하드웨어 방화벽 대. 소프트웨어 방화벽 (IP 테이블, RHEL)

내 호스팅 회사는 IPTables가 쓸모 없고 보호 기능을 제공하지 않는다고 말합니다 . 이거 거짓말이야?

TL; DR
나는 두 개의 같은 장소에 서버가 있습니다. 어제 DC 회사는 저에게 연락하여 소프트웨어 방화벽을 사용하고 있기 때문에 서버가 "여러 가지 중요한 보안 위협에 취약"하며 현재 솔루션은 "모든 형태의 공격으로부터 보호되지 않음"을 제공합니다.

그들은 서버를 보호하기 위해 전용 시스코 방화벽 ($ 1000 설치 후 각각 $ 200 / 월 )이 필요하다고 말합니다 . 하드웨어 방화벽이 더 안전하지만 RedHat의 IPTables와 같은 것이 일반 서버에 충분한 보호를 제공한다는 인상을 항상 받았습니다.

두 서버는 웹 서버 일 뿐이며 중요한 것은 없지만 IPTables를 사용하여 SSH를 고정 IP 주소로 잠그고 기본 포트 (HTTP (S), FTP 및 기타 표준 서비스를 제외한 모든 것을 차단했습니다) ).

나는 방화벽을 얻지 않을 것입니다. 서버의 에테르가 해킹 당하면 불편 할 것입니다. 그러나 그들이 실행하는 모든 것은 WordPress 및 Joomla 사이트 중 일부이므로 돈이 가치가 있다고 생각하지 않습니다.

하드웨어 방화벽도 소프트웨어를 실행하고 있지만 유일한 차이점은 장치가 목적에 맞게 제작되고 작업 전용이라는 점입니다. 서버의 소프트웨어 방화벽은 올바르게 구성된 경우 하드웨어 방화벽과 마찬가지로 안전 할 수 있습니다 (하드웨어 방화벽은 일반적으로 해당 수준에 도달하기 더 '쉽고', 소프트웨어 방화벽은 '더 쉬워'입니다).

오래된 소프트웨어를 실행하는 경우 알려진 취약점이있을 수 있습니다. 서버가이 공격 경로에 취약 할 수 있지만 서버가 보호되지 않았다는 것은 염증, 오도 또는 대담한 거짓말입니다 (정확히 말한 내용과 의미에 따라 다름). 악용 가능성에 관계없이 소프트웨어를 업데이트하고 알려진 취약성을 패치해야합니다.

IPTables가 효과가 없다고 말하는 것은 잘못 오도하는 것입니다 . 다시 말하지만, 하나의 규칙이 모든 것에서 모든 것까지 모든 것을 허용 한다면, 전혀 아무것도하지 않을 것입니다.

참고 : 모든 개인 서버는 FreeBSD 기반이며 IPFW (내장 소프트웨어 방화벽) 만 사용합니다. 이 설정에 문제가 없었습니다. 또한 보안 공지 사항을 따르며이 방화벽 소프트웨어와 관련된 문제를 본 적이 없습니다.
직장에서 우리는 계층 적으로 보안을 유지합니다. 에지 방화벽은 모든 명백한 쓰레기 (하드웨어 방화벽)를 걸러냅니다. 내부 방화벽은 개별 서버 또는 네트워크상의 위치 (대부분 소프트웨어 및 하드웨어 방화벽의 혼합)에 대한 트래픽을 필터링합니다.
모든 종류의 복잡한 네트워크에는 계층 보안이 가장 적합합니다. 귀하와 같은 간단한 서버의 경우 별도의 하드웨어 방화벽이 있지만 약간의 이점이 있습니다.

보호 된 서버 자체에 방화벽을 실행하면 입니다 별도의 방화벽 장비를 사용하는 것보다 덜 안전합니다. "하드웨어"방화벽 일 필요는 없습니다. IPTables가있는 라우터로 설정된 다른 Linux 서버는 정상적으로 작동합니다.

보호 된 서버에서 방화벽의 보안 문제는 실행중인 서비스를 통해 시스템이 공격받을 수 있다는 것입니다. 공격자가 루트 수준 액세스 권한을 얻을 수있는 경우 커널 루트 키트를 통해 방화벽을 수정 또는 비활성화하거나 우회 할 수 있습니다.

별도의 방화벽 시스템에는 SSH 액세스를 제외하고 서비스가 실행되지 않아야하며 SSH 액세스는 관리 IP 범위로 제한되어야합니다. 물론 IPTables 구현 또는 TCP 스택의 버그를 제외하고 공격하는 것은 상대적으로 취약하지 않아야합니다.

방화벽 시스템은 존재하지 않아야하는 네트워크 트래픽을 차단하고 기록 할 수 있으므로 시스템 크랙에 대한 조기 경고를 제공합니다.

트래픽이 적은 경우 5505와 같은 소형 Cisco ASA 장치를 사용해보십시오 . $ 500- $ 700 범위에 있으며 확실히 목적에 맞게 제작되었습니다. co-lo는 일종의 BS를 제공하지만 방화벽의 속도도 불합리합니다.

나는 또한 성능에 달려 있다고 생각합니다. 소프트웨어 / 서버 기반 방화벽이 CPU주기를 사용하여 수행하는 것과 같이 하드웨어 방화벽은 ASIC (전용 빌드 칩)으로 수행 할 수있어 성능과 처리량이 향상됩니다.

"소프트웨어"(시스템 자체)와 "하드웨어"방화벽의 실제 차이점은 첫 번째 경우 트래픽이 이미 보호하려는 시스템에 있기 때문에 무언가 간과되거나 잘못 될 경우 잠재적으로 더 취약하다는 것입니다. 잘못 구성되었습니다.

하드웨어 방화벽은 기본적으로 사전 필터 역할을하며 특정 트래픽 만 서버에 도달하거나 서버를 종료 할 수 있습니다.

유스 케이스를 고려할 때 물론 적절한 백업이 있다고 가정하면 추가 비용을 정당화하기가 매우 어려울 것입니다. 개인적으로 나는 다른 호스팅 회사를 사용하고 있지만 당신이 가진 것을 계속할 것입니다.

이 게임에 늦었다. 예, 서비스 제공 업체는 자신이 무엇을 말하는지 전혀 모릅니다. 유능한 IPTABLES 관리자라면 기본 하드웨어 방화벽보다 안전하다고 말할 수 있습니다. 그 이유는 내가 사용했을 때 멋진 gee-whiz 인터페이스가 트래픽이 허용되는 실제 구성을 반영하지 않기 때문입니다. 벤더들은 우리를 바보로 만들려고 노력합니다. 모든 패킷이 들어오고 나가는 모든 가능성에 대해 알고 싶습니다.

IPTABLES는 모든 사람을위한 것이 아니라, 보안에 대해 진지한 경우 최대한 유선으로 접근하고 싶습니다. 시스템 보안은 쉽습니다. 블랙 박스 방화벽은 리버스 엔지니어링이 아닙니다.