שאלה למה אני צריך שרתי חומת אש?


שימו לב: אני לא מעוניין לעשות את זה לתוך מלחמה להבה! אני מבין כי אנשים רבים יש אמונות חזק בנושא זה, לא מעט משום שהם השקיעו הרבה מאמץ לתוך פתרונות חומת האש שלהם, וגם בגלל שהם כבר אינדוקטרינציה להאמין הצורך שלהם.

עם זאת, אני מחפש תשובות מאנשים שהם מומחים בביטחון. אני מאמין שזו שאלה חשובה, והתשובה תועיל יותר מאשר רק את עצמי ואת החברה שאני עובד בה. אני מפעיל את רשת השרתים שלנו במשך כמה שנים ללא פשרה, ללא כל חומת אש בכלל. אף אחד מהבטחון לא פותר אותנו יש היה יכול היה למנוע עם חומת אש.

אני מניח שאני עובד כאן יותר מדי זמן, כי כשאני אומר "שרתים", אני תמיד מתכוון "השירותים המוצעים לציבור", לא "מסדי נתונים חיוביים סודיים". ככזה, כל החוקים שאנחנו היה יש בכל חומות אש צריך לאפשר גישה לאינטרנט כולו. כמו כן, שרתי הגישה הציבורית שלנו נמצאים כולם במרכז נתונים ייעודי נפרד מהמשרד שלנו.

מישהו אחר שאל שאלה דומה, והתשובה שלי הצביעה למספרים שליליים. זה מוביל אותי להאמין כי גם אנשים הצבעה זה לא ממש מבין את התשובה שלי, או שאני לא מבין ביטחון מספיק כדי לעשות את מה שאני עושה כרגע.

זוהי הגישה שלי לאבטחת השרתים:

  1. עקוב אחר מערכת ההפעלה שלי הנחיות אבטחה  לפני חיבור השרת שלי לאינטרנט.

  2. השתמש בעטיפות TCP כדי להגביל את הגישה ל- SSH (ולשירותי ניהול אחרים) למספר קטן של כתובות IP.

  3. לפקח על מצב של שרת זה עם מונין. ולתקן את בעיות אבטחה חמורות הטמון Munin הצומת בתצורת ברירת המחדל שלה.

  4. Nmap השרת החדש שלי (גם לפני חיבור השרת שלי לאינטרנט). אם הייתי חומת אש שרת זה, זה צריך להיות קבוצה מדויקת של יציאות חיבורים נכנסים צריך להיות מוגבל.

  5. התקן את השרת בחדר השרת ונותן לו כתובת IP ציבורית.

  6. שמור על אבטחת המערכת באמצעות התכונה 'עדכוני אבטחה' של מערכת ההפעלה שלי.

הפילוסופיה שלי (וגם את הבסיס של השאלה) היא כי אבטחה חזקה מבוססת מארח מסיר את הצורך של חומת אש. פילוסופיית האבטחה הכללית אומרת כי אבטחה חזקה מבוססת מארח עדיין נדרשת גם אם יש לך חומת אש (ראה הנחיות אבטחה). הסיבה לכך היא שחומת אש המפעילה שירותים ציבוריים לשרת מאפשרת לתוקף בדיוק כמו חומת אש בכלל. זה השירות עצמו כי הוא פגיע, ומכיוון שהוא מציע את שירות האינטרנט כולו היא דרישה של המבצע שלה, הגבלת גישה אליו היא לא הנקודה.

אם שם הם יציאות זמין בשרת כי לא צריך להיות נגיש על ידי האינטרנט כולו, אז כי התוכנה צריכה להיות נסגר בשלב 1, ו אומתה על ידי צעד 4. אם התוקף בהצלחה לפרוץ לשרת באמצעות תוכנות פגיעות לפתוח היציאה עצמם, התוקף יכול (ולעשות) בדיוק כמו להביס בקלות את כל חומת האש על ידי יצירת חיבור יוצא על יציאה אקראית במקום. נקודת הביטחון היא לא להגן על עצמך אחרי התקפה מוצלחת - זה כבר הוכח להיות בלתי אפשרי - זה כדי לשמור על התוקפים החוצה מלכתחילה.

הוצע כי ישנם שיקולים ביטחוניים אחרים מלבד יציאות פתוחות - אבל לי זה נשמע רק כמו להגן על האמונה של אחד. כל מערכת הפעלה / נקודות תורפה של מחסניות TCP צריכות להיות חשופות במידה שווה בין אם קיימת חומת אש - בהתבסס על העובדה שהיציאות מועברות ישירות למערכת ההפעלה / מחסנית TCP זו. כמו כן, הפעלת חומת האש שלך על השרת עצמו, לעומת שיש את זה על הנתב (או גרוע מזה, בשני המקומות) נראה הוספת שכבות מיותרות מיותרות. אני מבין את הפילוסופיה "אבטחה מגיע שכבות", אבל מגיע לנקודה שבה זה כמו בניית גג על ידי ערימת מספר X של שכבות של דיקט על גבי אחד את השני ולאחר מכן קידוח חור דרך כולם. שכבה נוספת של דיקט הוא לא הולך לעצור את דליפות דרך החור שאתה עושה בכוונה.

למען האמת, הדרך היחידה שבה אני רואה שחומת אש היא כל שימוש בשרתים, היא אם יש לה כללים דינמיים שמונעים כל חיבורים לכל השרתים מתוקפים ידועים - כמו ה- RBLs עבור דואר זבל (אשר במקרה, הוא פחות או יותר מה שעושה שרת הדואר שלנו) . למרבה הצער, אני לא יכול למצוא כל חומות אש לעשות את זה. הדבר הבא הטוב ביותר הוא שרת IDS, אבל זה מניח כי התוקף לא לתקוף את השרתים האמיתיים שלך הראשון, וכי התוקפים טורחים לחקור את הרשת כולה לפני לתקוף. חוץ מזה, אלה היו ידועים לייצר מספר גדול של חיוביות שגויות.


101
2017-11-12 21:11




וכך כל התנועה העוברת בין השרתים שלך מוצפנת? - GregD
אוהב את זה. כללי חומת האש המקומיים הם כמעט תמיד וודו בלבד. - unixtippse
האם יש לך גם מחשבים שולחניים / עובדים ברשת? מה אתה עושה איתם? - Brandon
שאלה זו היתה מתאימה אבטחה - Olivier Lalonde
@routeNpingme: נראה כי אני לא לכלול את זה מעדן בהודעה המקורית שלי. כל השרתים שלנו צריך להיות פתוח לציבור, ולחיות במרכז הנתונים ייעודי. אם המשרד שלך הוא מרכז הנתונים שלך, אני מניח שיהיה צורך להיות חומת אש בין רשת השרת שלך לרשת המשרד. ובמקרה זה, אני מדבר על שרת הרשת - מדוע חומת אש משהו שיש לו גישה ציבורית מלאה? - Ernie


תשובות:


היתרונות של חומת האש:

  1. תוכל לסנן תנועה יוצאת.
  2. שכבת חומת אש 7 (IPS) יכולה להגן מפני פגיעויות יישומים ידועות.
  3. באפשרותך לחסום טווח כתובות IP מסוים ו / או לבצע יציאה מרכזית במקום לנסות לוודא שלא קיימת הקשבה לשירות ביציאה זו בכל מחשב בנפרד, או למנוע גישה באמצעות TCP Wrappers.
  4. חומת אש יכולה לעזור אם יש לך להתמודד עם פחות מודעים למשתמשים אבטחה / מנהלי כפי שהם יספקו קו ההגנה השני. בלעדיהם צריך להיות בטוח לחלוטין כי המארחים בטוחים, אשר דורש הבנה טובה אבטחה מכל המנהלים.
  5. יומני חומת אש יספקו יומנים מרכזיים ועזרה באיתור סריקות אנכיות. יומני חומת האש יכולים לסייע בקביעת אם משתמש / לקוח מסוימים מנסים להתחבר ליציאה זהה של כל השרתים שלך מעת לעת. כדי לעשות זאת ללא חומת אש, יהיה עליך לשלב יומנים משרתי / שרתים שונים כדי לקבל תצוגה מרכזית.
  6. חומות אש מגיעות גם עם אנטי ספאם / אנטי וירוס מודולים אשר גם להוסיף להגנה.
  7. אבטחה עצמאית של מערכת ההפעלה. בהתבסס על מערכת ההפעלה המארח, טכניקות / שיטות שונות נדרשים כדי להפוך את המארח מאובטח. לדוגמה, ייתכן ש- TCP Wrappers אינו זמין במכונות Windows.

מעל לכל זה אם אין לך חומת אש המערכת נפגעת אז איך היית מזהה את זה? מנסה להפעיל כמה פקודות 'PS', 'netstat', וכו 'על המערכת המקומית לא ניתן לסמוך כמו אלה קבצים בינאריים ניתן להחליף. 'nmap' ממערכת מרוחקת אינה מובטחת הגנה כתוקף יכול להבטיח כי ערכת השורש מקבל חיבורים רק מתוך כתובת ה- IP המקורית שנבחרה (E) במועדים נבחרים.

חומת אש חומרה לעזור בתרחישים כאלה כמו זה קשה מאוד לשנות את מערכת ההפעלה Firewall / קבצים לעומת המארח OS / קבצים.

חסרונות של חומת אש:

  1. אנשים חשים כי חומת האש ידאג אבטחה לא לעדכן מערכות באופן קבוע להפסיק שירותים לא רצויים.
  2. הם עולים. לפעמים דמי רישיון שנתי צריך להיות משולם. במיוחד אם חומת האש יש אנטי וירוס ואנטי ספאם מודולים.
  3. נקודה אחת נוספת של כישלון. אם כל התנועה עוברת דרך חומת אש וחומת האש נכשלת, הרשת תעצור. אנחנו יכולים להיות חומות אש מיותר, אבל אז הנקודה הקודמת על עלות מקבל עוד יותר מוגבר.
  4. מעקב ממלכתי אינו מספק שום ערך במערכות הפונות לציבור שמקבלות את כל החיבורים הנכנסים.
  5. Firewall המדינה הם צוואר בקבוק מסיבי במהלך התקפת DDoS והם לעתים קרובות הדבר הראשון להיכשל, כי הם מנסים להחזיק המדינה ולבדוק את כל הקשרים הנכנסים.
  6. חומות אש לא יכולות לראות תנועה מוצפנת. מאז כל תנועה צריך להיות מוצפן מקצה לקצה, רוב חומת האש להוסיף ערך קטן מול שרתים ציבוריים. כמה חומות אש של הדור הבא ניתן לקבל מפתחות פרטיים כדי לסיים את TLS ולראות בתוך התנועה, אולם זה מגדיל את הרגישות של חומת האש ל- DDoS עוד יותר, ושובר את מודל האבטחה מקצה לקצה של TLS.
  7. מערכות הפעלה ויישומים הם תוקנו נגד הפגיעויות הרבה יותר מהר מאשר חומות אש. ספקי חומת אש לעיתים קרובות יושבים על בעיות ידועות עבור שנים ללא תיקון, ותיקון אשכול חומת אש דורש בדרך כלל זמן השבתה עבור שירותים רבים ויחידות יוצאות.
  8. חומת אש רחוקה מלהיות מושלמת, ורבים מהם ידועים לשמצה. חומות אש הן רק תוכנה שפועלת על צורה כלשהי של מערכת הפעלה, אולי עם תוספת ASIC או FPGA בנוסף למעבד (איטי בדרך כלל). חומת אש יש באגים, אבל נראה שהם מספקים כמה כלים כדי לטפל בהם. לכן, חומות אש מוסיפות מורכבות ומקור נוסף של שגיאות שקשה לאבחן לערימת יישומים.

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? גילוי פריצה הוא לא התפקיד של חומת האש. עבודה זו מטופלת כראוי יותר על ידי HIDS (מבוסס מארח מערכת חדירות איתור), אשר עצמאית של חומת האש. - Steven Monday
שרתי Syslog מבטלים את הצורך בפריט 5. אם יש משהו, מומלץ לשלוח את יומני חומת האש לשרת syslog, במקרה שתוקף מצליח לסכן את חומת האש ולמחוק את היומנים שלה. לאחר מכן התוקף צריך להתפשר על שתי מערכות רק כדי למחוק את היומנים, והם עלולים לא להיות מוכנים לכך (במיוחד עם התקפות אוטומטיות). כמו כן, אם כל המערכות שלך יש ריכוז בכניסה, אתה מקבל פירוט טוב יותר על ההתקפה מאשר יומני חומת האש יכול לספק. - Ernie
הנקודה שלי היתה מאז HIDS מתגורר על המארח אנחנו לא יכולים לסמוך על הפלט שלה. לדוגמה, גם אם אנו משתמשים בטריפוויר "מאובטח" כמארח מבוסס IDS, התוקף תמיד יכול להחליף את כל הקבצים הבינאריים של tripwire (twadmin, tripwire, twprint, etc.) עם גרסאות שנפגעו, אשר לעולם לא ידווחו על חדירה. גם אם ננסה להעתיק ספריות / קבצים בינאריים ממערכת אחרת, ייתכן שיהיה תהליך שבו יפקח על הקבצים הבינאריים שנפגעו ויחליף אותם בגרסה פגומה, במקרה שיוחלפו או יעודכנו. חומת האש להיות עצמאית מן המארח, ניתן לסמוך על תרחישים כאלה. - Saurabh Barjatiya
תשובה זו התקבלה על אחד יותר פופולרי כי זה מספק טוב יותר ומקיף יותר של סיבות לשימוש בחומת אש. ולא, לצורך העניין. - Ernie
בדיקת חומת האש של מנות הבדיקה אינה שייכת לשרתים. הם אחריות ענקית להתקפות DDoS, והם בדרך כלל הדבר הראשון להיכשל תחת התקפה. - rmalayter


TCP Wrappers יכול להיות ניתן לטעון שניתן ליישם חומת אש מבוססת מארח; אתה מסנן תעבורת רשת.

לנקודה שבה התוקף יוצר חיבורים יוצאים ביציאה שרירותית, חומת אש תספק אמצעי שליטה גם על התנועה היוצאת; חומת אש מוגדרת כראוי מנהלת את החדירה ואת היציאה בצורה המתאימה לסיכון הקשור למערכת.

על הנקודה על איך כל פגיעות TCP אינו מתמתח על ידי חומת אש, אתה לא מכיר איך חומות אש לעבוד. סיסקו יש חבורה של כללים זמינים להורדה, אשר לזהות מנות שנבנו באופן שיגרום לבעיות מערכת ההפעלה בפרט. אם אתה תופס snort ולהתחיל להפעיל אותו עם להגדיר את הזכות להגדיר, תקבל גם התראה על זה סוג של דבר. וכמובן, לינוקס iptables יכול לסנן מנות זדוניות.

ביסודו של דבר, חומת אש היא הגנה פרואקטיבית. ככל שאתה רחוק ממני להיות פרואקטיבית, סביר להניח כי תמצא את עצמך במצב שבו אתה מגיב לבעיה במקום למנוע את הבעיה. ריכוז ההגנה שלך על הגבול, כמו עם חומת אש ייעודי, עושה את זה יותר קל לנהל כי יש לך נקודת לחנוק מרכזי ולא לשכפל כללים בכל מקום.

אבל שום דבר אינו בהכרח פתרון סופי. פתרון אבטחה טוב בדרך כלל הוא רב שכבת, שבו יש לך חומת אש על הגבול, עטיפות TCP במכשיר, וכנראה כמה כללים על נתבים פנימיים גם כן. אתה צריך בדרך כלל להגן על הרשת מהאינטרנט, ולהגן על הצמתים אחד מהשני. זה רב שכבת הגישה היא לא כמו קידוח חור דרך מספר גיליונות של דיקט, זה יותר כמו לשים את זוג דלתות כך פולש יש שני מנעולים לשבור במקום רק אחד; זה נקרא מלכודת אדם בביטחון פיזי, ולרוב הבניין יש כל סיבה. :)


33
2017-11-12 22:04



גם אם הם מתגנבים בתוך הבניין ופותחים את הדלת הפנימית עבור החבר שלהם בחוץ, אז הם צריכים גם לפתוח ולפתוח את הדלת החיצונית. (כלומר, ללא חומת אש חיצונית, מישהו שנכנס לשרת שלך יכול לפתוח אותו, בעוד שחומת אש חיצונית עדיין תחסום את היציאות הפתוחות מבחוץ) - Ricket
@ Ricket: אולי הם יכולים, אבל התוקפים המודרניים לא טורחים עם דברים כאלה. האתר שלך צריך להיות בעל עניין מיוחד עבור התוקף לעשות משהו יותר מאשר להוסיף את השרת שלך לחווה זומבי. - Ernie
@ Ernie - לא, זה רק צריך להתקיים באופן אוטומטי לבדוק עבור שטח פנוי עבור Warez, מסדי נתונים של לקוחות, מידע פיננסי, סיסמאות, ולהיות נוסף על botnet - אבל גם זה יכול להיות רע מספיק - כמה מנהלי יהיה בשמחה blackhole שלך ​​IP אם זה נראה כאילו אתה מארח זומבים. - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementation + 1 עבור תשובה מצוינת. - sjas


(ייתכן שתרצה לקרוא "החיים ללא חומות אש")

עכשיו: מה עם מערכת מורשת שעבורו לא מופיעים עוד תיקונים? מה לגבי לא להיות מסוגל ליישם את התיקונים על N- מכונות בזמן שאתה צריך לעשות זאת, ואילו באותו זמן אתה יכול ליישם אותם פחות צמתים ברשת (חומות אש)?

אין טעם להתווכח על קיומה או הצורך של חומת האש. מה שחשוב באמת הוא שאתה צריך ליישם מדיניות אבטחה. כדי לעשות זאת תוכלו להשתמש בכל הכלים יהיה ליישם אותו ולעזור לך לנהל, להרחיב ולהתפתח. אם יש צורך בחומות אש כדי לעשות זאת, זה בסדר. אם הם לא נחוצים זה גם בסדר. מה שחשוב באמת הוא יישום עובד ואמין של מדיניות האבטחה שלך.


15
2017-11-12 21:31



חה. אני מפעיל את שרת הרשת שלנו במשך 8 השנים האחרונות ללא חומת אש. הייתי יכול כתוב "חיים בלי חומת אש", אבל הוא עשה עבודה טובה יותר ומנהל רשת גדולה יותר מאשר אני, בכל אופן. - Ernie
@Ernie - אני מניח שאתה יכול פשוט יש מזל. איך אתה יודע שלא נפגעת? התוצאות של חקירות פליליות על רבים מהלקוחות שלי גילו פשרה, לפעמים בחודשים שחלפו, בעוד שהתוקפים מצאו מידע אישי ופיננסי, פרטי לקוח, קניין רוחני, תוכניות עסקיות וכו '. כמו שון אמר - לעשות ביקורת אבטחה נאותה. - Rory Alsop
למעשה, מלבד העובדה שרשת השרתים שלנו מנותקת פיזית מרשת המשרדים שלנו (ולכן לא ניתן לאסוף ממנה נתונים רגישים באמת, אפילו עם גישה לשורש על כל שרת), הצלחתי לגלות כל פשרה אחת מאז שהתחלתי. אני יכול להמשיך על מופע האימה שהיה קיים כשהתחלתי, אבל אין לי מספיק מקום. :) די לומר כי רוב ההתקפות אינן מתוחכמות, ואת אלה עדין הם גם לגילוי. הו כן, הפרדת הרשאות משתמש הוא חבר שלך. - Ernie


רוב ההסברים שלך נראה להפריך את הצורך חומת אש, אבל אני לא רואה קון שיש אחד, מלבד כמות קטנה של זמן כדי להגדיר אחד.

כמה דברים הם "צורך" במשמעות קפדנית של המילה. אבטחה היא יותר על הגדרת כל המצור אתה יכול. ככל שהעבודה הנדרשת יותר לפרוץ לשרת שלך פירושה פחות סיכוי להתקפה מוצלחת. אתה רוצה לעשות את זה יותר עבודה לפרוץ מכונות שלך מאשר במקום אחר. הוספת חומת אש עושה יותר עבודה.

אני חושב השימוש העיקרי הוא יתירות אבטחה. עוד פלוס של חומת אש הוא שאתה יכול פשוט ירידה ניסיונות להתחבר לכל נמל במקום להגיב על בקשות שנדחו - זה יגרום nmapping קצת יותר נוח עבור התוקף.

הכי חשוב לי על ההערה המעשית של השאלה שלך היא שאתה יכול לנעול SSH, ICMP, ושירותים פנימיים אחרים אל תת רשתות מקומיות כמו גם שיעור להגביל את הקשרים הנכנסים כדי לעזור להקל על התקפות DOS.

"נקודת הביטחון היא לא להגן על עצמך אחרי התקפה מוצלחת - זה כבר הוכח להיות בלתי אפשרי - זה כדי לשמור על התוקפים החוצה מלכתחילה."

אני לא מסכים. הגבלת נזקים יכולה להיות חשובה באותה מידה. (תחת האידיאל הזה למה סיסמאות hash או מקל את תוכנת מסד הנתונים בשרת אחר מאשר יישומי האינטרנט שלך?) אני חושב את האמרה הישנה "לא מקל את כל הביצים שלך בסל אחד" הוא ישים כאן.


9
2017-11-12 21:30



ובכן, אתה צודק, לא שמתי שם שום חסרונות. חסרונות: המורכבות ברשת גדל, נקודת כשל יחידה, ממשק רשת יחיד שדרכו רוחב הפס הוא צוואר בקבוק. כמו כן, שגיאות ניהוליות שנעשו על חומת אש אחת יכול להרוג את הרשת כולה. ואלוהים ישמור כי אתה לנעול את עצמך מתוך אותו בינתיים, כאשר זה 20 דקות נסיעה לחדר השרת. - Ernie
זה יכול להיות רק רטורית, אבל כשאתה אומר "הביטחון הוא יותר על הגדרת כל המצור אתה יכול", הייתי מעדיף לשמוע "אבטחה היא יותר על חסימת הכל כברירת מחדל, בזהירות פתיחת המינימום קפדנית לפעול". - MatthieuP
+1 תוכנית אבטחה מקיפה מכסה מניעה, איתור ותגובה. - Jim OHalloran


Should I firewall my server? שאלה טובה. נראה כי יש נקודה קטנה כדי לסטור חומת אש על גבי ערימת הרשת כי כבר דוחה ניסיונות חיבור לכל אבל קומץ יציאות פתוחים באופן לגיטימי. אם יש פגיעות במערכת ההפעלה המאפשרת מנות בעלות מבנה זדוני כדי לשבש / לנצל מארח, האם חומת אש רץ על אותו מארח למנוע את ניצול? ובכן, אולי ...

וזו כנראה הסיבה החזקה ביותר להפעיל חומת אש על כל מארח: חומת אש אולי למנוע פגיעות של מחסנית רשת מלהיות מנוצלת. האם זו סיבה חזקה מספיק? אני לא יודע, אבל אני מניח שאפשר לומר, "אף אחד לא ירה אף פעם על התקנת חומת אש".

סיבה נוספת להפעלת חומת אש בשרת היא לנתק את שני החששות הנוגעים לכך:

  1. מאיפה, ובאיזה יציאות, אני מקבל חיבורים?
  2. אילו שירותים פועלים ומקשיבים לחיבורים?

ללא חומת אש, מערכת השירותים הפועלת (יחד עם התצורות עבור tcpwrappers וכאלה) קובעת לחלוטין את קבוצת היציאות שהשרת יהיה פתוח, וממנה יתקבלו חיבורים. חומת אש מבוססת מארח מעניקה למנהל גמישות נוספת להתקנה ולבדוק שירותים חדשים באופן מבוקר לפני הפיכתם לזמינים יותר. אם גמישות כזו אינה נדרשת, יש פחות סיבה להתקין חומת אש בשרת.

בהערה אחרונה, יש פריט אחד שלא הוזכר ברשימת האבטחה שלך, כי אני תמיד להוסיף, וכי הוא מבוסס מארח מבוסס חדירה מערכת איתור (HIDS), כגון סיוע או samhain. HIDS טוב מקשה מאוד על פולש לבצע שינויים לא רצויים למערכת להישאר unetected. אני מאמין שכל השרתים צריכים לרוץ איזה HIDS.


8
2017-11-12 23:10



+1 להזכיר את מערכות HIDS. - Sam Halicke
HIDS הם נהדר - אם אתה מתכוון להגדיר את זה ולשכוח את זה. ולעולם לא להוסיף או למחוק חשבונות. אחרת הרוב המכריע של HIDS יומני הולכים להיות רשימות ארוכות של מה שעשית היום, ובקרוב יהיה בסופו של דבר להתעלם כל הזמן. - Ernie
שום כאב, שום רווח, כמו שאומרים. בשרתים עם הרבה שינויים, ניתן לסנן את הרעש הצפוי, עוזב אותך להתרכז על הבלתי צפוי. - Steven Monday


חומת אש היא כלי. זה לא עושה דברים מאובטח בפני עצמו, אבל זה יכול לעשות תרומה כמו שכבה ברשת מאובטחת. זה לא אומר שאתה צריך אחד, ואני בהחלט לדאוג לאנשים אשר בעיוור אומר "אני חייב לקבל חומת אש" בלי להבין למה הם חושבים ככה ואינם מבינים את נקודות החוזק והחולשות של חומות אש.

יש הרבה כלים שאנחנו יכולים לומר שאנחנו לא צריכים ... האם ניתן להפעיל את Windows Windows ללא אנטי וירוס? כן זה ... אבל זה שכבה טובה של ביטוח יש אחד.

הייתי אומר אותו דבר על חומות אש - כל מה שאתה יכול לומר עליהם, הם ברמה טובה של ביטוח. הם אינם תחליף תיקון, עבור נעילה מכונות למטה, עבור שירותי השבתת אתה לא משתמש, עבור כניסה, וכו '... אבל הם יכולים להיות תוספת שימושית.

אני גם מציע כי המשוואה משתנה במקצת, תלוי אם אתה מדבר על הצבת חומת אש מול קבוצה של שרתים מטופלים היטב, כפי שאתה נראה, או LAN טיפוסית עם שילוב של תחנות עבודה ושרתים , שחלקם עשויים להיות פועל כמה דברים שעירים למדי למרות המאמצים ואת המשאלות הטובות ביותר של צוות ה- IT.

דבר נוסף שיש לקחת בחשבון הוא היתרון של יצירת מטרה קשוחה בעליל. ביטחון גלוי, בין אם זה אורות בהירים, מנעולים כבדים ותזכורת ברורה על בניין; או חומת אש ברור על טווח העסק של כתובות IP יכול להרתיע את הפורץ מזדמנים - הם ילכו לחפש טרף קל. זה לא ירתיע את הפורץ הנחוש שיודע שיש בידו מידע שהם רוצים והוא נחוש בדעתו להשיג אותו, אך הרתעה של הפולשים הזמניים עדיין משתלמת - במיוחד אם אתה יודע שכל פולש שחקירתו נמשכת על פני ההרתעה צריך להילקח ברצינות רבה .


6
2017-11-12 22:25



לכן הסיבה אמרתי "שרתים" במקום "רשת המשרד"? :) במקרה שלנו במיוחד, מרכז הנתונים ואת שתי ישויות נפרדות פיזית. - Ernie
אני מבין את ארני, אבל זו נקודה שראוי להבהיר אותה ... כך עשיתי. - Rob Moir


כל השאלות הגדולות. אבל - אני מאוד מופתע ביצועים לא הובא אל השולחן.

עבור מאוד (CPU- חכם) המשמש מסופים אינטרנט, חומת האש המקומית באמת מבזה ביצועים, נקודה. נסה לבדוק עומס ולראות. ראיתי את הטון הזה פעמים רבות. כיבוי של חומת האש הגדילה את הביצועים (בקשה לשנייה) ב -70% או יותר.

זה המסחר חייב להיות נחשב.


5
2017-11-13 22:28



זה תלוי מאוד על כללי חומת האש במקום. כללי חומת האש מופעלים ברצף על כל מנה, כך שאינך רוצה שיהיו לך מאות כללים שיש להציץ בהם. בחורף שעבר, כשניהלנו אתר עם פרסומת על הסופרבול, כללי חומת האש לא היו בעיה, למשל. אבל אני מסכים שאתה צריך להבין את ההשפעה על הביצועים של כללי חומת האש. - Sean Reifschneider


חומת אש היא הגנה נוספת. שלושה תרחישים ספציפיים שמגינים עליהם הם התקפות רשת (כלומר, מערכת ההפעלה של השרת שלך יש פגיעות על מנות בעלות מבנה מיוחד, שמעולם לא הגיעו לרמה של יציאות), חדירה מוצלחת שמקשרת ל"בית הטלפון "(או שולחת דואר זבל, או מה שלא יהיה) ), או פריצה מוצלחת פתיחת יציאת שרת או, פחות לזיהוי, לצפות ברצף דפיקות יציאה לפני פתיחת יציאה. אמנם, שני האחרונים יש לעשות עם מקטין את הנזק של חדירה במקום למנוע אותו, אבל זה לא אומר שזה חסר תועלת. זכור כי הביטחון הוא לא הכל או לא כלום הצעה; אחד לוקח גישה שכבתית, חגורה כתפיות, כדי להשיג רמה של ביטחון זה מספיק לצרכים שלך.


4
2017-11-13 12:37



+1 בהחלט, ההגנה לעומק היא המפתח. - Jim OHalloran
אני לא רואה איך אני יכול לקבל כל ציפייה לחסימת תעבורה יוצאת לכל השפעה, במיוחד כאשר הלקוחות שלנו מצפים שרבים מהשרתים שלנו ישלחו דואר למארחים אקראיים באינטרנט (כמו במקרה של דואר זבל). "צלצול הביתה" הוא רק עניין של חיבור לאף מארח אקראי אחר ברשת - ואני מסופק אם חוסמים את כל הקישורים היוצאים, למעט כמה מהם יעזרו למשהו בכלל - כלומר, אם אתה רוצה לעשות כל דבר באינטרנט. חסימת רק כמה יציאות היא סוג של כמו הגדרת דוכן האגרה באמצע המדבר. - Ernie


אני לא מומחה אבטחה בשום אופן, אבל זה נשמע כאילו אתה firewall'ed. נראה כאילו לקחת חלק הפונקציונליות הליבה של חומת אש והפך אותו חלק של המדיניות שלך ואת ההליכים. לא, אתה לא צריך חומת אש אם אתה הולך לעשות את אותה עבודה כמו חומת אש עצמך. אשר לי, אני מעדיף לעשות כמיטב יכולתי לשמור על האבטחה, אבל יש לי חומת אש שמסתכלת על הכתף שלי, אבל בשלב מסוים, כאשר אתה יכול לעשות את כל מה שחומת האש עושה, זה מתחיל להיות לא רלוונטי.


3
2017-11-13 10:47