Pare-feu matériel vs. Pare-feu logiciel (tables IP, Rhel)
Ma société d'hébergement indique que iptables est inutile et ne fournit pas aucune protection. Est-ce un mensonge?
TL; DR
[.____] J'ai deux serveurs co-localisés. Hier mon DC compagnie m'a contacté pour me dire que, parce que j'utilise un pare-feu logiciel, mon serveur est "vulnérable à plusieurs menaces de sécurité critiques" et ma solution actuelle offre "Aucune protection contre toute forme d'attaque ".
Ils disent que j'ai besoin d'obtenir un pare-feu Cisco dédié (installation de 1 000 $ puis 200 $/mois chacun) pour protéger mes serveurs. J'ai toujours eu l'impression que, tandis que les pare-feu matériels sont plus sécurisés, quelque chose comme IPtables sur RedHat offrait suffisamment de protection pour votre serveur moyen.
Les deux serveurs ne sont que des serveurs Web, il n'y a rien de critique important sur eux, mais j'ai utilisé des IPTABLES pour verrouiller SSH sur mon adresse IP statique et bloquer tout sauf les ports de base (HTTP (S), FTP et quelques autres services standard. ).
Je ne vais pas avoir le pare-feu, si l'éther des serveurs a été piraté, ce serait un inconvénient, mais tout ce qu'ils couraient est quelques-uns WordPress et joomla sites donc je ne pense certainement pas que ce soit vaut l'argent.
Les pare-feu matériels sont également en cours d'exécution, la seule différence réelle est que l'appareil est intégré et dédié à la tâche. Les pare-feu logiciels sur les serveurs peuvent être aussi sécurisés que les pare-feu matériels lorsqu'ils sont correctement configurés (noter que les pare-feu matériels sont généralement "plus faciles" à atteindre ce niveau, et les pare-feu logiciels sont "plus faciles" à bousiller).
Si vous utilisez un logiciel obsolète, il y a probablement une vulnérabilité connue. Bien que votre serveur soit susceptible d'être susceptible de ce vecteur d'attaque, indiquant qu'elle n'est pas protégée est inflammatoire, trompeuse ou un mensonge en gras (dépend de ce qu'ils ont dit exactement et comment ils l'ont signalé). Vous devez mettre à jour le logiciel et patcher toutes les vulnérabilités connues, quelle que soit la probabilité d'exploitation.
Indiquant que iptables est inefficace est trompeur au mieux . Bien que, à nouveau, si la règle est Permettez tout de tout à tous puis ouais, cela ne ferait rien du tout.
Note latérale: Tous mes serveurs personnels sont FreeBSD alimentés et n'utilisez que IPFW (pare-feu logiciel intégré). Je n'ai jamais eu de problème avec cette configuration; Je suis également suivi des annonces de sécurité et je n'ai jamais vu de problèmes avec ce logiciel de pare-feu.
[.____] au travail, nous avons une sécurité en couches; Le pare-feu EDGE filtre toute la merde évidente (pare-feu matériel); Pare-feu interne Filtrer le trafic vers le bas pour les serveurs individuels ou l'emplacement sur le réseau (mélange de périmés principalement logiciels et matériels).
[.____] Pour des réseaux complexes de toute nature, la sécurité des couches est la plus appropriée. Pour les serveurs simples comme le vôtre, il peut y avoir un peu de pare-feu matériel séparé, mais assez peu.
Si votre trafic est faible, essayez une petite Cisco ASA Unit comme le 5505 . C'est dans la gamme de 500 $ à 700 $ et définitivement construite. Le co-lo est sorta vous donnant BS, mais leurs tarifs pour le pare-feu sont également déraisonnables.
Je pense que cela dépend aussi de la performance. Quel pare-feu basé sur le logiciel/serveur utilise des cycles CPU, un pare-feu matériel peut faire avec des puces construites à des fins (ASICS) qui conduit à de meilleures performances et débit.
De votre point de vue, la vraie différence entre "logiciel" (sur la machine elle-même) et les pare-feu "matériels" est que, dans le premier cas, le trafic est déjà à la machine que vous souhaitez protéger, donc c'est potentiellement plus vulnérable si quelque chose a été négligé ou mal configuré.
Un pare-feu matériel agit essentiellement de pré-filtre, ce qui permet uniquement de trafic spécifique d'atteindre et/ou de quitter votre serveur.
Compte tenu de votre cas d'utilisation et en supposant bien sûr que vous avez des sauvegardes appropriées, la dépense supplémentaire serait très difficile à justifier. Personnellement, je continuerais avec ce que vous avez, bien que peut-être utiliser une autre société d'hébergement.
En retard au jeu sur celui-ci. Oui, le fournisseur de services n'a aucune idée de ce qu'ils parlent. Si vous êtes un administrateur IPTABLE compétent, je dirais que vous êtes plus sécurisé qu'un pare-feu matériel hors de la boîte. La raison en est que lorsque je les ai utilisés, la Nice Gee-Whiz Interface ne reflète pas la configuration réelle de ce que le trafic est autorisé. Les vendeurs essaient de baisser les personnes stupides. Je veux savoir sur toutes les possibilités de chaque paquet d'entrer et de sortir.
IPTABLE n'est pas pour tout le monde, mais si vous êtes sérieux à propos de la sécurité, vous voulez être aussi proche que possible du fil. Sécuriser un système est facile - ingénierie inverse d'un pare-feu Blackbox n'est pas.