Vs Firewall Hardware Pare-feu logiciel (tables IP, RHEL)

Ma société d'hébergement affirme qu'IPTables est inutile et ne fournit aucune protection . Est-ce un mensonge?

TL; DR
J'ai deux serveurs co-localisés. Hier, ma société DC m'a contacté pour me dire que, parce que j'utilisais un pare-feu logiciel, mon serveur était "vulnérable à de multiples menaces de sécurité critiques" et que ma solution actuelle n'offrait "Aucune protection contre toute forme d'attaque".

Ils disent que je dois obtenir un pare-feu Cisco dédié (installation de 1 000 $ puis 200 $ / mois chacun ) pour protéger mes serveurs. J'ai toujours eu l'impression que, si les pare-feu matériels sont plus sécurisés, quelque chose comme IPTables sur RedHat offrait une protection suffisante pour votre serveur moyen.

Les deux serveurs ne sont que des serveurs Web, ils n'ont rien de très important mais j'ai utilisé IPTables pour verrouiller SSH sur mon adresse IP statique et tout bloquer sauf les ports de base (HTTP (S), FTP et quelques autres services standard ).

Je ne vais pas avoir le pare-feu, si l’on manipulait l’éther des serveurs, ce serait un inconvénient, mais ils ne fonctionnent que sur quelques sites WordPress et Joomla, donc je ne pense vraiment pas que cela en vaut la peine.

Les pare-feu matériels exécutent également des logiciels, la seule différence réelle étant que le périphérique est spécialement conçu et dédié à cette tâche. Les pare-feu logiciels sur les serveurs peuvent être tout aussi sécurisés que les pare-feu matériels lorsqu'ils sont correctement configurés (notez que les pare-feu matériels sont généralement «plus faciles» à atteindre ce niveau et que les pare-feu logiciels sont «plus faciles à bousiller»).

Si vous utilisez un logiciel obsolète, il existe probablement une vulnérabilité connue. Bien que votre serveur puisse être sujet à ce vecteur d’attaque, affirmer qu’il n’est pas protégé est inflammatoire, trompeur ou mensonger audacieux (dépend de ce qu’ils ont dit et de ce qu’ils voulaient dire exactement). Vous devez mettre à jour le logiciel et corriger les vulnérabilités connues quelle que soit la probabilité d’exploitation.

Affirmer que IPTables est inefficace est au mieux trompeur . Encore une fois, si la seule règle est tout autoriser de tout, alors oui, cela ne ferait rien du tout.

Note latérale : tous mes serveurs personnels sont alimentés par FreeBSD et utilisent uniquement IPFW (pare-feu logiciel intégré). Je n'ai jamais eu de problème avec cette configuration; Je suis aussi les annonces de sécurité et je n’ai jamais vu de problème avec ce logiciel pare-feu.
Au travail, nous avons la sécurité en couches; le pare-feu périphérique élimine toute la merde évidente (pare-feu matériel); Les pare-feu internes filtrent le trafic des serveurs individuels ou de l'emplacement sur le réseau (mélange de pare-feu principalement logiciels et matériels).
Pour les réseaux complexes de tout type, la sécurité en couches est la plus appropriée. Pour des serveurs simples comme le vôtre, il peut être avantageux de disposer d'un pare-feu matériel distinct, mais assez peu.

L'exécution d'un pare-feu sur le serveur protégé lui - même est moins sécurisée que d'utiliser un ordinateur pare-feu séparé. Il n'est pas nécessaire que ce soit un pare-feu "matériel". Un autre serveur Linux défini en tant que routeur avec IPTables fonctionnerait correctement.

Le problème de sécurité des pare-feu sur le serveur protégé est que la machine peut être attaquée via ses services en cours d'exécution. Si l'attaquant peut obtenir un accès de niveau racine, le pare-feu peut être modifié ou désactivé ou contourné via un kit racine du noyau.

Aucun ordinateur fonctionnant avec un pare-feu distinct ne devrait fonctionner, à l'exception de l'accès SSH, et cet accès devrait être limité aux plages IP d'administration. Il devrait être relativement invulnérable aux attaques, à l’exception des bogues dans l’implémentation IPTables ou dans la pile TCP, bien sûr.

La machine de pare-feu peut bloquer et consigner le trafic réseau qui ne devrait pas exister, vous donnant ainsi une précieuse alerte en ce qui concerne les systèmes fissurés.

Si votre trafic est faible, essayez une petite unité Cisco ASA telle que la 5505 . Il se situe entre 500 et 700 $ et est vraiment conçu à cet effet. Le co-lo est en quelque sorte vous donnant BS, mais leurs taux pour le pare-feu sont également déraisonnables.

Je pense que cela dépend aussi de la performance. Ce que fait un pare-feu logiciel / serveur utilisant des cycles de processeur, un pare-feu matériel peut le faire avec des puces spécialement conçues (ASIC) pour améliorer les performances et le débit.

De votre point de vue, la vraie différence entre les pare-feu «logiciels» (sur la machine elle-même) et «matériel» réside dans le fait que dans le premier cas, le trafic se trouve déjà sur la machine que vous souhaitez protéger. Il est donc potentiellement plus vulnérable si mal configuré.

Un pare-feu matériel agit essentiellement comme un pré-filtre, qui permet uniquement à un trafic spécifique d'atteindre et / ou de quitter votre serveur.

Compte tenu de votre cas d'utilisation, et en supposant bien sûr que vous disposiez de sauvegardes appropriées, il serait très difficile de justifier la dépense supplémentaire. Personnellement, je continuerais avec ce que vous avez, bien que peut-être en utilisant une autre société d’hébergement.

En retard au jeu sur celui-ci. Oui, le fournisseur de service n'a aucune idée de ce dont il parle. Si vous êtes un administrateur IPTABLES compétent, je dirais que vous êtes plus sécurisé qu'un pare-feu matériel prêt à l'emploi. La raison en est que, lorsque je les ai utilisés, la belle interface gee-whiz ne reflète pas la configuration réelle du trafic autorisé. Les vendeurs essaient de le rendre silencieux pour nous, les idiots. Je veux connaître toutes les possibilités de chaque paquet entrant et sortant.

IPTABLES n'est pas pour tout le monde, mais si vous êtes sérieux au sujet de la sécurité, vous voulez être le plus près possible du réseau. Sécuriser un système est facile - le reverse engineering d’un pare-feu Blackbox ne l’est pas.