Pertanyaan Mengapa saya harus server firewall?


TOLONG DICATAT: Saya tidak tertarik membuat ini menjadi perang api! Saya mengerti bahwa banyak orang memiliki keyakinan yang dipegang teguh mengenai hal ini, tidak dalam bagian kecil karena mereka telah berupaya keras dalam solusi firewall mereka, dan juga karena mereka telah diindoktrinasi untuk percaya pada kebutuhan mereka.

Namun, saya mencari jawaban dari orang-orang yang ada ahli dalam keamanan. Saya percaya ini adalah pertanyaan penting, dan jawabannya akan lebih bermanfaat daripada hanya diri saya dan perusahaan tempat saya bekerja. Saya telah menjalankan jaringan server kami selama beberapa tahun tanpa kompromi, tanpa firewall sama sekali. Tak satu pun dari kompromi keamanan yang kita memiliki telah bisa dicegah dengan firewall.

Saya kira saya sudah bekerja di sini terlalu lama, karena ketika saya mengatakan "server", saya selalu berarti "layanan yang ditawarkan kepada publik", bukan "basis data penagihan internal rahasia". Dengan demikian, ada aturannya kita akan di firewall apa pun harus mengizinkan akses ke seluruh Internet. Juga, server akses publik kami semua berada di pusat data khusus yang terpisah dari kantor kami.

Orang lain menanyakan pertanyaan serupa, dan jawaban saya terpilih ke dalam angka negatif. Ini membuat saya percaya bahwa orang yang memilihnya tidak benar-benar mengerti jawaban saya, atau saya tidak cukup memahami keamanan untuk melakukan apa yang sedang saya lakukan.

Ini adalah pendekatan saya terhadap keamanan server:

  1. Ikuti sistem operasi saya panduan keamanan  sebelum menghubungkan server saya ke Internet.

  2. Gunakan TCP wrappers untuk membatasi akses ke SSH (dan layanan manajemen lainnya) ke sejumlah kecil alamat IP.

  3. Pantau status server ini dengan Munin. Dan memperbaiki masalah keamanan mengerikan yang melekat pada Munin-node dalam konfigurasi defaultnya.

  4. Nmap server baru saya (juga sebelum menghubungkan server saya ke Internet). Jika saya ke firewall server ini, ini harus set tepat port koneksi masuk harus dibatasi.

  5. Instal server di ruang server dan berikan alamat IP publik.

  6. Jaga keamanan sistem dengan menggunakan fitur pembaruan keamanan sistem operasi saya.

Filosofi saya (dan dasar dari pertanyaan) adalah bahwa keamanan berbasis host yang kuat menghilangkan kebutuhan firewall. Filosofi keamanan secara keseluruhan mengatakan bahwa keamanan berbasis host yang kuat masih diperlukan bahkan jika Anda memiliki firewall (lihat panduan keamanan). Alasan untuk ini adalah bahwa firewall yang meneruskan layanan publik ke server memungkinkan penyerang sama seperti tidak ada firewall sama sekali. Ini adalah layanan itu sendiri yang rentan, dan karena menawarkan layanan itu ke seluruh Internet adalah persyaratan operasinya, membatasi akses ke itu bukan itu intinya.

Jika ada adalah tersedia di server yang tidak perlu diakses oleh seluruh Internet, maka perangkat lunak itu harus dimatikan pada langkah 1, dan diverifikasi oleh langkah 4. Jika penyerang berhasil membobol server melalui perangkat lunak yang rentan dan membuka port sendiri, penyerang dapat (dan melakukan) dengan mudah mengalahkan firewall dengan membuat koneksi keluar pada port acak sebagai gantinya. Titik keamanan tidak untuk membela diri setelah serangan yang sukses - itu sudah terbukti tidak mungkin - itu untuk menjaga penyerang keluar di tempat pertama.

Telah disarankan bahwa ada pertimbangan keamanan lain selain port terbuka - tetapi bagi saya itu hanya terdengar seperti membela iman seseorang. Setiap kerentanan sistem operasi / TCP stack harus sama-sama rentan apakah firewall ada atau tidak - berdasarkan fakta bahwa port sedang diteruskan langsung ke sistem operasi / TCP stack. Demikian juga, menjalankan firewall Anda di server itu sendiri sebagai lawan memilikinya di router (atau lebih buruk, di kedua tempat) tampaknya menambahkan lapisan kompleksitas yang tidak perlu. Saya memahami filosofi "keamanan datang dalam lapisan", tetapi ada titik di mana itu seperti membangun atap dengan menumpuk X jumlah lapisan kayu lapis di atas satu sama lain dan kemudian mengebor lubang melalui semua itu. Lapisan lain dari kayu lapis tidak akan menghentikan kebocoran melalui lubang yang Anda buat dengan sengaja.

Sejujurnya, satu-satunya cara saya melihat firewall yang digunakan untuk server adalah jika ia memiliki aturan dinamis yang mencegah semua koneksi ke semua server dari penyerang yang dikenal - seperti RBLs untuk spam (yang kebetulan, cukup banyak apa yang dilakukan server email kami) . Sayangnya, saya tidak dapat menemukan firewall yang melakukan itu. Hal terbaik berikutnya adalah server IDS, tetapi itu mengasumsikan bahwa penyerang tidak menyerang server Anda yang sebenarnya terlebih dahulu, dan penyerang itu repot-repot untuk menyelidiki seluruh jaringan Anda sebelum menyerang. Selain itu, ini telah diketahui menghasilkan sejumlah besar positif palsu.


101
2017-11-12 21:11




Dan SEMUA lalu lintas yang lewat di antara server Anda dienkripsi? - GregD
Suka. Aturan firewall lokal hampir selalu hanya voodoo. - unixtippse
Apakah Anda memiliki desktop / karyawan di jaringan Anda juga? Apa yang Anda lakukan dengan mereka? - Brandon
Pertanyaan ini sangat cocok untuk itu security.stackexchange.com - Olivier Lalonde
@routeNpingme: Sepertinya saya tidak menyertakan berita gembira di pos asli saya. Semua server kami harus terbuka untuk umum, dan tinggal di pusat data khusus. Jika kantor Anda adalah pusat data Anda, saya kira akan perlu memiliki firewall antara jaringan server Anda dan jaringan kantor Anda. Dalam hal ini, saya berbicara tentang jaringan server - mengapa firewall sesuatu yang memiliki akses publik yang lengkap? - Ernie


Jawaban:


Keuntungan dari firewall:

  1. Anda dapat memfilter lalu lintas keluar.
  2. Layer 7 firewall (IPS) dapat melindungi terhadap kerentanan aplikasi yang diketahui.
  3. Anda dapat memblokir rentang alamat IP tertentu dan / atau port secara terpusat daripada mencoba untuk memastikan bahwa tidak ada layanan mendengarkan di port tersebut pada setiap mesin individu atau menolak akses menggunakan TCP Wrappers.
  4. Firewall dapat membantu jika Anda harus berurusan dengan pengguna / administrator yang kurang sadar keamanan karena mereka akan menyediakan pertahanan lini kedua. Tanpa mereka, seseorang harus benar-benar yakin bahwa host aman, yang membutuhkan pemahaman keamanan yang baik dari semua administrator.
  5. Log firewall akan menyediakan log pusat dan membantu mendeteksi scan vertikal. Log firewall dapat membantu menentukan apakah beberapa pengguna / klien mencoba menyambung ke port yang sama dari semua server Anda secara berkala. Untuk melakukan ini tanpa firewall, seseorang harus menggabungkan log dari berbagai server / host untuk mendapatkan tampilan yang terpusat.
  6. Firewall juga dilengkapi dengan modul anti-spam / anti-virus yang juga menambah perlindungan.
  7. Keamanan independen OS. Berdasarkan OS host, teknik / metode yang berbeda diperlukan untuk membuat host aman. Sebagai contoh, TCP Wrappers mungkin tidak tersedia pada mesin Windows.

Di atas semua ini jika Anda tidak memiliki firewall dan sistem dikompromikan maka bagaimana Anda akan mendeteksinya? Mencoba menjalankan beberapa perintah 'ps', 'netstat', dll. Pada sistem lokal tidak dapat dipercaya karena binari tersebut dapat diganti. 'nmap' dari sistem jarak jauh tidak dijamin perlindungan karena penyerang dapat memastikan bahwa root-kit hanya menerima koneksi dari alamat IP sumber terpilih pada waktu yang dipilih.

Hardware firewall membantu dalam skenario seperti itu sangat sulit untuk mengubah OS firewall / file dibandingkan dengan host OS / file.

Kekurangan firewall:

  1. Orang-orang merasa bahwa firewall akan menjaga keamanan dan tidak memperbarui sistem secara teratur dan menghentikan layanan yang tidak diinginkan.
  2. Harga mereka. Kadang-kadang biaya lisensi tahunan harus dibayar. Terutama jika firewall memiliki modul anti-virus dan anti-spam.
  3. Tambahan satu titik kegagalan. Jika semua lalu lintas melewati firewall dan firewall gagal maka jaringan akan berhenti. Kita dapat memiliki firewall yang redundan, tetapi titik sebelumnya pada biaya semakin diperkuat.
  4. Pelacakan stateful tidak memberikan nilai pada sistem yang menghadap publik yang menerima semua koneksi yang masuk.
  5. Firewall stateful adalah hambatan besar selama serangan DDoS dan sering kali menjadi hal pertama yang gagal, karena mereka berusaha untuk memegang status dan memeriksa semua koneksi yang masuk.
  6. Firewall tidak dapat melihat di dalam lalu lintas yang dienkripsi. Karena semua lalu lintas harus dienkripsi secara end-to-end, sebagian besar firewall menambahkan sedikit nilai di depan server publik. Beberapa firewall generasi berikutnya dapat diberikan kunci pribadi untuk mengakhiri TLS dan melihat di dalam lalu lintas, namun hal ini meningkatkan kerentanan firewall ke DDoS bahkan lebih lagi, dan memecah model keamanan TLS end-to-end.
  7. Sistem operasi dan aplikasi ditambal terhadap kerentanan jauh lebih cepat daripada firewall. Vendor firewall sering duduk di masalah yang diketahui tahun tanpa menambal, dan menambal cluster firewall biasanya membutuhkan downtime untuk banyak layanan dan koneksi keluar.
  8. Firewall jauh dari sempurna, dan banyak yang terkenal buggy. Firewall hanya perangkat lunak yang berjalan pada beberapa bentuk sistem operasi, mungkin dengan tambahan ASIC atau FPGA selain CPU (biasanya lambat). Firewall memiliki bug, tetapi mereka tampaknya menyediakan beberapa alat untuk mengatasinya. Oleh karena itu, firewall menambah kerumitan dan sumber tambahan galat yang sulit didiagnosis ke tumpukan aplikasi.

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? Deteksi intrusion bukan pekerjaan firewall. Pekerjaan itu ditangani dengan lebih tepat oleh HIDS (sistem deteksi intrusi berbasis host), yang tidak bergantung pada firewall. - Steven Monday
Server Syslog menghilangkan kebutuhan untuk item 5. Jika ada, yang terbaik adalah mengirim log firewall Anda ke server syslog, jika seorang penyerang berhasil berkompromi dengan firewall dan menghapus lognya. Kemudian penyerang harus berkompromi dua sistem hanya untuk menghapus log, dan mereka mungkin tidak siap untuk itu (terutama dengan serangan otomatis). Demikian pula, jika semua sistem Anda memiliki pencatatan terpusat, Anda mendapatkan detail yang lebih baik tentang serangan daripada yang dapat diberikan firewall. - Ernie
Maksud saya adalah karena HIDS berada di host kami tidak dapat mempercayai outputnya. Sebagai contoh, bahkan jika kita menggunakan 'tripwire' yang aman secara kriptografi sebagai IDS berbasis host, penyerang dapat selalu mengganti semua biner tripwire (twadmin, tripwire, twprint, dll.) Dengan versi yang disusupi yang tidak akan pernah melaporkan intrusi. Bahkan jika kita mencoba untuk menyalin pustaka / binari dari sistem lain, bisa ada proses yang berjalan yang memantau binari yang dikompromikan ini dan kembali menggantikannya dengan versi rusak jika mereka diganti atau diperbarui. Firewall menjadi independen dari host, dapat dipercaya dalam skenario tersebut. - Saurabh Barjatiya
Jawaban ini diterima di atas yang lebih populer karena menyediakan lebih baik dan seperangkat alasan yang lebih komprehensif untuk menggunakan firewall. Dan tidak, dalam hal itu. - Ernie
Firewall inspeksi paket stateful tidak termasuk di depan server. Mereka adalah tanggung jawab besar dalam serangan DDoS, dan biasanya merupakan hal pertama yang gagal diserang. - rmalayter


TCP Wrappers bisa dibilang disebut implementasi firewall berbasis host; Anda memfilter lalu lintas jaringan.

Untuk titik pada penyerang membuat koneksi keluar pada port yang sewenang-wenang, firewall akan menyediakan sarana untuk mengontrol lalu lintas keluar juga; firewall yang dikonfigurasi dengan benar mengelola jalan masuk dan keluar dengan cara yang sesuai dengan risiko yang terkait dengan sistem.

Pada intinya tentang bagaimana kerentanan TCP tidak dimitigasi oleh firewall, Anda tidak terbiasa dengan cara kerja firewall. Cisco memiliki sejumlah aturan yang tersedia untuk diunduh yang mengidentifikasi paket-paket yang dibangun dengan cara yang akan menyebabkan masalah sistem operasi tertentu. Jika Anda mengambil Snort dan mulai menjalankannya dengan kumpulan aturan yang benar, Anda juga akan mendapatkan pemberitahuan tentang hal semacam ini. Dan tentu saja, Linux iptables dapat menyaring paket-paket berbahaya.

Pada dasarnya, firewall adalah perlindungan proaktif. Semakin jauh Anda menjauh dari bersikap proaktif, kemungkinan besar Anda akan menemukan diri Anda dalam situasi di mana Anda bereaksi terhadap masalah daripada mencegah masalah. Mengonsentrasikan perlindungan Anda di perbatasan, seperti halnya firewall khusus, membuat segalanya lebih mudah untuk dikelola karena Anda memiliki titik pusat choke daripada menduplikasi aturan di mana-mana.

Tetapi tidak ada satu hal pun yang pasti merupakan solusi akhir. Solusi keamanan yang baik umumnya adalah multi-layer, di mana Anda memiliki firewall di perbatasan, TCP wrappers di perangkat, dan mungkin beberapa aturan pada router internal juga. Anda biasanya harus melindungi jaringan dari Internet, dan melindungi node dari satu sama lain. Pendekatan multi-layer ini tidak seperti pengeboran lubang melalui beberapa lembar kayu lapis, itu lebih seperti memasang sepasang pintu sehingga penyusup memiliki dua kunci untuk dipecahkan, bukan hanya satu; ini disebut jebakan manusia dalam keamanan fisik, dan hampir setiap bangunan memiliki satu karena suatu alasan. :)


33
2017-11-12 22:04



Juga jika mereka menyelinap di dalam gedung dan membuka pintu dalam untuk teman mereka di luar, mereka kemudian harus membuka dan membuka pintu luar. (yaitu tanpa firewall eksternal, seseorang yang masuk ke server Anda dapat membukanya, sedangkan firewall eksternal masih akan memblokir port terbuka dari luar) - Ricket
@Ricket: Mungkin mereka bisa, tetapi penyerang modern tidak peduli dengan hal-hal seperti ini. Situs Anda harus menjadi minat khusus bagi penyerang untuk melakukan apa pun selain menambahkan server Anda ke sebuah peternakan zombie. - Ernie
@Ernie - tidak, itu hanya perlu ada untuk secara otomatis diperiksa untuk ruang bebas untuk Warez, basis data pelanggan, info keuangan, kata sandi, dan ditambahkan ke botnet - tetapi bahkan itu bisa menjadi cukup buruk - beberapa admin akan dengan senang hati menghitamkan IP Anda jika sepertinya Anda meng-host zombie. - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementation Beri +1 untuk jawaban yang bagus. - sjas


(Anda mungkin ingin membaca "Hidup tanpa Firewall")

Sekarang: Bagaimana dengan memiliki sistem warisan yang tidak ada tambalan diterbitkan lagi? Bagaimana dengan tidak dapat menerapkan patch ke N-mesin pada saat Anda perlu melakukannya, sementara pada saat yang sama Anda dapat menerapkannya dalam lebih sedikit node di jaringan (firewall)?

Tidak ada gunanya memperdebatkan keberadaan atau kebutuhan firewall. Yang penting adalah Anda harus menerapkan kebijakan keamanan. Untuk melakukannya, Anda akan menggunakan alat apa pun yang akan menerapkannya dan membantu Anda mengelola, memperluas, dan mengembangkannya. Jika firewall diperlukan untuk melakukannya, itu bagus. Jika mereka tidak dibutuhkan, itu juga bagus. Apa yang benar-benar penting adalah memiliki implementasi kebijakan keamanan Anda yang berfungsi dan dapat diverifikasi.


15
2017-11-12 21:31



Heh. Saya telah menjalankan jaringan server kami selama 8 tahun terakhir tanpa firewall. Saya bisa tertulis "Hidup tanpa firewall", tetapi dia melakukan pekerjaan yang jauh lebih baik dan menjalankan jaringan yang lebih besar dari saya. - Ernie
@Ernie - Saya kira Anda bisa saja beruntung. Bagaimana Anda tahu bahwa Anda belum dikompromikan? Hasil penyelidikan forensik pada banyak klien saya telah menemukan kompromi, kadang-kadang dating kembali bulan, sementara penyerang menemukan informasi pribadi dan keuangan, rincian klien, kekayaan intelektual, rencana bisnis, dll. Seperti yang dikatakan Sean - dapatkan audit keamanan yang tepat dilakukan. - Rory Alsop
Sebenarnya, terlepas dari fakta bahwa jaringan server kami secara fisik terpisah dari jaringan kantor kami (dan dengan demikian, tidak ada data yang benar-benar sensitif yang dapat diperoleh darinya, bahkan dengan akses root pada setiap server), saya telah dapat menemukan setiap kompromi kami sudah sejak saya mulai di sini. Saya bisa melanjutkan tentang pertunjukan horor yang ada ketika saya mulai, tetapi saya tidak memiliki cukup ruang. :) Cukuplah untuk mengatakan bahwa sebagian besar serangan tidak halus, dan yang halus juga dapat ditemukan. Oh ya, dan pemisahan hak istimewa pengguna adalah teman Anda. - Ernie


Sebagian besar penjelasan Anda tampaknya menyangkal perlunya firewall, tetapi saya tidak melihat ada yang ingin memilikinya, selain hanya sedikit waktu untuk menetapkannya.

Beberapa hal merupakan "keharusan" dalam arti kata yang ketat. Keamanan lebih tentang mengatur semua blokade yang Anda bisa. Semakin banyak pekerjaan yang diperlukan untuk masuk ke server Anda berarti lebih sedikit kesempatan untuk serangan yang sukses. Anda ingin membuatnya lebih bekerja untuk masuk ke komputer Anda daripada di tempat lain. Menambahkan firewall membuat lebih banyak pekerjaan.

Saya pikir penggunaan utama adalah redundansi dalam keamanan. Kelebihan lain dari firewall adalah Anda cukup menjatuhkan upaya untuk terhubung ke port apa pun daripada menanggapi permintaan yang ditolak - ini akan membuat sedikit lebih tidak nyaman bagi penyerang.

Yang paling penting bagi saya pada catatan praktis dari pertanyaan Anda adalah Anda dapat mengunci SSH, ICMP, dan layanan internal lainnya ke subnet lokal serta membatasi koneksi masuk tingkat untuk membantu meringankan serangan DOS.

"Intinya keamanan bukan untuk membela diri setelah serangan yang sukses - itu sudah terbukti tidak mungkin - itu untuk menjaga penyerang keluar di tempat pertama."

Saya tidak setuju. Membatasi kerusakan bisa sama pentingnya. (di bawah ideal ini mengapa hash password? atau tongkat perangkat lunak database Anda pada server yang berbeda dari aplikasi web Anda?) Saya pikir pepatah lama "Jangan tempelkan semua telur Anda dalam satu keranjang" berlaku di sini.


9
2017-11-12 21:30



Yah, kamu benar, aku tidak menaruh kerugian apa pun di sana. Cons: peningkatan kompleksitas jaringan, satu titik kegagalan, antarmuka jaringan tunggal melalui mana bandwidth adalah bottleneck. Demikian juga, kesalahan administrasi yang dilakukan pada satu firewall dapat membunuh seluruh jaringan Anda. Dan para dewa melarang Anda mengunci diri saat itu ketika perjalanan 20 menit ke ruang server. - Ernie
Ini mungkin murni retoris, tetapi ketika Anda mengatakan "Keamanan lebih tentang mengatur semua blokade Anda dapat", saya lebih suka mendengar "Keamanan lebih tentang memblokir semuanya secara default, dan hati-hati membuka ketat ketat untuk beroperasi". - MatthieuP
+1 Rencana keamanan komprehensif mencakup pencegahan, deteksi, dan respons. - Jim OHalloran


Should I firewall my server? Pertanyaan bagus. Tampaknya tidak ada gunanya menampar firewall di atas tumpukan jaringan yang sudah menolak upaya koneksi ke semua tetapi beberapa port yang secara sah terbuka. Jika ada kerentanan dalam OS yang memungkinkan paket yang dibuat dengan jahat untuk mengganggu / mengeksploitasi host, akankah firewall berjalan di host yang sama mencegah eksploitasi? Baik, mungkin ...

Dan itu mungkin alasan terkuat untuk menjalankan firewall pada setiap host: Firewall mungkin mencegah kerentanan tumpukan jaringan agar tidak dieksploitasi. Apakah itu alasan yang cukup kuat? Saya tidak tahu, tapi saya kira orang bisa berkata, "Tidak ada yang pernah dipecat karena memasang firewall."

Alasan lain untuk menjalankan firewall pada server adalah untuk memisahkan dua kekhawatiran yang sangat berkorelasi ini:

  1. Dari mana, dan ke port apa, apakah saya menerima koneksi?
  2. Layanan mana yang berjalan dan mendengarkan koneksi?

Tanpa firewall, rangkaian layanan yang berjalan (bersama dengan konfigurasi untuk tcpwrappers dan semacamnya) sepenuhnya menentukan rangkaian port yang akan dibuka oleh server, dan dari siapa koneksi akan diterima. Firewall berbasis host memberi admin fleksibilitas tambahan untuk menginstal dan menguji layanan baru dengan cara yang terkontrol sebelum membuatnya tersedia lebih luas. Jika fleksibilitas seperti itu tidak diperlukan, maka tidak ada alasan untuk memasang firewall di server.

Pada catatan terakhir, ada satu item yang tidak disebutkan dalam daftar periksa keamanan Anda yang selalu saya tambahkan, dan itu adalah sistem deteksi intrusi berbasis host (HIDS), seperti PEMBANTU atau samhain. HIDS yang baik membuat sangat sulit bagi penyusup untuk membuat perubahan yang tidak diinginkan pada sistem dan tetap tidak terdeteksi. Saya percaya semua server harus menjalankan semacam HIDS.


8
2017-11-12 23:10



+1 untuk menyebut sistem HIDS. - Sam Halicke
HIDS luar biasa - Jika Anda ingin mengaturnya dan melupakannya. Dan jangan pernah menambah atau menghapus akun. Jika tidak, sebagian besar log HIDS akan menjadi daftar panjang dari apa yang Anda lakukan hari ini, dan akan dengan cepat berakhir diabaikan sepanjang waktu. - Ernie
Tidak ada rasa sakit, tidak ada keuntungan, seperti yang mereka katakan. Pada server dengan banyak perubahan, dimungkinkan untuk menyaring suara yang diharapkan, sehingga Anda berkonsentrasi pada hal yang tidak terduga. - Steven Monday


Firewall adalah alat. Itu tidak membuat hal-hal aman dalam dirinya sendiri, tetapi dapat membuat kontribusi sebagai lapisan dalam jaringan yang aman. Itu tidak berarti Anda membutuhkannya, dan saya tentu khawatir tentang orang-orang yang secara membabi buta mengatakan, "Saya harus mendapatkan firewall" tanpa memahami mengapa mereka berpikir demikian dan yang tidak memahami kekuatan dan kelemahan firewall.

Ada banyak alat yang bisa kita katakan tidak perlu ... Apakah mungkin menjalankan komputer Windows tanpa Antivirus? Ya itu ... tapi itu lapisan asuransi yang bagus untuk memilikinya.

Saya akan mengatakan hal yang sama tentang firewall - apa pun yang Anda bisa katakan tentang mereka, mereka adalah tingkat asuransi yang bagus. Mereka bukan pengganti untuk menambal, untuk mengunci mesin, untuk menonaktifkan layanan yang tidak Anda gunakan, untuk penebangan, dll ... tetapi mereka dapat menjadi suplemen yang berguna.

Saya juga akan menyarankan bahwa perubahan persamaan agak tergantung pada apakah Anda berbicara tentang menempatkan firewall di depan sekelompok server yang ditangani secara hati-hati, seperti Anda tampaknya, atau LAN khas dengan campuran workstation dan server , beberapa di antaranya mungkin menjalankan beberapa hal yang cukup menarik meskipun ada upaya dan keinginan terbaik dari tim TI.

Satu hal lagi yang perlu dipertimbangkan adalah manfaat dari menciptakan target yang jelas mengeras. Keamanan yang terlihat, apakah itu lampu terang, kunci berat dan kotak alarm yang jelas di gedung; atau firewall yang jelas pada rentang alamat IP bisnis dapat mencegah penyusup biasa - mereka akan mencari mangsa yang lebih mudah. Hal ini tidak akan menghalangi penyusup yang ditentukan yang tahu Anda memiliki informasi yang mereka inginkan dan bertekad untuk mendapatkannya, tetapi menghalangi para penyusup biasa masih berharga - terutama jika Anda tahu bahwa penyusup yang probe tetap bertahan melewati jera perlu diambil terutama serius .


6
2017-11-12 22:25



Jadi alasan saya mengatakan "server" bukan "jaringan kantor"? :) Dalam kasus kami khususnya, pusat data dan kantor adalah dua entitas yang terpisah secara fisik. - Ernie
Saya mengerti bahwa Ernie, tapi itu adalah poin yang layak digarisbawahi ... jadi saya lakukan. - Rob Moir


Semua pertanyaan bagus. TAPI - Saya sangat terkejut KINERJA tidak dibawa ke meja.

Untuk yang sangat (CPU-bijaksana) menggunakan ujung depan Web, firewall lokal benar-benar menurunkan kinerja, titik. Coba tes beban dan lihat. Saya melihat ini berkali-kali. Mematikan firewall meningkatkan kinerja (permintaan per-detik) sebesar 70% atau lebih.

Pertukaran ini harus dipertimbangkan.


5
2017-11-13 22:28



Itu sangat tergantung pada aturan firewall di tempat. Aturan firewall dijalankan secara berurutan di setiap paket, jadi Anda tidak ingin memiliki ratusan aturan yang harus dilihat. Musim dingin lalu ketika kami mengelola situs yang memiliki iklan di superbowl, aturan firewall tidak menjadi masalah, misalnya. Tapi saya setuju bahwa Anda perlu memahami dampak kinerja aturan firewall. - Sean Reifschneider


Firewall adalah perlindungan tambahan. Tiga skenario khusus yang dilindunginya adalah serangan tumpukan jaringan (yaitu OS server Anda memiliki kerentanan terhadap paket yang dibuat khusus yang tidak pernah mencapai tingkat port), gangguan yang berhasil membuat sambungan ke "rumah telepon" (atau mengirim spam, atau apa pun ), atau intrusi yang berhasil membuka port server atau, kurang terdeteksi, perhatikan urutan port knocking sebelum membuka port. Memang, dua yang terakhir harus dilakukan dengan mengurangi kerusakan intrusi daripada mencegahnya, tetapi itu tidak berarti itu tidak berguna. Ingat bahwa keamanan bukanlah proposisi semua atau tidak sama sekali; seseorang mengambil pendekatan berlapis, ikat pinggang dan suspender, untuk mencapai tingkat keamanan yang cukup untuk kebutuhan Anda.


4
2017-11-13 12:37



+1 Benar-benar, pertahanan secara mendalam adalah kunci. - Jim OHalloran
Saya gagal melihat bagaimana saya dapat memiliki harapan untuk memblokir lalu lintas keluar untuk efek apa pun, terutama ketika pelanggan kami mengharapkan banyak server kami untuk mengirim email ke host acak di internet (seperti halnya dengan spam). "Phoning home" hanyalah masalah menghubungkan ke beberapa host acak lainnya di internet - dan saya ragu bahwa memblokir semua koneksi keluar kecuali beberapa akan membantu apa saja - yaitu, jika Anda ingin melakukannya apa pun di internet. Dan memblokir hanya beberapa port adalah seperti membangun gardu tol di tengah padang pasir. - Ernie


Saya bukan ahli keamanan dengan cara apa pun, tetapi kedengarannya seolah-olah Anda firewall. Sepertinya Anda telah mengambil beberapa fungsi inti dari firewall dan menjadikannya bagian dari kebijakan dan prosedur Anda. Tidak, Anda tidak perlu firewall jika Anda akan melakukan pekerjaan yang sama seperti firewall sendiri. Seperti untuk diri saya sendiri, saya lebih baik melakukan yang terbaik dalam menjaga keamanan, tetapi memiliki firewall yang menoleh ke belakang, tetapi pada titik tertentu ketika Anda dapat melakukan semua yang dilakukan firewall, itu mulai menjadi tidak relevan.


3
2017-11-13 10:47