Die uralte Frage. Ich habe Antworten in beide Richtungen gesehen, aber nie eine umfassende Antwort darauf, warum Sie Firewalls in Ihrem vertrauenswürdigen Netzwerk aktivieren möchten. Wenn ich „vertrauenswürdig“ sage, meine ich (normalerweise) ein LAN, das sich bereits hinter einer aktiven Firewall befindet.
Ich hätte gern umfassende Gründe dafür, warum Sie das wollen. Das einzige Argument, das ich je gehört habe, ist, dass inaktive Firewalls innerhalb Ihres vertrauenswürdigen Netzwerks zu einer „knusprig-zähen“ Sicherheitsanordnung führen, wobei das Durchbrechen der „knusprig-harten“ äußeren Firewall alle „weich-zähen“ internen Maschinen freilegt.
Antwort1
Ich denke, dass es aus verschiedenen Gründen sinnvoll ist, Firewalls innerhalb des Netzwerks zu haben.
- Schützen Sie Ihre sensiblen internen Daten vor Änderungen, Diebstahl und Löschungen. Wenn jeder Endbenutzer in Ihrem Unternehmen Netzwerkzugriff auf alle Ihre Produktionsdatenbankserver hat, sind Passwörter der einzige Schutz für Ihre Daten. In manchen Fällen (SQL-Konten vs. Domänenkonten) ist es üblich, dass das gesamte Entwicklungspersonal das Schreibzugriffskennwort für alle diese Datenbanken hat. Die meisten Statistiken, die ich gesehen habe, zeigen, dass Sie viel wahrscheinlicher von innen angegriffen werden als von außen. Verärgerte Mitarbeiter können extrem motiviert sein.
- Schützen Sie Ihre sensiblen internen Daten vorversehentlichgeändert/gelöscht. Das versehentliche Verweisen eines Stage-Webservers auf einen Produktions-DB-Server kommt viel häufiger vor, als Sie denken. Wenn Sie Ihre Produktions-DB-Server mit einer Firewall abschotten, sodass nur Produktions-Webserver und DBAs darauf zugreifen können, verringern Sie dieses Risiko erheblich.
- Ein robusterer, mehrschichtiger Ansatz. Je mehr Schichten sinnvoller Sicherheit Sie hinzufügen, desto besser. Manche Leute können dabei etwas übertreiben, aber insgesamt ist das eine gute Idee.
- Wenn Ihr Netzwerk größer wird, müssen Sie sich vor sich selbst schützen. Ob es sich nun um betrügerische Zugriffspunkte oder Laptops handelt, es ist fast unmöglich, 100 % sicher zu sein, dass alles in Ihrem Netzwerk Ihren Sicherheitsrichtlinien entspricht.
Antwort2
Ja, ganz einfach, weil Sie mit nur einer Firewall an der Grenze einen einzigen Ausfallpunkt haben. Wenn diese Firewall einen Fehler aufweist, der es ermöglicht, sie zu umgehen, ist Ihre Sicherheit dahin.
Sicherheit sollte ein mehrschichtiger Ansatz sein, bei dem die Sicherheit auf jeder Schicht angewendet wird, wann immer dies möglich oder zumindest kosteneffizient ist und dem Risikoniveau angemessen ist.
Wie bei allen Sicherheitsratschlägen sollten Sie das tatsächliche Risiko berücksichtigen, das entsteht, wenn Ihr System kompromittiert wird. Wenn Sie nur eine unkritische Box ohne Daten verlieren, ist das vielleicht nicht so wichtig. Wenn Sie Staatsgeheimnisse, Bankkonten oder Gesundheitsinformationen schützen wollen, müssen Sie viel mehr Schichten einsetzen.
Antwort3
Unterschätzen Sie niemals die Möglichkeit, dass ein anderer Mitarbeiter seinen virenverseuchten Laptop von zu Hause mitbringt und an Ihr Backbone anschließt.
Antwort4
Eine Möglichkeit, dies zu betrachten, ist:
Ihr Unternehmen verfügt über eine Art Außenschutz, nicht wahr? Also ein Pförtnerhaus mit Zaun usw.
Betrachten Sie dies als Ihre Haupt-Firewall.
Dennoch sperren Sie Gebäude ab, Sie sperren Gebäudeteile ab, Sie sperren einzelne Büros ab usw. Wenn Sie Ausweise haben, die Sie scannen, können manche Leute mit ihren Ausweisen nicht einmal Teile bestimmter Gebäude betreten, geschweige denn einzelne Büros.
Jeder dieser gesperrten Abschnitte ist wie eine weitere Firewall.
Wenn Sie Firewalls zu Ihrem Schutz verwenden, sollten Sie daran denken, dass diese Bereiche Ihres Netzwerks voneinander isolieren. Sie sollten nicht davon ausgehen, dass ein Paket gut ist, nur weil es sich innerhalb Ihres Perimeter befindet.