Domanda:
Due firewall sono meglio di uno?
user3395407
2014-07-01 21:40:34 UTC
view on stackexchange narkive permalink

Supponiamo che il nostro primo firewall abbia qualche vulnerabilità e che un malintenzionato sia in grado di sfruttarlo. Se c'è un secondo firewall dopo di esso, dovrebbe essere in grado di fermare l'attacco, giusto?

Inoltre, quali saranno gli effetti collaterali? Voglio dire, questo rallenterebbe il traffico o no? Quali sono altri possibili effetti come questo?

Ecco cosa intendo per configurazione:

  • Firewall 1 → Firewall 2 → Rete
  • Firewall 1 è diverso da Firewall 2
@naught101 Meglio usare calzini con fori in luoghi diversi come metafora, poiché i preservativi sono noti per strapparsi dall'attrito l'uno contro l'altro. Suppongo che anche due firewall potrebbero avere problemi a lavorare insieme.
Sarebbe bello sapere di un caso concreto in cui due firewall in serie hanno effettivamente salvato la situazione o, al contrario, non sono stati di alcun aiuto contro un attacco ben congegnato. A causa della natura della bestia, è probabile che il primo caso sia raro e non documentato, il secondo è probabile che si sia verificato un paio di volte (ad esempio tramite un attacco drive-by download riuscito).
@user1306322, Perché due firewall hanno problemi a lavorare insieme? L'incapsulamento non dovrebbe essere trasparente?
Sette risposte:
#1
+56
tylerl
2014-07-01 21:49:37 UTC
view on stackexchange narkive permalink

Di regola, No.

I firewall non sono come le barricate che un attaccante deve "sconfiggere" per procedere. Si aggira un firewall trovando un percorso che non sia bloccato. Non è tanto una questione di quanti ostacoli metti, ma piuttosto di quanti percorsi permetti. Di norma, tutto ciò che puoi fare con due firewall (nello stesso punto) puoi farlo con uno.

Ora, se stai mettendo i firewall in posti diversi per motivi diversi, questa è un'altra storia. Non possiamo condividere tutti insieme un unico firewall.

Questo è il motivo per cui fornisco una situazione specifica nella mia domanda. Supponiamo che un utente malintenzionato abbia qualche exploit per questo firewall ed è in grado di aggirarlo. In questo caso penso che il secondo FW riuscirà a prevenire l'attacco.
Di regola, non * sfrutti * un firewall. Non è possibile scaricare alcun codice che sconfigga i firewall Juniper o Cisco. Puoi * bypassare * un firewall incanalando il tuo traffico su connessioni che il firewall è già configurato per consentire.
Suppongo che tu abbia ragione. La risposta sì più popolare dice: "Se hai bisogno di un'apertura da LAN a WAN, dovrai implementare la regola su entrambi i firewall". Certo, abbiamo due firewall, ma abbiamo praticato fori identici in ciascuno. Penso che il [caso d'uso] (http://msdn.microsoft.com/en-us/library/ee824086 (v = cs.20) .aspx) abbia regole diverse per ciascuno perché proteggono cose diverse.
@tylerl Il tuo commento è valido quanto la tua risposta. I concetti di base devono essere rafforzati!
@tyrel cerca prima di scrivere qualcosa di molto sbagliato, Cisco IOS Juniper e tutti gli altri produttori di firewall hardware sono pieni di exploit e bug http://www.cvedetails.com/vulnerability-list/vendor_id-874/Juniper.html per esempio
-1
Sigh, _ I firewall non sono come barricate che un attaccante deve "sconfiggere" per procedere_ tranne in tutti i film e gli episodi TV che ho visto che li menzionano cadere uno per uno. Per una risatina, vedi http://www.strangecharmed.com/internet/become-a-tv-hacker-in-3-seconds/
@user3395407 Questo commento non è abbastanza grande per elencare tutti i modi in cui non capisci di cosa stai parlando qui. Fondamentalmente, se qualcuno riesce a "sfruttare" il tuo firewall esterno e ottenere l'accesso amministrativo, allora sei licenziato * indipendentemente * dal numero di firewall che hai inserito perché l'attaccante può reindirizzare e spiare praticamente tutto il tuo traffico Internet a meno che tu non stai pianificando di VPN ovunque.
@user3395407 Per riassumere, tutto ciò che riesci a fare con questa configurazione è aggiungere un altro singolo punto di errore * e * raddoppiare il carico di lavoro dei tuoi amministratori di sistema per un vantaggio estremamente limitato e nebuloso nel * migliore *. Sono sicuro che ti ringrazieranno per questo.
@Tylerl Penso che la NSA non sarebbe d'accordo, è del tutto possibile scaricare software (sul firewall) che lo comprometterebbe.
@tylerl Durante un pentest ho sfruttato il firewall e ho ottenuto l'accesso da lì. In questo modo puoi anche vedere due firewall come due superfici di attacco.
#2
+39
Dog eat cat world
2014-07-01 21:58:50 UTC
view on stackexchange narkive permalink

DMZ

Ci sono sia vantaggi che svantaggi avere due firewall. Sebbene i firewall non siano comunemente sfruttati, sono soggetti ad attacchi denial of service.

In una topologia con un unico firewall che serve sia utenti interni che esterni (LAN e WAN), agisce come risorsa condivisa per questi due zone. A causa della potenza di calcolo limitata, un attacco Denial of Service al firewall dalla WAN può interrompere i servizi sulla LAN.

In una topologia con due firewall, si proteggono i servizi interni sulla LAN dagli attacchi denial of service al firewall perimetrale.

Ovviamente, avere due firewall aumenterà anche la complessità amministrativa: è necessario mantenere due diversi criteri firewall + backup e patch.

Alcuni amministratori preferiscono filtrare solo il traffico in ingresso - questo semplifica la politica del firewall. L'altra pratica è mantenere due set di regole separati con filtri sia in uscita che in entrata. Se hai bisogno di un'apertura da LAN a WAN, dovrai implementare la regola su entrambi i firewall. La logica alla base di questo è che un singolo errore non esporrà l'intera rete, ma solo le parti che il firewall sta servendo direttamente. Lo stesso errore deve essere fatto due volte.

Lo svantaggio principale è il costo e la manutenzione, ma a mio parere i vantaggi superano questi.

No, il principale svantaggio è che hai aggiunto un altro singolo punto di errore nella tua rete.
Inoltre, punto di nota, ma quasi tutti i firewall di livello industriale sul mercato oggigiorno possono gestire una configurazione DMZ con un solo firewall box mantenendo reti diverse su diverse porte Ethernet.
Se ti preoccupi dei singoli punti di guasto, la ridondanza è l'opzione. In questo caso, i singoli punti di errore non sono "casuali", poiché vengono avviati da intenti dannosi. Qual è il peggio? Un Denial of Service che interrompe l'intera rete o solo la rete esterna?
#3
+6
Ali Ahmad
2014-07-01 23:06:09 UTC
view on stackexchange narkive permalink

Due firewall sono meglio di uno? Ci sono due prospettive in questo dal punto di vista degli hacker, non importa in quanto cercano porte aperte per lo sfruttamento. Dal punto di vista di un amministratore di rete, il firewall crea un unico punto di errore. L'utilizzo di più firewall può fornire ridondanza se un firewall del dispositivo attivo non riesce, il traffico del servizio viene trasferito al firewall di backup. A seconda del tipo di firewall implementato, è necessario eseguire la sincronizzazione tra due firewall prima della commutazione del collegamento. Inoltre è possibile implementare più firewall in.

  1. Modalità standby attivo (con firewall di backup installato)
  2. Bilanciamento del carico (entrambi i firewall in modalità attiva)
  3. Fonte: White paper Stateful failover Techniques

    enter image description here

Sebbene sia un opint valido, la domanda stabilisce i firewall "dopo" l'un l'altro e non in una configurazione HA.
@m1ke Ho accettato e la mia risposta è stata di affrontare i problemi con la configurazione corrente del firewall OP.
#4
+3
jl6
2014-07-02 02:40:19 UTC
view on stackexchange narkive permalink

Esiste potenzialmente uno scenario in cui il software firewall ha un bug che gli fa consentire il traffico attraverso il quale non dovrebbe. In tal caso, potrebbe esserci un vantaggio nell'avere un secondo firewall dietro il primo che esegue software diverso, supponendo che il software diverso non soffra dello stesso bug.

Ma quanto sono comuni i bug del firewall? La mia sensazione è che non siano abbastanza comuni da giustificare l'ulteriore complessità di questa configurazione, il che aumenta il rischio di errori di configurazione e fa perdere tempo che potrebbe essere speso meglio per proteggere i servizi dietro il firewall.

Beh, dipende principalmente da ciò che proteggi. Se devo proteggere il server con dati altamente riservati, in questo caso sarà meglio utilizzarne due.
@user3395407 per completezza, noto che proteggere un server con "dati altamente riservati" non è semplicemente un caso di distribuzione di più firewall. È richiesta una difesa approfondita dal livello di policy / gestione alla configurazione tecnica del software del server, avendo cura di evitare il presupposto implicito che il traffico interno sia attendibile (spesso una cattiva premessa per derivare una policy di sicurezza). Se i dati sono così altamente confidenziali da risultare disastrosi in caso di fuga di notizie, si dovrebbe guardare a qualcosa di più del semplice "inserimento di un firewall"; fino alla verifica formale del software server, ad esempio.
#5
+2
Steffen Ullrich
2014-07-02 01:32:55 UTC
view on stackexchange narkive permalink

Le caratteristiche e le capacità differiscono molto tra i firewall, quindi non puoi semplicemente chiedere se due firewall sarebbero migliori di uno solo. Immagino che tu abbia un budget limitato, quindi potrebbe essere meglio ottenere un firewall singolo, ma più capace per gli stessi soldi, rispetto a due firewall più economici, che anche combinati hanno meno capacità rispetto all'appliance più costosa.

Ma, se hai abbastanza soldi, potrebbe essere una buona idea combinare dispositivi capaci di diversi fornitori, in modo che ottengano un sistema più sicuro. Naturalmente, non solo costerà più soldi per acquistare questi firewall, ma anche per mantenerli. Ognuno di loro avrà un'interfaccia diversa, capacità leggermente diverse o almeno modi diversi per ottenere la stessa cosa. Quindi devi trovare amministratori che conoscano bene tutti questi diversi modelli, forse devi trovare un modo per combinare i diversi log e avvisi dai diversi firewall ecc.

Quindi sì, sarà più sicuro, ma solo se hai i soldi per acquistare dispositivi e amministratori capaci. Se hai un budget limitato, ti suggerirei di ottenere meglio il miglior dispositivo singolo e amministratore che puoi ottenere per i tuoi soldi.

#6
  0
HTLee
2018-02-15 12:08:55 UTC
view on stackexchange narkive permalink

Sono d'accordo con la risposta di tylerl sopra. Tuttavia, leggendo i commenti sotto quella risposta, c'è una contesa dove non dovrebbe esserci ... il che è causato dalla confusione che spero di chiarire. E poi spiega perché penso che due firewall non siano migliori di uno per la domanda posta.

Punto di contesa: un firewall può essere sfruttato? Un gruppo dice di no, mentre altri dicono di sì.

Ecco la domanda importante da porre: puoi amministrare il firewall sulla rete?

Per amor di discussione , Ho configurato una Linux box come firewall per gestire il traffico tra Internet e la mia rete domestica (cablata + wi-fi). Lo configuro anche in modo tale che la macchina firewall NON sia sulla rete, quindi l'unico modo per apportare modifiche alle regole del firewall è accedere fisicamente alla macchina.

In questa configurazione di amministrazione non in rete è impossibile sfruttare il mio firewall da Internet o dalla mia rete domestica. Per sfruttarlo dovresti prima entrare in casa mia e accedere fisicamente alla macchina.

Come sottolineato da diverse persone, l'aspetto del firewall è semplicemente una barriera che decide quale traffico deve entrare: non c'è niente di sfruttabile su quella parte.

Ma se ho riconfigurato la mia configurazione in modo che la macchina firewall sia anch'essa connessa alla stessa rete domestica e resa accessibile tramite SSH, allora correrò un rischio. Qualsiasi utente malintenzionato che accede alla mia rete domestica (attraverso qualsiasi porta aperta dal firewall) potrebbe quindi utilizzare qualche exploit SSH per entrare nella macchina firewall.

Diciamo che il nostro primo firewall ne ha vulnerabilità e una persona malintenzionata è in grado di sfruttarla.

Ciò significa che il tuo primo firewall box era connesso a una rete accessibile a un malintenzionato e c'era qualche servizio accessibile come SSH da sfruttare.

Se c'è un secondo firewall dopo di esso, dovrebbe essere in grado di fermare l'attacco, giusto?

Dipende: anche il secondo firewall box è connesso a una rete accessibile all'attaccante? Se è così, allora sicuramente potrebbe essere sfruttato anche da un attaccante esperto.

In realtà non mi aspetterei che amministratori esperti commettessero errori del genere.

#7
-2
GuvGeek
2018-02-14 23:52:25 UTC
view on stackexchange narkive permalink

Più firewall sono decisamente migliori di uno. Io ne uso tre. Dietro il primo c'è la DMZ con "honey pot" che monitora il traffico, ha il proxy e-mail, il proxy del browser e i server Internet; tutto SE Linux. Le informazioni su Honey Pot aiutano a creare la lista nera per il secondo firewall. Dietro il secondo firewall ci sono i server Intranet, le stampanti e i computer a bassa sicurezza (Windows). Dietro il terzo firewall, che ha una White List, ci sono computer e server di livello manager. Tra il monitoraggio, tre diversi firewall, una Black List e una White List si crea una rete molto sicura. La chiave è l'Honey Pot che ti consente di sapere chi sta cercando di attaccarti in modo da poter modificare la lista nera e le regole per proteggere i tuoi dati Intranet. L'email pubblica avviene tramite un proxy Linux che è connesso in remoto. Gli allegati devono essere scaricati in remoto, quindi possono essere recuperati dopo la scansione, se necessario. In oltre 4 anni, non ho avuto un virus oltre la DMZ, a meno che non sia ancora sconosciuto. Finora, i virus sono stati tutti rilevati sui server proxy non appena scaricati. La navigazione avviene anche tramite una macchina proxy, nulla viene scaricato direttamente da Internet dietro il 2 ° o 3 ° firewall. Le porte vengono riassegnate sopra 1024, quindi il 2 ° e il 3 ° router sono quasi buchi neri. Le informazioni sui nuovi clienti vengono trasferite quotidianamente su server più sicuri. Tutte le macchine di gestione sono Linux. Inizialmente, l'impostazione e la lista nera richiedono molto tempo, una volta che i grandi autori di reato (Microsoft, Google e NSA) sono bloccati, le cose sono facili da mantenere.

Non vedo nulla qui che non possa essere fatto con un solo firewall e regole ben scritte.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...