Ich verwende derzeit ISA 2004 und werde bald eine Untangle-Box verwenden. Ich habe mich immer ein klein wenig sicherer gefühlt, wenn ich diese fortschrittlicheren Software-Firewalls hinter einer einfachen Hardware-Firewall (wie mittelklassigen Consumer-Routern) platziert habe. Im Grunde leite ich also bei Bedarf Ports von der Hardware-Firewall zur Software-Firewall weiter, die natürlich eine komplexere Konfiguration hat.
So wie ich das sehe, schützt mich das zumindest ein bisschen davor, versehentlich etwas auf der Software-Firewall zu öffnen und möglicherweise vor Störungen in der Software-Firewall. Allerdings hilft es mir wirklich nur, indem es Ports am Rand blockiert (na ja, es ist ein bisschen besser als das, aber nicht viel). Außerdem macht es die Konfiguration komplizierter und es ist schwieriger, jedes System unabhängig zu testen.
Sollte ich die billige Router-/Firewall-Box wegwerfen?
Antwort1
Persönlich, und das ist nur meine Meinung, sehe ich darin keine große Logik. Wenn man bei einer Firewall einen Fehler machen kann, kann man auch bei zweien einen Fehler machen. Wenn eine nicht funktioniert, können auch zwei nicht funktionieren. Warum dann nicht drei, vier oder fünf?
Ich würde lieber eine einzelne Firewall der Enterprise-Klasse implementieren, die vertrauenswürdig und bewährt ist, und deren Konfiguration und Betrieb von einer unabhängigen, erfahrenen und unvoreingenommenen Partei validieren und für mich Intrusion-Tests durchführen lassen.
Es ist ein bisschen wie das alte Sprichwort: Wenn eine Pille gut für mich ist, dann müssen zwei besser sein, oder?
Antwort2
Aus Sicherheitsgründen müssen Sie die Risiken für Ihre Umgebung abwägen. Die Verkettung von Geräten ist möglicherweise sicherer (sofern es sich um unterschiedliche Technologien handelt), verursacht aber, wie Sie angedeutet haben, (viel) mehr Wartungsaufwand.
Wenn Sie kein großes Angriffsziel sind und/oder kein hohes Verkehrsaufkommen haben, dann glaube ich persönlich nicht, dass die Sicherheitsvorteile die Wartungskosten aufwiegen. Aber auch hier kommt es darauf an, was Sie schützen und wie lange Sie sich einen Ausfall leisten können, wenn etwas passiert und Sie neu aufbauen müssen. Das können nur Sie berechnen.
Mit welcher Belastung müssen Sie aus Leistungssicht rechnen? Eines der größten Probleme, die ich beim Verketten von Geräten in Ihrer Firewall-Lösung festgestellt habe, sind Engpässe bei der Hardwareverarbeitung, bei denen ein kleineres Gerät das Ganze blockiert, weil es die Dinge nicht schnell genug verarbeiten kann.
Der wichtigste Grund ist, mehrere Schutzbarrieren zu haben. Die Schwachstellen eines Systems sind in der Regel in einem anderen nicht vorhanden, sodass ein Angreifer eine weitere Variable hat, mit der er sich auseinandersetzen muss. Das geht jedoch schnell schief und ist nur von geringem Nutzen, wenn man Dinge wie DoS-Angriffe gegen das äußerste Randgerät in Betracht zieht. Wenn das passiert, sind Sie aufgeschmissen, bis Sie diesen Angriff abgewehrt haben.
Antwort3
In meinen eigenen Netzwerken verwende ich einen mehrschichtigen Ansatz. Dies läuft normalerweise auf eine externe Firewall hinaus und wenn Sie sich den einzelnen Maschinen nähern, kommen weitere Schichten hinzu, darunter auf den meisten von ihnen eine Host-basierte Firewall.
Obwohl ich also sagen würde, dass es sinnvoll ist, mehr als einen Parameter zu haben, glaube ich nicht, dass es sicherer wäre, für jeden dieser Parameter mehr als eine Ebene zu haben.
Antwort4
Billig bedeutet nicht unbedingt schlecht. Ein Beispiel:RouterStation ProMit OpenWRT und Shorewall ist es eine sehr leistungsfähige Firewall ... für 79 US-Dollar, ohne Gehäuse und Netzteil. Das Wichtigste ist, dass es ein Betriebssystem auf Unternehmensniveau und genügend Speicher und CPU hat, sodass es Ihr Netzwerk wahrscheinlich nicht ausbremst. Die Verwendung eines dieser Geräte ist sinnvoll, während dies bei einem Gerät auf Verbraucherniveau mit der Standard-Firmware wirklich nicht sinnvoll ist.