Jednou za čas, někdo přijde s nápadem, že firewally jsou opravdu není všechno potřebné. Nejvíce nedávno, Roger Grimes z InfoWorld [1] [2]. Já jsem většinou toho názoru, že jsme rozhodně pravděpodobně potřebovat firewally. Ale myslím, že body ze strany anti-frakce firewall nabízí vhled do nejen proto opravdu potřebujeme firewall, ale také to, co lidé nechápou, o firewallech.
K objasnění od začátku: Mluvím zde o starých dobrých základních síťových firewallů. Žádné hluboké pravidla prověřování paketů a není hostitelský brány firewall.
Z bezpečnostního hlediska, firewally nabízejí dvě hlavní funkce: regulují provoz, a poskytují protokoly. Druhá část je často opomíjen. Ale podívejte se na některé z příběhů tady a docela často, zjistíte, v jakých případech protokolů firewall zastaveny stupnici. Například byla "duplikát DNS odpověď" problém dříve tento týden nejprve najít pozorný čtenář sledování logů firewallu.
Pokud jde o filtrování, někteří zvažují firewall nestojí za potíže, protože "oni jen filtrování portů, které jsou uzavřeny na serveru stejně". Myslím, že to ukazuje na nedostatek pochopení toho, co může dělat firewall chrání servery. Moje nejlepší firewall vítězství přišli většinou z odchozí filtrování z dopravy se snaží opustit server.
Dalším argumentem proti je to, že firewally jsou většinou lepší zařízení, aby je filtrování: Proxy mít skutečný přehled aplikací, směrovač a přepínač ACL obvykle zvednout spodní hranice přístavu filtrování část. Pokud jde o zástupce: z říkám si taky.Ale proxy servery jsou obvykle poměrně složité zařízení nakonfigurovat správně a já jsem spíše dostat snadné věci z cesty první pomocí firewallu. Zároveň se: Jak mohu ujistit, že moje provozu skutečně používá proxy? To obvykle zahrnuje firewall.
Přepínač nebo směrovač může mít mnoho funkcí, které se nacházejí v klasickém firewall (i státní plné pravidla a některé aplikační logika). Mohou být naprosto v pořádku pro domácí uživatele nebo malé firmy. Nicméně, zejména v podnikovém kontextu, pravděpodobně budete chtít rozdělit firewall funkce jiného zařízení, a tím k jiné skupině osob. Lidé zabývající se směrování a sítě ("paketů movers") jsou obvykle ti samí lidé, které se zabývají firewall a filtrování ("paketů kapátka").
Ale kolik "moderní" Útoky jsou opravdu blokována firewallem?Nejsou všichni odeslání kopí phishing e-mail pro uživatele, přimět uživatele ke stažení malware někteří Číňané kluk napsal přes proxy server filtrování jsme instalovali? Dále se exfiltrate data pomocí stejné proxy (nebo DNS nebo SMTP ... nebo jiné služby, které mají umožnit)? V části, tyto moderní útok jsou svědectvím o účinnosti brány firewall. Útočník by pravděpodobně spíše ještě používají stejné nástroje, které používá již v 90. letech na hesla hrubou silou pro sdílení souborů a stahování dat přímo ze systému. Ale bohužel, protože teď dokonce i některé vysoké školy blok sdílení souborů pomocí brány firewall, útoky přestanou fungovat.
Proti útokům těchto moderních, máme jiné obrany. Někteří mohou pracovat proti starších verzí těchto útoků stejně.Stručně řečeno, tato obrana shrnout jako "ochrana koncového bodu" (whitelisting, anti-virus, Hostitelský firewall, kalení systému ...). Kalení velký počet koncových bodů je však mnohem obtížnější pak konfiguraci několik firewallů a umístěn na pravou kritická místa.
Do teď, pravděpodobně se zeptat sami sebe: Proč ne on mluvil o "obranu do hloubky", ale přesto? Argument není opravdu neplatí, pokud se snažíte tvrdit, odstranění zařízení. Každá další bezpečnostní zařízení může být odůvodněno s "obranu do hloubky". Ale některé bezpečnostní zařízení don nelze přidat dostatek hodnotu, která odůvodňuje náklady. Nemyslím si, že "obrana do hloubky" sám může být používán k ospravedlnění A * konkrétní * Bezpečnostní zařízení. Spíše odůvodňuje skutečnost, že některé z našich bezpečnostních zařízení jsou nadbytečné a plnit podobné, ale ne totožný, role.
Abychom to shrnuli: Pokud jste naposledy podíval na vaše pravidla firewallu a protokoly byly v roce 2003 zastavit SQL Slammer, pravděpodobně mohou také zbavit. Ale dobře řízeny, a nakonfigurovat firewall může mít významnou hodnotu. Je to jedna z jednodušších bezpečnostních zařízení, pravděpodobně jste. Považuji za dobré spolehlivé 6 střílečka ve srovnání s fantazií (ale někdy flakey) F-22. Který z nich budete brát s sebou na peníze z bankomatu, který se objevil právě v lobby hotelu Defcon ;-).
Myšlenky? Plameny? Použijte funkci komentář, nebo nám poslal neveřejné komentář prostřednictvím kontaktního formuláře.
[1] http://www.infoworld.com/d/security/the-firestorm-over-firewalls-193409
[2]
[2]
Žádné komentáře:
Okomentovat