร์ของคุณแข็งและลดการโจมตีและช่องโหว่ฉันไม่เห็นด้วยกับท่าทางของคุณเกี่ยวกับไฟร์วอลล์

ฉันรักษาความปลอดภัยเล็กน้อยเหมือนหัวหอมในอุดมคติที่คุณมีเลเยอร์ที่คุณต้องผ่านก่อนที่จะเข้าสู่แกนกลางและโดยส่วนตัวฉันคิดว่ามันผิดไปอย่างผิด ๆ ว่าไม่มีไฟร์วอลล์ฮาร์ดแวร์บางรูปแบบที่ขอบเขตเครือข่ายของคุณ

ฉันจะยอมรับว่าฉันมาที่นี่จาก "สิ่งที่ฉันคุ้นเคยกับ" มุม แต่ฉันรู้ว่าทุก ๆ เดือนฉันจะได้รับรายชื่อเล็ก ๆ น้อย ๆ ของเดือนนั้นจากไมโครซอฟท์พวกเขาหลายคนถูกเอาเปรียบในป่า . ฉันคิดว่ามันจะเกิดขึ้นกับระบบปฏิบัติการและชุดแอพพลิเคชั่นที่คุณใส่ใจ

ตอนนี้ฉันไม่ได้แนะนำให้ใช้ไฟร์วอลล์กับสิ่งนี้และไฟร์วอลล์จะไม่มีภูมิคุ้มกันต่อการมีข้อบกพร่อง / ช่องโหว่เห็นได้ชัดว่าไฟร์วอลล์ "ฮาร์ดแวร์" เป็นเพียงซอฟต์แวร์ที่ทำงานบนสแต็กฮาร์ดแวร์

ที่กล่าวว่าฉันนอนหลับอย่างปลอดภัยมากขึ้นรู้ว่าถ้าฉันมีเซิร์ฟเวอร์ที่ต้องการเพียง 443 พอร์ตที่จะสามารถเข้าถึงได้จากเว็บ Juniper ของฉันปริมณฑลมั่นใจว่าพอร์ต 443 เท่านั้นที่สามารถเข้าถึงได้จากเว็บ ไม่เพียงแค่นั้น แต่ Palo Alto ของฉันยังรับประกันว่าทราฟฟิกที่เข้ามาจะถูกถอดรหัสและตรวจสอบและบันทึกและสแกนสำหรับ IPS / IDS - ไม่ว่ามันจะหายไปเมื่อต้องรักษาเซิร์ฟเวอร์ให้ปลอดภัยและทันสมัยอยู่เสมอ แต่ทำไมคุณถึงไม่พบว่าผลประโยชน์ที่ได้รับนั้นสามารถลดการหาประโยชน์จากศูนย์และความผิดพลาดของมนุษย์ที่ดีแบบเก่าได้?


1

ก่อนอื่นจากการที่คุณพูดถึงการส่งต่อพอร์ตฉันคิดว่าคุณกำลังพูดถึงไฟร์วอลล์กับ NATing แม้ว่า NATs ทุกวันนี้มักจะทำหน้าที่เป็นไฟร์วอลล์โดยแท้จริง แต่ก็ไม่ได้มีจุดประสงค์ในการออกแบบ NAT เป็นเครื่องมือกำหนดเส้นทาง ไฟร์วอลล์มีไว้สำหรับควบคุมการเข้าถึง มันเป็นสิ่งสำคัญสำหรับความชัดเจนของความคิดที่จะทำให้แนวคิดเหล่านี้แตกต่างกัน

แน่นอนว่าการวางเซิร์ฟเวอร์ไว้ข้างหลังกล่อง NAT และจากนั้นกำหนดค่า NAT เพื่อส่งต่อสิ่งใด ๆ ไปยังเซิร์ฟเวอร์นั้นจะไม่มีความปลอดภัยมากกว่าการวางเซิร์ฟเวอร์บนอินเทอร์เน็ตโดยตรง ฉันไม่คิดว่าใครจะโต้แย้งกับเรื่องนี้

ในทำนองเดียวกันไฟร์วอลล์ที่กำหนดค่าให้อนุญาตการรับส่งข้อมูลทั้งหมดจะไม่มีไฟร์วอลล์เลย

แต่ "อนุญาตให้มีการรับส่งข้อมูลทั้งหมด" เป็นนโยบายที่คุณต้องการจริง ๆ หรือไม่ ใครบ้างมีความต้องการ ssh ไปยังเซิร์ฟเวอร์ใด ๆ ของคุณจากที่อยู่ IP ของรัสเซีย? ในขณะที่คุณกำลังซ่อมแซมด้วยการกำหนดค่าของ daemon เครือข่ายทดลองใหม่โลกทั้งโลกจำเป็นต้องเข้าถึงมันหรือไม่?

พลังของไฟร์วอลล์คือมันช่วยให้คุณเปิดเฉพาะบริการที่คุณรู้ว่าจำเป็นต้องเปิดและบำรุงรักษาจุดควบคุมเดียวสำหรับการใช้นโยบายนี้


2
คะแนนทั้งหมดของคุณได้รับการแก้ไขในคำถามของฉัน ใช่ "อนุญาตการรับส่งข้อมูลทั้งหมด" เป็นนโยบายที่เราต้องการสำหรับบริการที่ไม่ใช่การจัดการเช่น SSH หรือพอร์ตการจัดการของเซิร์ฟเวอร์บางตัว ไม่เช่นนั้นผู้คนจะไม่สามารถเห็นหน้าเว็บของเราและส่งอีเมลถึงเราได้!
เออร์นี่

2
สำหรับการเปิดให้บริการที่จำเป็นเท่านั้นนั่นคือขั้นตอนที่ 1 และ 4
เออร์นี่

1

ไฟร์วอลล์การตรวจสอบแพ็คเก็ต stateful ไม่ได้อยู่ในด้านหน้าของเซิร์ฟเวอร์สาธารณะ คุณยอมรับการเชื่อมต่อทั้งหมดดังนั้นการติดตามสถานะจึงไร้ประโยชน์ ไฟร์วอลล์แบบดั้งเดิมเป็นความรับผิดชอบอย่างมากในการโจมตี DDoS และโดยทั่วไปแล้วสิ่งแรกที่จะล้มเหลวภายใต้การโจมตีแบบ DDoS แม้กระทั่งก่อนที่แบนด์วิธลิงก์หรือทรัพยากรเซิร์ฟเวอร์จะถูกใช้จนหมดสิ้น

ตัวกรองแพ็คเก็ตไร้สัญชาติบนเราเตอร์นั้นเหมาะสมต่อหน้าเซิร์ฟเวอร์สาธารณะ แต่หากพวกเขาสามารถจัดการอัตราสายของการรับส่งข้อมูลและการรับส่งข้อมูลทั้งหมด (เช่น ACL ฮาร์ดแวร์ในเราเตอร์)

Google, Facebook และแม้แต่ Microsoft ไม่ได้ใส่ "ไฟร์วอลล์" แบบดั้งเดิมไว้หน้าเซิร์ฟเวอร์สาธารณะ ทุกคนที่ใช้บริการเว็บสาธารณะในระดับ "เซิร์ฟเวอร์มากกว่าหนึ่งเครื่อง" ควรรู้สิ่งนี้

ฟังก์ชั่นอื่น ๆ ที่พบในไฟร์วอลล์แบบดั้งเดิมเช่น Cisco ASAs หรือสิ่งใดก็ตามที่มีการใช้งานได้ดีที่สุดในโฮสต์เองซึ่งสามารถลดขนาดได้อย่างมีประสิทธิภาพ การบันทึก IDS ฯลฯ เป็นคุณสมบัติซอฟต์แวร์ทั้งหมดในไฟร์วอลล์อยู่แล้วดังนั้นพวกเขาจึงกลายเป็นคอขวดขนาดใหญ่และเป้าหมาย DDoS หากวางไว้หน้าเซิร์ฟเวอร์ที่สาธารณชนสามารถเข้าถึงได้


1
ฉันคิดว่าบริบทเป็นเรื่องสำคัญ OP น่าจะไม่ได้พูดถึงระบบเว็บสเกลซึ่งการทำ load balance และ firewall จะถูกนำไปใช้งานแตกต่างจากเทคโนโลยี back-office ของ SMB
ewwhite

แม้อยู่หน้าเซิร์ฟเวอร์เดียวไฟร์วอลล์อันทรงพลังก็ไม่ได้ทำอะไรมากมายเพื่อช่วยคุณถ้าคุณยอมรับการเชื่อมต่อจากทุกที่ คุณจำเป็นต้องใช้ TLS หรือการเข้ารหัสอื่น ๆ สำหรับทุกอย่างอยู่แล้วดังนั้นไฟร์วอลล์ทั้งหมดสามารถทำได้คือพูดว่า "เฮ้มีข้อมูลเพิ่มเติมผ่านฉันที่พอร์ต 443" ไฟร์วอลล์เกือบตายไปแล้ว: etherealmind.com/why-firewalls-wont-matter-in-a-few-years
rmalayter

0

เหตุใดเซิร์ฟเวอร์ทั้งหมดของคุณจึงจำเป็นต้องมีที่อยู่สาธารณะ

ติดตั้งเซิร์ฟเวอร์ในห้องเซิร์ฟเวอร์และให้ที่อยู่ IP สาธารณะ

เซิร์ฟเวอร์ไม่เกิน 14 เซิร์ฟเวอร์ที่ฉันรันเป็นประจำมีเพียง 2 ตัวเท่านั้นที่มีอินเทอร์เฟซสำหรับผู้ใช้ทั่วไป

แก้ไขเพื่อเพิ่ม : ในเครือข่ายอื่น ๆ ที่ฉันมีในการจัดการเรามีความสามารถในการปิด / เปิดบริการตามความประสงค์ในขณะที่เราไม่สามารถเข้าถึงการจัดการไฟร์วอลล์ ฉันไม่สามารถบอกคุณได้ว่ามีกี่ครั้งที่มีการเปิดบริการและไม่ได้ใช้บริการ (SMTP) ที่ไม่จำเป็นโดยไม่ได้ตั้งใจและสิ่งเดียวที่ช่วยให้เราประหยัดจากการกลายเป็นสแปมและการขึ้นบัญชีดำในกระบวนการคือไฟร์วอลล์

นอกจากนี้ทราฟฟิกทั้งหมดที่ผ่านระหว่างเซิร์ฟเวอร์นั้นถูกเข้ารหัสอย่างสมบูรณ์หรือไม่?

แน่นอนคุณสามารถขับรถได้ 100 ไมล์ต่อชั่วโมงโดยไม่มีเข็มขัดนิรภัยไม่มีถุงลมนิรภัยและยางหัวล้าน แต่ทำไมคุณต้อง


1
เพราะพวกเขาทุกคนอาจมีบริการที่จำเป็นต้องเข้าถึง "จากอินเทอร์เน็ต"
adamo

อืมไม่. เหมือนขับรถที่ 70 ไมล์ต่อชั่วโมงพร้อมเข็มขัดนิรภัยและถุงลมนิรภัยในขณะที่ให้ความสนใจกับสิ่งที่คุณกำลังทำ แต่ไม่มีการล็อคประตูของคุณ มีนโยบายความปลอดภัยในสถานที่และเซิร์ฟเวอร์ได้รับการรักษาความปลอดภัย แต่ไม่มีไฟร์วอลล์ ไฟร์วอลล์ไม่ใช่การรักษาความปลอดภัยที่สิ้นสุดและสิ้นสุด
เออร์นี่

2
ฉันไม่ได้บอกว่าไฟร์วอลล์นั้นเป็นระบบรักษาความปลอดภัยทั้งหมดหรือทั้งหมด ฉันจะไม่ทำซ้ำสิ่งที่พูดไปแล้วที่นี่ พวกเขาเป็นเพียงหนึ่งชั้นในความปลอดภัยหลายระดับ ฉันถามคุณสองครั้งแล้วและคุณยังไม่ได้ตอบ เซิร์ฟเวอร์บน LAN เป็นสิ่งที่ช่างพูด เซิร์ฟเวอร์ทั้งหมดของคุณพูดคุยกับแชนเนลที่เข้ารหัสลับเท่านั้นหรือไม่
GregD

0

ไฟร์วอลล์สามารถป้องกันผู้ใช้ระบบจากการเปิดบริการที่เข้าถึงเครือข่ายที่ผู้ดูแลระบบไม่ได้ตระหนักถึงหรือทำการส่งต่อพอร์ตไปยังเครื่องอื่น ๆ ด้วยการใช้โมดูล hashlimit ทำให้ไฟร์วอลล์สามารถ จำกัด ผู้ใช้ที่ จำกัด อัตราตาม IP ระยะไกลได้

ไฟร์วอลล์เป็นอีกหนึ่งเครือข่ายความปลอดภัยที่รับรองว่านโยบายของคุณได้รับการปฏิบัติตาม แน่นอนว่าอย่าใช้บริการที่คุณไม่คาดหวัง

ฉันขอแนะนำอย่างแน่นอนว่ามีการใช้การอัปเดตซอฟต์แวร์ในเวลาที่เหมาะสม แต่ฉันยังแนะนำไฟร์วอลล์ในทุกเครื่อง มันเหมือนกับตอนที่ฉันขับรถ: แน่นอนว่าฉันพยายามหลีกเลี่ยงสิ่งกีดขวางและรถคันอื่น แต่ฉันก็สวมเข็มขัดนิรภัยและมีถุงลมนิรภัยในกรณีที่เกิดเหตุการณ์ไม่คาดฝัน


0

คุณอาจไม่ได้ตระหนักถึงเท่าไหร่ที่คุณจะได้รับประโยชน์จากไฟร์วอลล์เพียงเพราะทุกคนอื่นจะใช้พวกเขา ในวันที่ทุกคนแท้จริงผู้ใช้ DSL ที่บ้านมีไฟร์วอลล์ในพอร์ตดมกลิ่นได้รับทั้งหมด แต่ให้ขึ้นเป็นเวกเตอร์โจมตีที่เป็นไปได้ แฮกเกอร์ที่ดีจะไม่เสียเวลาในการตรวจสอบสิ่งต่าง ๆ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.