La vieja pregunta. He visto respuestas en ambos sentidos sobre esto, pero nunca una respuesta completa sobre por qué desea que los firewalls estén activos dentro de su red confiable. Cuando digo "confiable", (normalmente) me refiero a una LAN que ya está detrás de un firewall activo.
Me gustaría tener razones completas de por qué querrías esto. El único argumento del que he oído hablar es que los cortafuegos inactivos dentro de su red de confianza conducen a un acuerdo de seguridad "crujiente y masticable", en el que violar el cortafuegos exterior "crujiente y duro" expone todas las máquinas internas "blandas y masticables".
Respuesta1
Creo que tener firewalls dentro de la red es algo bueno por varias razones.
- Proteja sus datos internos confidenciales para que no sean modificados, robados o eliminados. Si cada usuario final de su empresa tiene acceso a la red a todos los servidores de su base de datos de producción, las contraseñas son lo único que protege sus datos. En algunos casos (cuentas SQL versus cuentas de dominio) es común que todo el personal de desarrollo tenga la contraseña de acceso de escritura en todas estas bases de datos. La mayoría de las estadísticas que he visto indican que es mucho más probable que te ataquen desde dentro que desde un atacante externo. Los empleados descontentos pueden estar extremadamente motivados.
- Proteja sus datos internos confidenciales para que no seanaccidentalmentemodificado/eliminado. Apuntar accidentalmente un servidor web de Stage a un servidor de base de datos de producción ocurre con mucha más frecuencia de lo que imagina. Si corta el firewall de sus servidores Prod DB de modo que solo los servidores web de Prod y los DBA puedan acceder a ellos, mitiga este riesgo significativamente.
- Un enfoque más sólido y en capas. Cuantas más capas de seguridad sensata agregue, mejor. Algunas personas pueden volverse un poco locas con esto, pero en general es una buena idea.
- A medida que su red crece, necesita protección de usted mismo. Ya sean puntos de acceso no autorizados o computadoras portátiles, es casi imposible estar 100% seguro de que todo en su red cumple con su política de seguridad.
Respuesta2
Sí, simplemente porque con solo un firewall en la frontera, tienes un único punto de falla. Si ese firewall tiene un error que permite omitirlo, entonces su seguridad habrá desaparecido.
La seguridad debe ser un enfoque por capas, aplicando seguridad en cada capa siempre que sea posible, o al menos rentable, y apropiada para el nivel de riesgo.
Como ocurre con todos los consejos de seguridad, debe tener en cuenta el riesgo real que implica si su sistema se ve comprometido. Si todo lo que perdería es una casilla no crítica sin datos, entonces puede que no importe mucho. Si intenta proteger secretos de estado, cuentas bancarias o información de atención médica, necesita emplear muchas más capas.
Respuesta3
Tampoco subestimes nunca la capacidad de otro empleado de traer su computadora portátil cargada de virus desde casa y conectarla a tu red central.
Respuesta4
Una forma de ver esto es:
Su empresa tiene algún tipo de seguridad perimetral, ¿verdad? Es decir, una puerta de entrada con valla, etc.
Piensa en esto como tu firewall principal.
Aún así, cierras edificios, cierras secciones de edificios y cierras oficinas individuales, etc. Si tienes credenciales que escaneas, las credenciales de algunas personas ni siquiera les permiten ingresar a secciones de algunos edificios, y mucho menos a oficinas individuales.
Cada una de esas secciones bloqueadas es como otro firewall.
Si va a utilizar firewalls como protección, debería pensar en hacer que aíslen secciones de su red entre sí. No debe asumir que un paquete es bueno sólo porque está dentro de su perímetro.