سؤال لماذا يجب على خوادم جدار الحماية؟


يرجى الملاحظة: لست مهتمًا بجعل ذلك في حرب شعلة! أفهم أن الكثير من الناس لديهم معتقدات قوية حول هذا الموضوع ، في جزء صغير منهم لأنهم بذلوا الكثير من الجهد في حلولهم للحماية من النيران ، وأيضاً لأنهم تلقوا تعليماتهم لكي يؤمنوا بضرورتها.

ومع ذلك ، أنا أبحث عن إجابات من الأشخاص الذين هم خبراء انعدام الأمن. أعتقد أن هذا سؤال مهم ، وستفيد الإجابة أكثر من نفسي فقط والشركة التي أعمل من أجلها. لقد قمت بتشغيل شبكة الخوادم لدينا لعدة سنوات دون حل وسط ، من دون أي جدار ناري على الإطلاق. لا شيء من التنازلات الأمنية التي نحن يملك كان يمكن منعها مع جدار الحماية.

أعتقد أنني أعمل هنا لفترة طويلة ، لأنه عندما أقول "خوادم" ، أعني دائمًا "الخدمات المقدمة للجمهور" ، وليس "قواعد بيانات الفوترة الداخلية السرية". على هذا النحو ، أي قواعد نحن سيكون لديك في أي جدران الحماية يجب أن تسمح بالوصول إلى الإنترنت بأكملها. كما أن جميع خوادم الوصول العام الخاصة بنا موجودة في مركز بيانات مخصص منفصل عن مكتبنا.

شخص اخر طرح سؤالا مشابها ، وتم التصويت على إجابتي إلى أرقام سلبية. هذا يقودني إلى الاعتقاد بأن الأشخاص الذين يصوتون له لا يفهمون جوابي ، أو لا أفهم الأمن بما يكفي لأقوم بما أقوم به حاليًا.

هذا هو مقاربتي لأمن الخادم:

  1. اتبع نظام التشغيل الخاص بي المبادئ التوجيهية للأمان  قبل توصيل الخادم الخاص بي بالإنترنت.

  2. استخدم wrappers TCP لتقييد الوصول إلى SSH (وخدمات إدارة أخرى) إلى عدد صغير من عناوين IP.

  3. مراقبة حالة هذا الخادم مع مونين. إصلاح مشكلات الأمان الفاضحة الكامنة في عقدة Munin في تكوينها الافتراضي.

  4. Nmap خادمي الجديد (أيضا قبل توصيل الخادم الخاص بي إلى الإنترنت). إذا كان لي أن جدار الحماية هذا الخادم ، يجب أن يكون هذا بالضبط مجموعة من المنافذ يجب أن تقتصر على الاتصالات الواردة.

  5. قم بتثبيت الخادم في غرفة الخادم واعطيه عنوان IP عام.

  6. حافظ على أمان النظام باستخدام ميزة تحديثات الأمان لنظام التشغيل الخاص بي.

فلسفتي (وأساس السؤال) هي أن الأمان القوي المستند إلى المضيف يزيل ضرورة وجود جدار حماية. تقول فلسفة الأمن الشاملة أن الأمن القوي القائم على المضيف لا يزال مطلوبًا حتى إذا كان لديك جدار حماية (انظر المبادئ التوجيهية للأمان). والسبب في ذلك هو أن جدار الحماية الذي يعيد توجيه الخدمات العامة إلى الخادم يمكّن مهاجمًا من اختراق الجدار الناري تمامًا. إنها الخدمة نفسها ضعيفة ، وبما أن تقديم هذه الخدمة إلى الإنترنت بالكامل هو شرط لتشغيلها ، فإن تقييد الوصول إليها ليس هو الهدف.

إن كان هناك هي المنافذ المتوفرة على الخادم التي لا تحتاج إلى الوصول إليها بواسطة الإنترنت بالكامل ، ثم يلزم إيقاف تشغيل هذه البرامج في الخطوة 1 ، وتم التحقق من الخطوة رقم 4. إذا نجح المهاجم في اقتحام الخادم من خلال البرامج الضعيفة وفتح بنفسي ، يمكن للمهاجم (والقيام) بنفس سهولة هزيمة أي جدار ناري عن طريق إجراء اتصال صادر على منفذ عشوائي بدلاً من ذلك. إن الهدف من الأمن ليس الدفاع عن نفسك بعد هجوم ناجح - ثبت بالفعل أنه مستحيل - هو إبقاء المهاجمين في المقام الأول.

لقد قيل أن هناك اعتبارات أمنية أخرى إلى جانب المنافذ المفتوحة - لكن بالنسبة لي يبدو وكأنه يدافع عن إيمان المرء. يجب أن تكون أي ثغرات أمنية لنظام TCP / TCP متساوية في القابلية للتأثر فيما إذا كان جدار الحماية موجودًا أم لا - بناءً على حقيقة أن المنافذ يتم توجيهها مباشرة إلى نظام التشغيل / مكدس TCP هذا. وبالمثل ، يبدو أن تشغيل جدار الحماية على الخادم نفسه بدلاً من وضعه على جهاز التوجيه (أو ما هو أسوأ ، في كلا المكانين) هو إضافة طبقات غير ضرورية من التعقيد. أنا أفهم أن "الأمن يأتي في طبقات" ، ولكن هناك نقطة حيث أنه مثل بناء سقف عن طريق تكديس عدد X من طبقات الخشب الرقائقي فوق بعضها البعض ثم حفر حفرة من خلال كل منها. طبقة أخرى من الخشب الرقائقي لن توقف التسريبات من خلال تلك الحفرة التي تقوم بها عن قصد.

لنكون صادقين ، الطريقة الوحيدة التي أرى بها جدارًا ناريًا أي استخدام للخوادم هي إذا كان لديه قواعد ديناميكية تمنع جميع الاتصالات إلى جميع الخوادم من المهاجمين المعروفين - مثل RBLs للرسائل غير المرغوب فيها (والتي من قبيل الصدفة ، هي إلى حد كبير ما يفعله خادم البريد الخاص بنا) . لسوء الحظ ، لا أستطيع العثور على أي جدران نارية تفعل ذلك. أفضل شيء ثاني هو خادم IDS ، ولكن هذا يفترض أن المهاجم لا يهاجم خوادمك الحقيقية أولاً ، وأن المهاجمين يزعجون أن يفحصوا شبكتك بالكامل قبل المهاجم. إلى جانب ذلك ، من المعروف أنها تنتج أعدادًا كبيرة من الإيجابيات الخاطئة.


101
2017-11-12 21:11


الأصل


وبالتالي يتم تشفير كل حركة المرور التي تمر بين الخوادم الخاصة بك؟ - GregD
أحبها. دائمًا ما تكون قواعد الجدار الناري المحلي مُشجعة فقط. - unixtippse
هل لديك أجهزة كمبيوتر مكتبي / موظفين في شبكتك أيضًا؟ ماذا تفعل معهم؟ - Brandon
كان هذا السؤال مناسبًا تمامًا security.stackexchange.com - Olivier Lalonde
routeNpingme: يبدو أنني لم أضمِّن هذا الشيء الشرير في مشاركتي الأصلية. يجب أن تكون جميع خوادمنا مفتوحة للجمهور ، وتعيش في مركز بيانات مخصص. إذا كان مكتبك هو مركز البيانات الخاص بك ، أفترض أنه سيكون من الضروري وجود جدار حماية بين شبكة الخادم وشبكة مكتبك. في هذه الحالة ، أنا أتحدث عن شبكة الخادم - لماذا جدار الحماية شيء لديه وصول الجمهور الكامل؟ - Ernie


الأجوبة:


مزايا جدار الحماية:

  1. يمكنك تصفية حركة المرور الصادرة.
  2. يمكن لجدران الحماية من المستوى 7 (IPS) الحماية من الثغرات الأمنية المعروفة للتطبيقات.
  3. يمكنك حظر نطاق عناوين IP معين و / أو منفذ مركزي بدلاً من محاولة التأكد من عدم وجود خدمة استماع على هذا المنفذ على كل جهاز فردي أو رفض الوصول باستخدام اغلفة TCP.
  4. يمكن لجدران الحماية المساعدة إذا كان عليك التعامل مع مستخدمين / إداريين أقل إدراكًا للأمان حيث أنهم سيقدمون خط الدفاع الثاني. بدونهم يجب التأكد من أن المضيفين آمنون ، مما يتطلب فهمًا أمنيًا جيدًا من جميع المسؤولين.
  5. توفر سجلات جدار الحماية سجلات مركزية وتساعد في الكشف عن عمليات المسح الرأسي. يمكن أن تساعد سجلات جدار الحماية في تحديد ما إذا كان بعض المستخدمين / العملاء يحاولون الاتصال بالمنفذ نفسه من كافة الخوادم الخاصة بك بشكل دوري أم لا. للقيام بذلك بدون جدار حماية ، يتعين على المرء أن يجمع بين السجلات من خوادم / مضيفين مختلفين للحصول على عرض مركزي.
  6. تأتي جدران الحماية أيضًا مع وحدات مكافحة البريد العشوائي / المضاد للفيروسات والتي تضيف أيضًا إلى الحماية.
  7. نظام التشغيل الأمن مستقل. استنادًا إلى نظام التشغيل المضيف ، هناك حاجة إلى تقنيات / طرق مختلفة لجعل المضيف آمنًا. على سبيل المثال ، قد لا تتوفر TCP Wrappers على أجهزة Windows.

قبل كل هذا ، إذا لم يكن لديك جدار ناري ، تم اختراق النظام ثم كيف ستكتشفه؟ لا يمكن الوثوق في محاولة تشغيل بعض الأوامر "ps" و "netstat" وما إلى ذلك على النظام المحلي حيث يمكن استبدال تلك الثنائيات. "nmap" من نظام بعيد غير مضمون الحماية حيث يستطيع المهاجم التأكد من أن مجموعة الجذر تقبل الاتصالات فقط من عنوان (عناوين) IP المصدر المحدد في أوقات محددة.

تساعد جدر الحماية في الأجهزة في مثل هذه السيناريوهات حيث أنه من الصعب للغاية تغيير نظام التشغيل / ملفات نظام التشغيل بالمقارنة مع نظام التشغيل / الملفات المضيفة.

عيوب جدار الحماية:

  1. يشعر الناس أن جدار الحماية سيعتني بالأمان ولا يقومون بتحديث الأنظمة بانتظام وإيقاف الخدمات غير المرغوب فيها.
  2. يكلفون. في بعض الأحيان يجب دفع رسوم الترخيص السنوية. خاصة إذا كان للجدار الحماية وحدات مكافحة الفيروسات ومكافحة البريد المزعج.
  3. نقطة واحدة إضافية من الفشل. إذا مرت جميع حركة المرور عبر جدار حماية وفشل جدار الحماية ، فستتوقف الشبكة. يمكن أن يكون لدينا جدران حماية زائدة عن الحاجة ، ولكن بعد ذلك ، يتم زيادة تضخيم النقطة السابقة للتكلفة.
  4. لا يوفر التتبع الرسمي أي قيمة على الأنظمة العامة التي تقبل جميع الاتصالات الواردة.
  5. والجدار الناري المحيط هو عنق زجاجة كبير أثناء هجوم DDoS وغالباً ما يكون أول شيء يفشل ، لأنه يحاول الحفاظ على الحالة وفحص جميع الاتصالات الواردة.
  6. لا يمكن للجدران النارية رؤية حركة المرور المشفرة داخلها. منذ كل حركة المرور ينبغي تشفير نهاية إلى نهاية ، فإن معظم جدران الحماية تضيف قيمة قليلة أمام الخوادم العامة. يمكن إعطاء بعض جدران الحماية من الجيل التالي مفاتيح خاصة لإنهاء TLS ورؤية داخل حركة المرور ، إلا أن هذا يزيد من قابلية جدار الحماية إلى DDoS أكثر ، ويكسر نموذج أمان TLS من طرف إلى طرف.
  7. يتم تصحيح أنظمة التشغيل والتطبيقات ضد نقاط الضعف بسرعة أكبر بكثير من جدران الحماية. غالبًا ما يجلس موردو الجدار الناري على المشكلات المعروفة لـ سنوات بدون تصحيح ، وكتلة كتلة جدار الحماية عادة ما تتطلب التوقف عن العديد من الخدمات والاتصالات الصادرة.
  8. الجدران النارية بعيدة عن الكمال ، والعديد من عربات التي تجرها الدواب سيئة السمعة. الجدران النارية هي مجرد برامج تعمل على شكل من أشكال نظام التشغيل ، ربما مع ASIC إضافي أو FPGA بالإضافة إلى وحدة المعالجة المركزية (عادة بطيئة). تحتوي جدران الحماية على أخطاء ، ولكن يبدو أنها توفر القليل من الأدوات لمعالجتها. لذلك ، تضيف جدران الحماية درجة تعقيد ومصدر إضافي للأخطاء التي يصعب تشخيصها إلى مكدس التطبيقات.

52
2017-11-13 02:36



Above all this if you do not have firewall and system is compromised then how would you detect it? كشف التسلل ليست مهمة جدار الحماية. يتم التعامل مع هذه المهمة بشكل أكثر ملاءمة من قبل HIDS (نظام كشف التطفل المستندة إلى المضيف) ، وهو مستقل عن جدار الحماية. - Steven Monday
خوادم سجل النظام للقضاء على الحاجة لمادة 5. إذا كان أي شيء، فمن الأفضل لإرسال سجلات جدار الحماية لخادم سجل نظام، في حالة مهاجم يدير لتقديم تنازلات جدار الحماية وحذف سجلات لها. بعد ذلك ، على المهاجم أن يقوض نظامين فقط لحذف السجلات ، وقد لا يكونا مستعدين لذلك (خاصة مع الهجمات الآلية). وبالمثل ، إذا كانت جميع أنظمتك تحتوي على تسجيل مركزي ، فستحصل على تفاصيل أفضل حول الهجوم مما يمكن أن تقدمه سجلات جدار الحماية. - Ernie
كانت وجهة نظري منذ أن يقيم HIDS على مضيف لا يمكننا أن نثق في إنتاجه. على سبيل المثال حتى لو كنا استخدام آمن مشفر "الشرارة" كما IDS القائمة على المضيف، يمكن للمهاجم أن تحل محل دائما كل الثنائيات الشرارة (twadmin، الشرارة، twprint، وما إلى ذلك) مع إصدارات للخطر الذي لن يقدم التسلل. حتى لو حاولنا نسخ المكتبات / الثنائيات من النظام الآخر ، يمكن أن تكون هناك عملية تعمل على مراقبة هذه الثنائيات التي تعرضت للاختراق وتستبدلها مرة أخرى بإصدار تالف في حالة استبدالها أو تحديثها. يمكن الوثوق بجدار الحماية عن المضيف ، في مثل هذه السيناريوهات. - Saurabh Barjatiya
تم قبول هذه الإجابة على الإجابة الأكثر شيوعًا لأنها توفر مجموعة أفضل وأكثر شمولاً من الأسباب لاستخدام جدار الحماية. وليس ، لهذا الأمر. - Ernie
جدير بالذكر أن جُدر الحماية للتفتيش الحامل لا تنتمي إلى الخوادم. إنها مسئولية كبيرة في هجمات DDoS ، وهي أول ما يفشل في الهجوم. - rmalayter


يمكن القول أن أغلفة TCP تُسمى تطبيق جدار الحماية على أساس المضيف ؛ تقوم بتصفية حركة مرور الشبكة.

بالنسبة إلى النقطة التي يقوم بها أحد المهاجمين الذين يقومون باتصالات خارجية على ميناء تعسفي ، فإن جدار الحماية يوفر وسيلة للتحكم في حركة المرور الصادرة أيضًا ؛ يدير جدار الحماية المكون بشكل صحيح الدخول والخروج بطريقة مناسبة للمخاطر المرتبطة بالنظام.

فيما يتعلق بكيفية عدم التخفيف من أي ثغرة TCP بواسطة جدار الحماية ، فأنت على دراية بكيفية عمل جدران الحماية. لدى Cisco مجموعة كاملة من القواعد المتاحة للتنزيل والتي تحدد الحزم التي تم إنشاؤها بطريقة تسبب مشاكل معينة في أنظمة التشغيل. إذا قمت بالقبض على Snort وبدء تشغيلها باستخدام مجموعة القواعد الصحيحة ، فستحصل أيضًا على تنبيه بشأن هذا النوع من الأشياء. وبطبيعة الحال ، يمكن أن iptables لينكس تصفية الحزم الضارة.

في الأساس ، جدار الحماية هو حماية استباقية. كلما ابتعدت عن كونك استباقيًا ، من المرجح أنك ستجد نفسك في موقف تتفاعل فيه مع المشكلة بدلاً من منع المشكلة. يؤدي تركيز حمايتك على الحدود ، كما هو الحال مع جدار الحماية المخصص ، إلى تسهيل إدارة الأمور نظرًا لوجود نقطة خنق مركزية بدلاً من تكرار القواعد في كل مكان.

لكن لا يوجد شيء واحد بالضرورة هو الحل النهائي. الحل الأمني ​​الجيد عمومًا هو متعدد الطبقات ، حيث يكون لديك جدار حماية على الحدود ، وأغلفة TCP على الجهاز ، وربما بعض القواعد على أجهزة التوجيه الداخلية أيضًا. يجب عليك عادة حماية الشبكة من الإنترنت ، وحماية العقد من بعضها البعض. هذا النهج متعدد الطبقات لا يشبه حفر حفرة عبر أوراق متعددة من الخشب الرقائقي ، إنه أشبه بوضع زوج من الأبواب بحيث يكون لدى الدخيل قفلان لكسرهما بدلاً من واحد ؛ هذا يسمى مصيدة الرجل في الأمن المادي ، ومعظم كل مبنى لديه واحد لسبب ما. :)


33
2017-11-12 22:04



أيضا إذا تسللوا داخل المبنى وفتحوا الباب الداخلي لصديقهم بالخارج ، فعليهم أيضا فتح وفتح الباب الخارجي. (أي بدون جدار حماية خارجي ، يمكن للشخص الذي يدخل إلى خادمك فتحه مباشرةً ، في حين أن جدار الحماية الخارجي سيظل يحظر المنافذ المفتوحة من الخارج) - Ricket
Ricket: ربما يستطيعون ذلك ، لكن المهاجمين العصريين لا يزعجون بأشياء مثل هذه. يجب أن يكون موقعك ذا أهمية خاصة لأي مهاجم للقيام بأي شيء أكثر من إضافة الخادم الخاص بك إلى مزرعة زومبي. - Ernie
Ernie - لا، فإنه يحتاج فقط إلى وجود ليتم بحثها تلقائيا لمساحة حرة لورز، وقواعد بيانات العملاء، المعلومات المالية، وكلمات السر، وإضافتها إلى الروبوتات - ولكن حتى هذا يمكن أن يكون سيئا بما فيه الكفاية - وبعض مدراء هوة سوداء بسعادة IP الخاص بك إذا كان يبدو أنك تستضيف كائنات الزومبي. - Rory Alsop
TCP Wrappers could be arguably called a host-based firewall implementation+1 للحصول على إجابة رائعة. - sjas


(قد ترغب في قراءة "الحياة بدون جدران الحماية")

الآن: ماذا عن وجود نظام قديم لم يعد يتم نشر أي بقع منه؟ ماذا عن عدم القدرة على تطبيق التصحيحات على N-machines في الوقت الذي تحتاج فيه للقيام بذلك ، بينما يمكنك في نفس الوقت تطبيقها في عدد أقل من العقد في الشبكة (جدران الحماية)؟

ليس هناك جدوى من مناقشة وجود جدار الحماية أو حاجته. ما يهم حقا هو أن عليك تنفيذ سياسة أمنية. للقيام بذلك ، ستستخدم أي أدوات ستنفذها وتساعدك على إدارة وتوسيعها وتطويرها. إذا كانت هناك حاجة لجدران النار للقيام بذلك ، فلا بأس بذلك. إذا لم تكن هناك حاجة لذلك على ما يرام أيضا. ما يهم حقًا هو وجود تنفيذ عملي وقابل للتحقق لسياستك الأمنية.


15
2017-11-12 21:31



هيه. لقد قمت بتشغيل شبكة الخوادم الخاصة بنا منذ 8 سنوات دون جدار حماية. يمكنني الحصول علي مكتوبة "الحياة من دون جدران نارية" ، لكنه قام بطريقة أفضل وظيفة ويدير شبكة أكبر من طريقة ، على أي حال. - Ernie
Ernie - أعتقد أنك قد حصلت على الحظ. كيف تعرف أنك لم تتعرض للخطر؟ وقد كشفت نتائج تحقيقات الطب الشرعي على العديد من موكلي عن حل وسط ، وأحيانًا يعود إلى شهور ، في حين وجد المهاجمون معلومات شخصية ومالية ، وتفاصيل العميل ، والملكية الفكرية ، وخطط الأعمال ، إلخ. كما قال شون - احصل على تدقيق أمني مناسب. - Rory Alsop
في الواقع ، وبصرف النظر عن حقيقة أن شبكة الخادم الخاصة بنا منفصلة فعليًا عن شبكة مكتبنا (وبالتالي ، لا يمكن استخلاص أي بيانات حساسة حقًا منها ، حتى مع الوصول إلى الجذر على كل خادم) ، فقد تمكنت من اكتشاف كل حل وسط كان من أي وقت مضى منذ أن بدأت هنا. يمكنني المضي قدمًا في عرض الرعب الذي كان موجودًا عندما بدأت ، لكن ليس لدي مساحة كافية. :) يكفي أن نقول أن معظم الهجمات ليست دقيقة ، والاكتشافات الدقيقة يمكن اكتشافها أيضا. نعم ، وفصل امتياز المستخدم هو صديقك. - Ernie


يبدو أن معظم تفسيراتك تدحض الحاجة إلى جدار ناري ، لكنني لا أرى خدعة في وجود جدار ناري ، لكنني لا أجد سوى فترة زمنية صغيرة لإعداد واحدة.

بعض الأشياء هي "ضرورة" بمعنى صارم للكلمة. الأمن هو أكثر حول إعداد جميع الحصارات التي يمكنك القيام بها. كلما زاد عدد المهام اللازمة لاقتحام خادمك ، فإن هذا يعني فرصة أقل في الهجوم الناجح. أنت تريد أن تجعله يعمل بشكل أكبر لاقتحام آلاتك من أي مكان آخر. إضافة جدار حماية يجعل المزيد من العمل.

أعتقد أن الاستخدام الرئيسي هو التكرار في الأمان. إضافة أخرى لجدران الحماية ، يمكنك ببساطة إسقاط محاولات الاتصال بأي منفذ بدلاً من الاستجابة للطلبات المرفوضة - سيؤدي ذلك إلى جعل الأمر أكثر سهولة بالنسبة للمهاجم.

أهم شيء بالنسبة لي على المذكرة العملية لسؤالك هو أنه يمكنك قفل SSH و ICMP والخدمات الداخلية الأخرى وصولاً إلى الشبكات الفرعية المحلية بالإضافة إلى الحد الأقصى للاتصالات الواردة للمساعدة في تخفيف هجمات DOS.

"إن الهدف من الأمن ليس الدفاع عن نفسك بعد الهجوم الناجح - الذي ثبت بالفعل أنه مستحيل - هو الحفاظ على المهاجمين في المقام الأول."

أنا أعترض. الحد من الأضرار يمكن أن يكون بنفس القدر من الأهمية. (في ظل هذا المثال ، لماذا تجول كلمات المرور؟ أو التمسك برمجيات قواعد البيانات الخاصة بك على خادم مختلف عن تطبيقات الويب الخاصة بك؟) أعتقد أن المثل القديم "لا تلتصق بكل بيضك في سلة واحدة" ينطبق هنا.


9
2017-11-12 21:30



حسنا ، أنت على حق ، لم أضع أي سلبيات هناك. سلبيات: زيادة تعقيد الشبكة ، نقطة واحدة من الفشل ، واجهة شبكة واحدة يتم من خلالها اختناق عرض النطاق الترددي. وبالمثل ، يمكن للأخطاء الإدارية التي تم ارتكابها على أحد جدران الحماية أن تقتل الشبكة بالكامل. وتمنع الآلهة أن تخرج نفسك منها في الوقت الحالي عندما تكون رحلة 20 دقيقة إلى غرفة الخادم. - Ernie
قد يكون هذا خطابيًا بحتًا ، ولكن عندما تقول "الأمن أكثر حول إعداد جميع الحصارات يمكنك" ، فإنني أفضل أن أسمع "الأمن هو أكثر عن منع كل شيء بشكل افتراضي ، وفتح الحد الدقيق الدقيق للعمل". - MatthieuP
+1 خطة أمان شاملة تغطي الوقاية والكشف والاستجابة. - Jim OHalloran


Should I firewall my server? سؤال جيد. يبدو أن هناك نقطة صغيرة لصفع جدار حماية فوق مكدس شبكة يرفض بالفعل محاولات الاتصال إلى كافة ولكن باستثناء المنافذ المفتوحة شرعياً. في حالة وجود ثغرة أمنية في نظام التشغيل تسمح للحزم المصممة بشكل ضار بتعطيل / استغلال مضيف ، يعمل على نفس المضيف منع استغلال؟ حسنا، يمكن ...

وربما هذا هو السبب الأقوى لتشغيل جدار حماية على كل مضيف: جدار ناري ربما منع استغلال ثغرة شبكة المكدس. هل هذا سبب قوي بما فيه الكفاية؟ لا أعرف ، لكنني أعتقد أنه يمكن للمرء أن يقول ، "لم يتم فصل أي شخص عن تركيب جدار ناري."

هناك سبب آخر لتشغيل جدار ناري على الخادم هو فصل هذين المخاوف المرتبطة بقوة:

  1. من أين وإلى أي منفذ ، هل أقبل الاتصالات؟
  2. ما هي الخدمات التي يتم تشغيلها والاستماع للاتصالات؟

بدون وجود جدار حماية ، فإن مجموعة الخدمات التي تعمل (بالإضافة إلى تكوينات tcpwrappers وما إلى ذلك) تحدد تمامًا مجموعة المنافذ التي سيكون الخادم مفتوحًا بها ، ومنهم سيتم قبول الاتصالات. يمنح جدار الحماية المستند إلى المضيف المشرف مرونة إضافية لتثبيت واختبار الخدمات الجديدة بطريقة يتم التحكم فيها قبل إتاحتها على نطاق أوسع. إذا لم تكن هذه المرونة مطلوبة ، فهناك سبب أقل لتثبيت جدار حماية على خادم.

في ملاحظة أخيرة ، هناك عنصر واحد غير مذكور في قائمة التحقق من الأمان التي أقوم بإضافتها دائمًا ، وهو نظام كشف التسلل يستند إلى المضيف (HIDS) ، مثل AIDE أو سامهاين. HIDS جيد يجعل من الصعب للغاية على الدخيل لإجراء تغييرات غير مرغوب فيها على النظام وتبقى غير مكتشفة. أعتقد أن جميع الخوادم يجب أن تشغل نوعًا من HIDS.


8
2017-11-12 23:10



+1 للإشارة إلى أنظمة HIDS. - Sam Halicke
HIDS كبيرة - إذا كنت تنوي إعدادها ونسيانها. وعدم إضافة أو حذف الحسابات. وإلا فإن الغالبية العظمى من سجلات HIDS ستكون قوائم طويلة لما قمت به اليوم ، وسرعان ما يتم تجاهلها في كل وقت. - Ernie
لا الم لا ربح كما يقولون. على الملقمات التي بها الكثير من التغييرات ، من الممكن تصفية الضوضاء المتوقعة ، مما يتيح لك التركيز على ما هو غير متوقع. - Steven Monday


جدار الحماية هو أداة. لا يجعل الأشياء آمنة في حد ذاتها ، ولكن يمكن أن تقدم مساهمة كطبقة في شبكة آمنة. هذا لا يعني أنك بحاجة إلى واحد ، وأقلق بالتأكيد من الناس الذين يقولون بشكل أعمى "يجب أن أحصل على جدار حماية" دون فهم لماذا يفكرون بهذه الطريقة والذين لا يفهمون نقاط القوة والضعف لجدران الحماية.

هناك الكثير من الأدوات التي يمكننا أن نقول أننا لا نحتاجها ... هل من الممكن تشغيل جهاز كمبيوتر يعمل بنظام Windows بدون مضاد الفيروسات؟ نعم إنه ... لكن إنها طبقة جميلة من التأمين للحصول على واحدة.

أود أن أقول نفس الشيء عن الجدران النارية - أي شيء آخر يمكن أن تقوله عنها ، فهي مستوى جيد من التأمين. فهي ليست بديلاً عن الترقيع أو إغلاق الأجهزة أو تعطيل الخدمات التي لا تستخدمها أو تسجيلها ، إلخ ... ولكنها يمكن أن تكون مكملاً مفيدًا.

أود أيضًا أن أقترح أن تتغير المعادلة إلى حد ما استنادًا إلى ما إذا كنت تتحدث عن وضع جدار حماية أمام مجموعة من الخوادم المجهزة بعناية ، كما يبدو لك ، أو شبكة LAN نمطية مع مزيج من محطات العمل والخوادم ، وبعضها قد يكون تشغيل بعض الأشياء جميلة شعر على الرغم من الجهود المبذولة ورغبات فريق تكنولوجيا المعلومات.

هناك شيء آخر يجب مراعاته وهو فائدة إنشاء هدف صلب بشكل واضح. الأمان المرئي ، سواء أكان ذلك من الأضواء الساطعة والأقفال الثقيلة وصندوق إنذار واضحًا في المبنى ؛ أو جدار ناري واضح على مجموعة من عناوين IP لرجال الأعمال يمكن أن يردع المتطفل العادي - سيبحثون عن الفرائس الأسهل. هذا لن يردع المتطفل العازم الذي يعرف أن لديك معلومات يريدها ، وأنه مصمم على الحصول عليها ، ولكن ردع المتسللين العرضيين لا يزال جديرا بالاهتمام - خاصة إذا كنت تعرف أن أي متطفل لا تزال تحقيقاته تنتهز رادعا يجب أن تؤخذ على محمل الجد .


6
2017-11-12 22:25



وبالتالي السبب قلت "خوادم" بدلا من "شبكة المكاتب"؟ :) في حالتنا خاصة ، مركز البيانات والمكتب هما كيانان منفصلان جسديا. - Ernie
أفهم أن Ernie ، لكنها نقطة تستحق التأكيد ... لذلك فعلت. - Rob Moir


كل الأسئلة الرائعة. ولكن - أنا مندهش للغاية لم يتم تقديم الأداء إلى الطاولة.

بالنسبة إلى نهايات واجهة الويب المستخدمة (CPU-wise) ، فإن جدار الحماية المحلي يحط من الأداء حقًا. جرب اختبار الحمل وانظر. رأيت هذا طن من المرات. إيقاف تشغيل جدار الحماية زيادة الأداء (الطلب لكل ثانية) بنسبة 70٪ أو أكثر.

يجب النظر في هذه المقايضة.


5
2017-11-13 22:28



هذا يعتمد إلى حد كبير على قواعد جدار الحماية في المكان. يتم تشغيل قواعد جدار الحماية بشكل تسلسلي على كل حزمة ، لذلك لا تريد أن يكون لديك مئات القواعد التي يجب النظر إليها. في الشتاء الماضي عندما قمنا بإدارة موقع يحتوي على إعلان في superbowl ، لم تكن قواعد جدار الحماية مشكلة ، على سبيل المثال. لكنني أوافق على أنك بحاجة إلى فهم تأثير أداء قواعد جدار الحماية. - Sean Reifschneider


جدار الحماية هو حماية إضافية. هناك ثلاث سيناريوهات خاصة تحميها ضد هجمات شبكة الاتصال (أي أن نظام التشغيل الخاص بالوحدة التابعة لديك لديه ثغرة في الحزم المصممة خصيصًا والتي لا تصل أبدًا إلى مستوى المنافذ) ، والتدخل الناجح الذي يجعل الاتصال بـ "هاتف المنزل" (أو إرسال الرسائل غير المرغوب فيها ، أو أي شيء ) ، أو محاولة اختراق ناجحة لمنفذ الخادم أو ، أقل قابلية للاكتشاف ، لمشاهدة تتابع طرق المنافذ قبل فتح المنفذ. من المؤكد أن الأخيرين يجب عليهما القيام بتخفيف الضرر الناتج عن التدخل بدلاً من منعه ، لكن هذا لا يعني أنه غير ذي جدوى. تذكر أن الأمن ليس مقترحًا للجميع أو لا شيء ؛ واحد يأخذ نهج الطبقات ، حزام وحمالات ، لتحقيق مستوى من الأمن يكفي لاحتياجاتك.


4
2017-11-13 12:37



+1 على الإطلاق ، الدفاع في العمق هو المفتاح. - Jim OHalloran
أخفق في رؤية كيف يمكنني الحصول على أي توقع لحظر حركة المرور الصادرة إلى أي تأثير ، خاصةً عندما يتوقع عملاؤنا أن يرسل العديد من خوادمنا البريد إلى مضيفين عشوائيين على الإنترنت (كما هو الحال مع الرسائل غير المرغوب فيها). "Phoning home" هي مجرد مسألة اتصال بمضيف عشوائي آخر على الشبكة - وأنا أشك في أن حجب جميع الاتصالات الصادرة لحفظ عدد قليل من الأشخاص يساعد أي شيء على الإطلاق - وهذا يعني ، إذا كنت تريد أن تفعل اى شى على شبكة الاتصال العالمية. وحجب عدد قليل من الموانئ يشبه إعداد كشك رسوم في وسط الصحراء. - Ernie


أنا لست خبيرا في مجال الأمن بأي وسيلة ، ولكن يبدو كما لو كنت firewall'ed. يبدو أنك أخذت بعض الوظائف الأساسية لجدار الحماية وجعلتها جزءًا من سياساتك وإجراءاتك. لا ، لست بحاجة إلى جدار حماية إذا كنت ستقوم بنفس العمل كجدار حماية بنفسك. بالنسبة لي ، أفضل أن أقوم بأفضل ما يمكنني في الحفاظ على الأمن ، لكن لدي جدار حماية ينظر إلى كتفي ، ولكن في وقت ما يمكنك القيام بكل شيء يقوم به جدار الحماية ، فإنه يبدأ في أن يصبح غير ذي صلة.


3
2017-11-13 10:47





بالتأكيد ليست هناك حاجة لجدار الحماية لإعدادات أصغر. إذا كان لديك واحد أو اثنين من الخوادم ، تكون جدران الحماية البرمجية قابلة للصيانة. مع ذلك ، نحن لا نركض بدون جدران نار مخصصة ، وهناك بعض الأسباب التي جعلتني أحافظ على هذه الفلسفة:

فصل الأدوار

الخوادم هي للتطبيقات. الجدران النارية هي لفحص الحزم ، والتصفية ، والسياسات. يجب أن يقلق خادم الويب من تقديم صفحات الويب ، وهذا كل ما في الأمر. إن وضع كل من الأدوار في جهاز واحد يشبه مطالبة المحاسب أيضًا بأن يكون حارس الأمان الخاص بك.

البرنامج هو هدف متحرك

البرنامج على المضيف يتغير دائما. يمكن للتطبيقات إنشاء استثناءات جدار الحماية الخاصة بهم. يتم تحديث نظام التشغيل ومحللة. تعد الخوادم منطقة "مشرف" ذات عدد كبير من الزيارات ، وكثيراً ما تكون سياسات / سياسات الأمان الخاصة بجدار الحماية أكثر أهمية للأمان من تكوينات التطبيق. في بيئة Windows ، افترض أن شخصًا ما قد ارتكب خطأً عند بعض مستويات "نهج المجموعة" وأنه يقوم بإيقاف تشغيل "جدار حماية Windows" على أجهزة كمبيوتر سطح المكتب ، ولا يدرك أنه سيتم تطبيقه على الخوادم. أنت مفتوحة على مصراعيها من حيث النقرات.

بمجرد التحدث إلى التحديثات ، تظهر تحديثات البرامج الثابتة للجدار الناري بشكل عام مرة أو مرتين في العام ، في حين أن تحديثات نظام التشغيل والخدمة هي تيار ثابت.

الخدمات / السياسات / القواعد القابلة لإعادة الاستخدام ، سهولة الإدارة

إذا قمت بإعداد خدمة / سياسة تسمى "خادم الويب" مرة واحدة (قل TCP 80 و TCP 443) ، وقم بتطبيقها على "مجموعة خوادم الويب" على مستوى الجدار الناري ، فهذا أكثر فعالية (بضعة تغييرات في التكوين) وأقل عرضة للخطأ البشري بشكل كبير من إعداد خدمات جدار الحماية في 10 مربعات ، وفتح 2 منافذ × 10 مرات. عندما يلزم تغيير هذه السياسة ، يكون التغيير 1 مقابل 10.

لا يزال بإمكاني إدارة جدار حماية أثناء الهجوم ، أو بعد حل وسط

قل هو الحصول على هجوم على خادم تطبيق جدار الحماية + المضيف المستند إلى المضيف ووحدة المعالجة المركزية خارج المخطط. حتى أن نبدأ في معرفة ما يحدث ، فأنا تحت رحمة كوني أقل من المهاجم حتى أتمكن من الدخول وإلقاء نظرة عليه.

تجربة فعلية - لقد أفسدت في وقت من الأوقات قاعدة جدار الحماية (كانت الموانئ إلى اليسار بدلاً من واحدة محددة ، وكان لدى الخادم خدمة ضعيفة) ، وكان لدى المهاجم في الواقع جلسة عمل عن بُعد في سطح المكتب البعيد إلى المربع. في كل مرة سأبدأ في الحصول على جلسة ، سيقتل المهاجم / يقطع جلستي. إذا لم تكن قادرة على إيقاف هذا الهجوم من جهاز جدار ناري مستقل ، كان يمكن أن يكون أسوأ بكثير.

المراقبة المستقلة

عادةً ما يكون التسجيل في وحدات جدار الحماية المخصصة أفضل بكثير من جدران الحماية الخاصة بالبرامج المستندة إلى المضيف. بعضها جيد بما فيه الكفاية لدرجة أنك لا تحتاج حتى إلى برنامج مراقبة SNMP / NetFlow خارجي للحصول على صورة دقيقة.

الحفاظ على IPv4

لا يوجد سبب لوجود عنوانين IP (بروتوكول الإنترنت) إذا كان أحدهما للويب والآخر للبريد. احتفظ بالخدمات في صناديق منفصلة ، وتوجيه المنافذ بشكل مناسب عبر الجهاز المصمم للقيام بذلك.


3
2017-11-13 16:06





اقتباس فقرة   حسنا ، أنت على حق ، لم أضع أي سلبيات هناك. سلبيات: زيادة تعقيد الشبكة ، نقطة واحدة من الفشل ، واجهة شبكة واحدة يتم من خلالها اختناق عرض النطاق الترددي. وبالمثل ، يمكن للأخطاء الإدارية التي تم ارتكابها على أحد جدران الحماية أن تقتل الشبكة بالكامل. وتمنع الآلهة أن تخرج نفسك منها في الوقت الحالي عندما تكون رحلة 20 دقيقة إلى غرفة الخادم.

أولاً ، لا يعد إضافة قفزة توجيهية إضافية واحدة على الأكثر عبر الشبكة أمرًا معقدًا. ثانياً ، لا يوجد حل لجدار الحماية يتم تنفيذه بأي نقطة فشل واحدة هو عديم الفائدة تمامًا. تمامًا مثلما تقوم بتجميع الخوادم أو الخدمات الهامة الخاصة بك واستخدام بطاقات NIC المستعبِدة ، يمكنك تنفيذ جدران الحماية المتوفرة للغاية. عدم القيام بذلك ، أو عدم الاعتراف والمعرفة بأنك تفعل ذلك قصير النظر. ببساطة تفيد أن هناك واجهة واحدة لا تجعل شيئا آليا اختناقا. يوضح هذا التأكيد أنه ليس لديك أي فكرة عن كيفية تخطيط حجم جدار الحماية ونشره بشكل صحيح للتعامل مع حركة المرور التي من شأنها أن تتدفق عبر الشبكة. أنت على حق في القول بأن خطأ في السياسة يمكن أن يسبب ضررًا لشبكتك بالكامل ، لكنني أقول إن الحفاظ على السياسات الفردية على جميع الخوادم الخاصة بك هو أكثر عرضة للخطأ من مكان واحد.

بالنسبة للحجة القائلة بأنك تواكب التصحيح الأمني ​​وتتبع أدلة الأمان ؛ هذا حجة هشة في أحسن الأحوال. عادة لا تتوفر تصحيحات الأمان حتى يتم اكتشاف الثغرة الأمنية. وهذا يعني أنه طوال الفترة التي تشغل فيها خوادم قابلة للعشوَل العام ، تصبح عرضة للكسر حتى يتم تصحيحها. كما أشار آخرون ، يمكن أن تساعد أنظمة IPS في منع التنازلات من مثل هذه الثغرات.

إذا كنت تعتقد أن أنظمتك آمنة قدر الإمكان ، فهذه ثقة جيدة لديك. ومع ذلك ، فإنني أنصحك بإجراء تدقيق أمان احترافي على شبكتك. قد يفتح فقط عينيك.


2
2017-11-14 03:57



It may just open your eyes. +1 كما سيكون المسمار الأخير في التابوت. - sjas