37 votos

sam avatar

Cortafuegos de hardware Vs. Cortafuegos por software (Tablas IP, RHEL)

Preguntado el 11 de Mayo, 2011
Cuando se hizo la pregunta
4150 visitas
Cuantas visitas ha tenido la pregunta
5 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Mi empresa de alojamiento dice que IPTables es inútil y no proporciona cualquier protección . ¿Es mentira?

TL;DR
Tengo dos servidores ubicados en el mismo lugar. Ayer, mi empresa de CC se puso en contacto conmigo para decirme que, como utilizo un cortafuegos de software, mi servidor es "Vulnerable a múltiples amenazas críticas para la seguridad" y que mi solución actual no ofrece "Ninguna protección contra ningún tipo de ataque".

Dicen que necesito un cortafuegos Cisco dedicado (1.000 dólares de instalación y 200 dólares al mes). cada ) para proteger mis servidores. Siempre tuve la impresión de que, aunque los cortafuegos de hardware son más seguros, algo como IPTables en RedHat ofrecía suficiente protección para un servidor medio.

Ambos servidores son sólo servidores web, no hay nada críticamente importante en ellos, pero he usado IPTables para bloquear SSH sólo a mi dirección IP estática y bloquear todo excepto los puertos básicos (HTTP(S), FTP y algunos otros servicios estándar).

Yo no voy a conseguir el firewall, si ether de los servidores fueron hackeados sería un inconveniente, pero todo lo que se ejecuta es un WordPress pocos y sitios Joomla así que definitivamente no creo que vale la pena el dinero.

Preguntado el 11 de Mayo, 2011 por sam

6 votos

Avatar de jrojo

Tu empresa de alojamiento parece una panda de sinvergüenzas. No hay nada malo con IPTables, y en la mayoría de los casos ofrece muchas más funciones que Cisco ASA, etc. El módulo reciente y el módulo de límite vienen a la mente aquí.

Comentado el 11 de Mayo, 2011 por jrojo

21 votos

Avatar de Hyppy

¿Le importaría decirnos de qué empresa se trata para que los demás no nos metamos en líos?

Comentado el 11 de Mayo, 2011 por Hyppy

Respuestas

¿Demasiados anuncios?

34voto

Chris S avatar
Chris S Puntos 65813

Los cortafuegos de hardware también ejecutan software, la única diferencia real es que el dispositivo está construido a propósito y dedicado a la tarea. Los cortafuegos por software en los servidores pueden ser tan seguros como los cortafuegos por hardware si están bien configurados (ten en cuenta que los cortafuegos por hardware suelen ser más "fáciles" de alcanzar ese nivel, y que los cortafuegos por software son más "fáciles" de estropear).

Si utiliza software obsoleto, es probable que exista una vulnerabilidad conocida. Aunque su servidor pueda ser susceptible a este vector de ataque, afirmar que está desprotegido es incendiario, engañoso o una mentira descarada (depende de lo que hayan dicho exactamente y de lo que hayan querido decir). Deberías actualizar el software y parchear cualquier vulnerabilidad conocida independientemente de la probabilidad de explotación.

Afirmar que IPTables es ineficaz es engañoso en el mejor de los casos . Aunque de nuevo, si la única regla es permitir todo de todos a todos entonces sí, no estaría haciendo nada en absoluto.

Nota al margen Todos mis servidores personales funcionan con FreeBSD y sólo utilizan IPFW (cortafuegos de software integrado). Nunca he tenido ningún problema con esta configuración; también sigo los anuncios de seguridad y nunca he visto ningún problema con este software cortafuegos.
En el trabajo tenemos seguridad por capas: el cortafuegos de borde filtra toda la porquería obvia (cortafuegos de hardware); los cortafuegos internos filtran el tráfico para los servidores individuales o la ubicación en la red (mezcla de cortafuegos de software y hardware).
Para redes complejas de cualquier tipo, lo más apropiado es la seguridad por capas. En el caso de servidores sencillos como el suyo, tener un cortafuegos de hardware independiente puede tener alguna ventaja, pero bastante poca.

Respondido el 11 de Mayo, 2011 por Chris S (65813 Puntos )

14 votos

Avatar de Evan Anderson

+1 - Todos los cortafuegos son "cortafuegos de software". Es más un "cortafuegos de software con software que tú controlas" que un "cortafuegos de software que es una caja negra sellada". Limita tus puertos abiertos al mínimo necesario para que los servidores funcionen, elimina el tráfico obviamente falso y no olvides el filtrado de salida y todo irá bien.

Comentado el 11 de Mayo, 2011 por Evan Anderson

0 votos

Avatar de sam

Sí, intento mantenerlo todo al día, y probablemente diría que entiendo de seguridad bastante bien, sólo me sorprendió un poco que mi empresa de CC me dijera que mi protección es inútil, siempre había asumido que las tablas IP eran buenas para los servidores básicos y que los cortafuegos de hardware eran buenos si eras, digamos, Sony =)

Comentado el 11 de Mayo, 2011 por sam

6 votos

Avatar de Hyppy

+1, IPTables es en lo que se basan muchos sistemas de cortafuegos decentes. Su empresa de alojamiento está mintiendo a través de sus dientes para tratar de hacer algo de dinero extra de usted. Dump ellos para un proveedor de buena reputación.

Comentado el 11 de Mayo, 2011 por Hyppy
Mostrar 1 comentarios más

8voto

Jason Down avatar
Jason Down Puntos 13690

Ejecutar un cortafuegos en el propio servidor protegido es menos seguro que utilizar una máquina cortafuegos independiente. No tiene por qué ser un cortafuegos "de hardware". Otro servidor Linux configurado como un router con IPTables funcionaría bien.

El problema de seguridad con los cortafuegos en el servidor protegido es que la máquina puede ser atacada a través de sus servicios en ejecución. Si el atacante puede obtener acceso a nivel de root, el cortafuegos puede ser modificado o desactivado o eludido a través de un kernel root-kit.

Una máquina firewall separada no debería tener ningún servicio ejecutándose excepto el acceso SSH y ese acceso SSH debería estar limitado a rangos IP de administración. Debería ser relativamente invulnerable a los ataques, salvo errores en la implementación de IPTables o la pila TCP, por supuesto.

La máquina cortafuegos puede bloquear y registrar el tráfico de red que no debería existir, ofreciéndole una valiosa alerta temprana de sistemas agrietados.

Respondido el 11 de Mayo, 2011 por Jason Down (13690 Puntos )

3 votos

Avatar de wnstnsmth

Si el servidor está rooteado, probablemente no importará que el atacante pueda abrir otros puertos, ya que ya puede acceder a cualquier cosa local. Si el atacante puede obtener acceso root al servidor a través de puertos permitidos a través del cortafuegos, probablemente no importe lo que el cortafuegos esté bloqueando.Además, SSH en el servidor debería restringirse tanto como el acceso SSH a la máquina del cortafuegos.

Comentado el 11 de Julio, 2014 por wnstnsmth

4voto

Robert avatar
Robert Puntos 121

Creo que también depende del rendimiento. Lo que un cortafuegos basado en software/servidor hace utilizando ciclos de CPU, un cortafuegos de hardware puede hacerlo con chips (ASIC) creados a tal efecto, lo que se traduce en un mayor rendimiento.

Respondido el 11 de Mayo, 2011 por Robert (121 Puntos )

1 votos

Avatar de wnstnsmth

¿Tiene alguna métrica para esa comparación? Es probable que el servidor tenga un procesador más potente y necesite realizar cálculos relacionados con TCP, independientemente de que tenga un cortafuegos de hardware delante (piense en una pila TCP local, etc.).

Comentado el 11 de Julio, 2014 por wnstnsmth

3voto

Tina avatar
Tina Puntos 21

Si su tráfico es bajo, pruebe con un pequeño Unidad Cisco ASA como la 5505 . Está en el rango de $ 500 - $ 700 y definitivamente propósito-construido. El co-lo es sorta que le da BS, pero sus tarifas para el servidor de seguridad también son irrazonables.

Respondido el 11 de Mayo, 2011 por Tina (21 Puntos )

3voto

John Gardeniers avatar
John Gardeniers Puntos 22554

Desde su perspectiva, la diferencia real entre los cortafuegos "software" (en la propia máquina) y "hardware" es que en el primer caso el tráfico ya está en la máquina que se quiere proteger, por lo que es potencialmente más vulnerable si algo se ha pasado por alto o se ha configurado mal.

Un cortafuegos de hardware actúa esencialmente como un prefiltro, que sólo permite que un tráfico específico llegue y/o salga de su servidor.

Dado tu caso de uso, y suponiendo por supuesto que tengas copias de seguridad adecuadas, el gasto extra sería muy difícil de justificar. Personalmente, yo seguiría con lo que tienes, aunque tal vez utilizando una empresa de alojamiento diferente.

Respondido el 12 de Mayo, 2011 por John Gardeniers (22554 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X