हार्डवेयर फ़ायरवॉल बनाम। सॉफ्टवेयर फ़ायरवॉल (आईपी टेबल्स, आरएचईएल)

मेरी होस्टिंग कंपनी का कहना है कि IPTables बेकार है और कोई सुरक्षा प्रदान नहीं करता है । क्या यह झूठ है?

TL; DR
I में दो, सह-स्थित सर्वर हैं। कल मेरी डीसी कंपनी ने मुझसे यह बताने के लिए संपर्क किया कि क्योंकि मैं एक सॉफ्टवेयर फ़ायरवॉल का उपयोग कर रहा हूँ, तो मेरा सर्वर "कई, महत्वपूर्ण सुरक्षा खतरों के प्रति संवेदनशील है" और मेरा वर्तमान समाधान "किसी भी प्रकार के हमले से सुरक्षा नहीं" प्रदान करता है।

वे कहते हैं कि मैं ($ 1000 स्थापना तो $ 200 / माह एक समर्पित सिस्को फ़ायरवॉल प्राप्त करने की आवश्यकता प्रत्येक ) मेरे सर्वर की रक्षा के लिए। मैं हमेशा इस धारणा के अधीन था कि, जबकि हार्डवेयर फायरवॉल अधिक सुरक्षित हैं, RedHat पर IPTables की तरह कुछ ने अपने औसत सर्वर के लिए पर्याप्त सुरक्षा प्रदान की है।

दोनों सर्वर सिर्फ वेब-सर्वर हैं, उन पर गंभीर रूप से कुछ भी महत्वपूर्ण नहीं है, लेकिन मैंने अपने स्थिर आईपी पते को बंद करने और मूल बंदरगाहों (HTTP (S), FTP और कुछ अन्य मानक सेवाओं को छोड़कर) में SSH को लॉक करने के लिए IPTables का उपयोग किया है। )।

मैं फ़ायरवॉल प्राप्त नहीं करने जा रहा हूं, अगर सर्वरों के ईथर हैक हो गए थे तो यह एक असुविधा होगी, लेकिन वे सभी रन कुछ वर्डप्रेस और जुमला साइट हैं इसलिए मुझे निश्चित रूप से लगता है कि यह पैसे के लायक नहीं है।

हार्डवेयर फायरवॉल सॉफ्टवेयर भी चला रहे हैं, केवल वास्तविक अंतर यह है कि डिवाइस उद्देश्य से बनाया गया है और कार्य के लिए समर्पित है। सर्वर पर सॉफ्टवेयर फ़ायरवॉल हार्डवेयर फायरवॉल के रूप में सुरक्षित हो सकते हैं जब ठीक से कॉन्फ़िगर किया गया हो (ध्यान दें कि हार्डवेयर फ़ायरवॉल आमतौर पर उस स्तर तक पहुंचने के लिए 'आसान' होते हैं, और सॉफ्टवेयर फ़ायरवॉल खराब होने के लिए 'आसान' होते हैं)।

यदि आप पुराने सॉफ़्टवेयर चला रहे हैं, तो संभावित रूप से ज्ञात भेद्यता है। जबकि आपका सर्वर इस हमले के वेक्टर के लिए अतिसंवेदनशील हो सकता है, यह बताते हुए कि यह असुरक्षित है भड़काऊ, भ्रामक है, या एक बोल्डफेस झूठ है (यह निर्भर करता है कि उन्होंने वास्तव में क्या कहा और वे कैसे इसका मतलब था)। आपको सॉफ़्टवेयर को अपडेट करना चाहिए और शोषण की संभावना की परवाह किए बिना किसी भी ज्ञात भेद्यता को पैच करना चाहिए।

यह कहते हुए कि IPTables अप्रभावी है सबसे अच्छा भ्रामक है । हालांकि फिर से, अगर एक नियम सब कुछ सब से सब की अनुमति है तो हाँ, यह सब कुछ भी नहीं किया जाएगा।

साइड नोट : मेरे सभी व्यक्तिगत सर्वर FreeBSD संचालित हैं और केवल IPFW (अंतर्निहित सॉफ्टवेयर फ़ायरवॉल) का उपयोग करते हैं। मुझे इस सेटअप से कोई समस्या नहीं है; मैं सुरक्षा घोषणाओं का भी पालन करता हूं और इस फ़ायरवॉल सॉफ़्टवेयर के साथ कभी कोई समस्या नहीं देखी गई है।
काम पर हमें परतों में सुरक्षा है; एज फ़ायरवॉल सभी स्पष्ट बकवास (हार्डवेयर फ़ायरवॉल) को फ़िल्टर करता है; आंतरिक फ़ायरवॉल नेटवर्क पर अलग-अलग सर्वर या स्थान के लिए ट्रैफ़िक को फ़िल्टर करते हैं (ज्यादातर सॉफ़्टवेयर और हार्डवेयर फ़ायरवॉल का मिश्रण)।
किसी भी प्रकार के जटिल नेटवर्क के लिए, परतों में सुरक्षा सबसे उपयुक्त है। आपके जैसे सरल सर्वरों के लिए एक अलग हार्डवेयर फ़ायरवॉल होने में कुछ लाभ हो सकता है, लेकिन काफी कम।

संरक्षित सर्वर पर ही एक फ़ायरवॉल चल रहा है एक अलग फ़ायरवॉल मशीन का उपयोग कर से कम सुरक्षित। इसके लिए "हार्डवेयर" फ़ायरवॉल होना आवश्यक नहीं है। IPTables के साथ राउटर के रूप में सेट किया गया एक अन्य लिनक्स सर्वर ठीक काम करेगा।

संरक्षित सर्वर पर फ़ायरवॉल के साथ सुरक्षा समस्या यह है कि मशीन को उसकी चलने वाली सेवाओं के माध्यम से हमला किया जा सकता है। यदि हमलावर रूट लेवल एक्सेस प्राप्त कर सकता है, तो फ़ायरवॉल को कर्नेल रूट-किट के माध्यम से संशोधित या अक्षम या बाईपास किया जा सकता है।

एक अलग फ़ायरवॉल मशीन में SSH पहुँच को छोड़कर कोई भी सेवाएं नहीं होनी चाहिए और यह कि SSH पहुँच प्रशासन IP श्रेणियों तक सीमित होनी चाहिए। IPTables कार्यान्वयन या टीसीपी स्टैक में कीड़े को छोड़कर, यह हमला करने के लिए अपेक्षाकृत अजेय होना चाहिए।

फ़ायरवॉल मशीन नेटवर्क ट्रैफ़िक को ब्लॉक और लॉग कर सकती है जो मौजूद नहीं होना चाहिए, जिससे आपको फटा सिस्टम की बहुमूल्य प्रारंभिक चेतावनी मिल सकती है।

यदि आपका ट्रैफ़िक कम है, तो 5505 जैसी एक छोटी सिस्को एएसए इकाई का प्रयास करें । यह $ 500- $ 700 रेंज में है और निश्चित रूप से उद्देश्य से बनाया गया है। को-लो आपको बीएस दे रहा है, लेकिन फ़ायरवॉल के लिए उनकी दरें भी अनुचित हैं।

मुझे लगता है कि यह प्रदर्शन पर भी निर्भर करता है। एक सॉफ्टवेयर / सर्वर आधारित फ़ायरवॉल सीपीयू चक्रों का उपयोग करता है, एक हार्डवेयर फ़ायरवॉल उद्देश्य से निर्मित चिप्स (एएसआईसी) के साथ कर सकता है जो बेहतर प्रदर्शन और थ्रूपुट की ओर जाता है।

आपके दृष्टिकोण से "सॉफ़्टवेयर" (मशीन पर ही) और "हार्डवेयर" फ़ायरवॉल के बीच वास्तविक अंतर यह है कि पहले मामले में ट्रैफ़िक पहले से ही उस मशीन पर है जिसे आप संरक्षित करना चाहते हैं, इसलिए यह संभावित रूप से अधिक कमजोर है अगर कुछ अनदेखी की गई है या गलत तरह से कॉन्फ़िगर।

एक हार्डवेयर फ़ायरवॉल अनिवार्य रूप से एक पूर्व फ़िल्टर के रूप में कार्य करता है, जो केवल विशिष्ट ट्रैफ़िक को आपके सर्वर तक पहुंचने और / या बाहर निकलने की अनुमति देता है।

आपके उपयोग के मामले को देखते हुए, और यह मानते हुए कि आपके पास उचित बैकअप है, अतिरिक्त खर्च को सही ठहराना बहुत कठिन होगा। व्यक्तिगत रूप से मैं आपके साथ जारी रखूँगा, हालाँकि शायद एक अलग होस्टिंग कंपनी का उपयोग कर रहा हूँ।

इस पर खेल के लिए देर हो चुकी है। हां, सेवा प्रदाता को यह पता नहीं है कि वे किस बारे में बात कर रहे हैं। यदि आप एक सक्षम IPTABLES प्रशासक हैं, तो मैं कहूंगा कि आप एक आउट-ऑफ-द-बॉक्स हार्डवेयर कॉर्नर की तुलना में अधिक सुरक्षित हैं। कारण यह है कि जब मैंने उनका उपयोग किया है, तो अच्छा gee-whiz इंटरफ़ेस ट्रैफ़िक की अनुमति के वास्तविक कॉन्फ़िगरेशन को प्रतिबिंबित नहीं करता है। विक्रेता हमारे लिए गूंगे लोगों को गूंगा करने की कोशिश करते हैं। मैं हर पैकेट के अंदर और बाहर जाने की हर संभावना के बारे में जानना चाहता हूं।

IPTABLES हर किसी के लिए नहीं है, लेकिन यदि आप सुरक्षा के बारे में गंभीर हैं, तो आप यथासंभव तार के करीब रहना चाहते हैं। सिस्टम को सुरक्षित करना आसान है - रिवर्स इंजीनियरिंग एक ब्लैकबॉक्स फ़ायरवॉल नहीं है।