web-dev-qa-db-fra.com

Pourquoi aurais-je besoin d'un pare-feu si mon serveur est bien configuré?

J'administre une poignée de serveurs de cloud (VPS) pour la société que je travaille.

Les serveurs sont des installations minimales Ubuntu qui exécutent des bits de piles de lampe/collecte de données entrante (RSYNC). Les données sont grandes mais non personnelles, financières ou quoi que ce soit comme ça (c'est-à-dire non pas intéressant)

Clairement ici, les gens demandent à jamais de la configuration - pare-fe et tels comme.

J'utilise un tas d'approches pour sécuriser les serveurs, par exemple (mais non limité)

  • ssh sur des ports non standard; Aucun mot de passe saisi, seules les touches SSH connues de l'IPS connu pour la connexion etc.
  • https et coquilles restreints (RSSH) généralement des clés/IPS connues
  • les serveurs sont minimes, à jour et sont correctis régulièrement
  • utilisez des choses comme Rkhunter, Cfengine, Lynis Denyhosts, etc. pour la surveillance

J'ai une vaste expérience d'UNIX SYS Admin. Je suis convaincu que je sais ce que je fais dans mes configurations. Je configure/etc fichiers. Je n'ai jamais ressenti un besoin impérieux d'installer des trucs comme des pare-feu: iptables, etc.

Mettre de côté un instant les problèmes de sécurité physique des VPS.

Q? Je ne peux pas décider si je suis naïf ou la protection incrémentielle A FW pourrait proposer vaut l'effort d'apprentissage/installation et de la complexité supplémentaire (packages, fichiers de configuration, support possible, etc.) sur les serveurs.

À ce jour (toucher le bois), je n'ai jamais eu de problèmes de sécurité, mais je ne suis pas complaisant non plus.

securityfirewallconfigurationvps
59
Aitch

Je note que vous avez fait un excellent travail attachant plusieurs démons différents, et de ce que vous avez dit, je pense qu'il est peu probable que vous exposeriez vous-même des problèmes à travers ces services que vous avez déjà sécurisés. Cela vous laisse toujours dans un "Tout est autorisé à sauf que j'ai interdit" État, et vous ne pouvez pas sortir de cet état en chassant le démon après le démon et en leur sécurisant un par un.

Un pare-feu configuré pour nier tout Par défaut vous déplace à un "Tout est interdit interdit à celui qui est autorisé" Mode de fonctionnement, et j'ai trouvé au cours de nombreuses années qu'ils sont meilleurs.

À l'heure actuelle, compte tenu d'un utilisateur légitime avec une coquille légitime sur votre système, elle pourrait décider d'exécuter un démon local non privilégié pour obtenir des demandes Web de proxyage d'Internet ou de démarrer le partage de fichiers sur le port 4662 ou d'ouvrir accidentellement un auditeur à l'aide de -g avec tunneling à port SSH, ne pas comprendre ce qu'il fait; Ou une installation Sendmail pourrait vous laisser exécuter une MUA sur le port 587 qui a été mal configurée malgré tout le travail que vous avez effectué lors de la sécurisation de l'envoi de MTA sur le port 25; Ou une centaine de choses pouvaient arriver que contournez votre sécurité prudente et réfléchie simplement parce qu'elles n'étaient pas là quand vous pensez avec précaution sur ce qu'il faut interdire.

Voyez-vous mon point? Pour le moment, vous avez mis beaucoup d'efforts pour sécuriser toutes les choses que vous connaissez, et cela ressemble à ce qu'ils ne vous mordront pas. Ce qui peut vous mordre, ce sont les choses que vous ne connaissez pas, ni ce n'est même pas là, en ce moment.

Un pare-feu qui défaut à nier tout est la façon Sysadmin de dire que si quelque chose de nouveau vient et ouvre un auditeur de réseau sur ce serveur, personne ne pourra lui parler jusqu'à ce que J'ai donné une autorisation explicite.

88
MadHatter

Principe du moindre privilège. Un pare-feu vous aide à y arriver. Principe de la défense en profondeur. Un pare-feu vous aide aussi à y arriver. Toute configuration bien conçue s'appuie explicitement sur ces deux d'une manière ou d'une autre.

Une autre chose est que vos serveurs seront probablement matériels de produits de base ou spécifiques au matériel spécifique au logiciel de manutention fonctionnant en haut d'un système d'exploitation Server standard (UNIX, NT, Linux). C'est-à-dire qu'ils n'ont pas de matériel spécialisé pour gérer et filtrer efficacement le trafic entrant. Voulez-vous que votre serveur gère chaque optique de multidiffusion possible, de paquets ICMP ou de balayage de port qui se présente?

Très probablement ce que vous voulez, c'est que vos serveurs gèrent physiquement les demandes de certains ports (80, 443, votre port SSL, votre port Oracle 1521 typique, votre port RSYNC, etc.) Oui, bien sûr, vous configurez des pare-feu logiciels sur votre serveurs à écouter ces ports uniquement. Mais vos NICs porteront toujours le franc du trafic indésirable (que ce soit maligné ou normal dans votre organisation.) Si vos Nics sont martelés, les chemins réseau suivent donc vos serveurs (et éventuellement entre vos serveurs et vos clients et connexions à autres serveurs et services internes.)

Non seulement vos nics sont martelés, votre pare-feu logiciel va également être engagé car il doit inspecter chaque paquet ou datagramme qu'il obtient.

Les pare-feu d'autre part, spécialement ceux sur les bords des sous-réseaux (ou séparant vos sous-réseaux du monde extérieur) ont tendance à être du matériel spécialisé spécifiquement conçu pour la manipulation de ce type de volume.

Vous pouvez encercler n nombre de serveurs avec M Nombre de pare-feu (avec N >> M). Et vous définissez votre matériel de pare-feu pour vider tout ce qui n'est pas dirigé vers des ports spécifiques. Les balayages de port, les ICMPS et d'autres merde sont sortis. Ensuite, vous ajustez le pare-feu logiciel dans vos serveurs en fonction de leur fonction spécifique.

Maintenant, vous venez de réduire (mais pas d'élimination) la probabilité d'une panne d'électricité totale, ce qui la réduise à un partitionnement du réseau ou de l'échec partiel au pire. Et ainsi, vous avez accru la capacité de votre système à survivre à une attaque ou à une mauvaise configuration.

Ne pas avoir de pare-feu parce que vos serveurs ont une ressemblance à la sécurité de la ceinture de sécurité en conduisant à 120 mph sous la visibilité zéro en raison du brouillard. Cela ne fonctionne pas de cette façon.

15
luis.espinal

Il y a beaucoup d'attaques que vous pourriez être succeptible si vous n'avez pas de pare-feu qui fait une sorte d'inspection de niveau de paquets:

Exemple est le paquet d'arbre de Noël

http://fr.wikipedia.org/wiki/christmas_tree_packet

Les attaques DDOS pourraient être exécutées contre votre système, un pare-feu (externe peut-être, avant que l'un de vos serveurs) ne s'arrête/ralentit/tue le trafic avant de crier vos serveurs.

Just parce que Vous n'avez pas de données financières ou personnelles sur les serveurs ne signifie pas que vous ne serez pas "blessé". Je suis sûr que vous payez pour la bande passante ou la consommation de la CPU, ou vous avez un taux mesuré. Imaginez au cours d'une nuit (pendant que vous dormez), une personne monte votre mètre (je l'ai vu arriver avec les fournisseurs de commutateurs VoIP, frappez la nuit pendant des millions de minutes de trafic, qu'ils doivent payer la facture).

Soyez donc intelligent, utilisez la protection si elle est là, vous n'êtes pas parfait, ni le logiciel. Il n'est sécurisé que jusqu'à ce que le prochain exploit soit trouvé. ;)

4
Jakub

Vous ou une autre d'autre peut faire une erreur sur votre configuration de votre serveur un jour, un pare-feu vous donne alors une 2e chance d'arrêter quelqu'un d'entrer. Nous ne sommes pas parfaits, nous faisons des erreurs, et donc un peu d'assurance "inutile" peut être utile. .

(Essayez de ne pas exécuter votre pare-feu sur le pareil os comme vos serveurs, comme un seul bogue dans le système d'exploitation ... Je considère que toutes les versions d'UNIX sont le même système d'exploitation, comme ils l'ont ainsi beaucoup en commun)

2
Ian Ringrose

Les pare-feu sont spicialisés dans la manipulation du trafic. Ils le font rapidement et ont des ressources. Et vous ne gaspillez pas les ressources du serveur pour filtrer le trafic (disque IO/PROC/etc.). Vous devez configurer une certaine sécurité dans l'environnement du serveur, mais toute la numérisation d'inspection et de virus trafic, etc. doit donc effectuer des serveurs spécialisés.

1
MealstroM

Un pare-feu peut également intercepter des paquets indésirables d'atteindre vos serveurs. Au lieu de traiter avec eux au niveau de serveur individuel, vous pouvez les traiter au pare-feu. Vous pouvez conserver toute cette activité de configuration sur le pare-feu unique au lieu de plusieurs serveurs.

Par exemple, si un attaquant a gagné le contrôle d'une adresse IP externe et est la délivrance de vos serveurs avec des paquets indésirables et que vous souhaitez atténuer les effets sur vos serveurs ... vous pouvez configurer chacun de vos serveurs affectés pour laisser tomber les paquets malveillants. Ou simplement faire le changement sur votre pare-feu et que tous vos serveurs sont protégés. Avoir le pare-feu a diminué votre temps de réaction.

1
Allen

Si vous pouvez faire respecter un principe du moindre privilège avec un pare-feu, vous n'en avez probablement pas besoin. De mon point de vue construire un système sécurisé sans utiliser de pare-feu nécessite plus d'effort, et je suis assez paresseux. Pourquoi devrais-je me débrouiller restreindre TCP Connexions à l'aide d'autres outils et probablement de nombreux fichiers de configuration lorsque je peux séparer les privilèges sur un niveau de transport à l'aide d'une seule configuration.

1
Alex