Actualmente estoy ejecutando ISA 2004 y pronto ejecutaré un cuadro Untangle. Siempre me he sentido un poquito más seguro colocando estos firewalls de software más avanzados detrás de un firewall de hardware tonto (como los enrutadores de consumo de grado medio). Básicamente, hago el reenvío de puertos según sea necesario desde el firewall de hardware al firewall de software que, por supuesto, tiene una configuración más compleja.
A mi modo de ver, esto al menos me protege un poco de abrir accidentalmente algo en el firewall del software y, potencialmente, de fallas en el firewall del software. Sin embargo, en realidad sólo me ayuda bloqueando los puertos en el borde (bueno, es un poco mejor que eso, pero no mucho). Además, hace que la configuración sea más complicada y es más difícil probar cada sistema de forma independiente.
¿Debería deshacerme de la caja barata de enrutador/firewall?
Respuesta1
Personalmente, y esto es sólo mi opinión, no veo mucha lógica en hacer esto. Si puedes cometer un error en un firewall, puedes cometer un error en dos. Si uno es dudoso, dos pueden ser dudosos. ¿Por qué no tres, cuatro o cinco entonces?
Preferiría implementar un único firewall de clase empresarial que tenga un historial probado y confiable y que una parte independiente, experimentada e imparcial valide su configuración y operación por mí y realice pruebas de intrusión por mí.
Es como el viejo dicho: si una pastilla es buena para mí, dos deben ser mejores, ¿verdad?
Respuesta2
Desde una perspectiva de seguridad, hay que sopesar los riesgos para su entorno. Encadenar dispositivos es potencialmente más seguro (siempre que sean tecnologías diferentes) pero, como eludió, genera (mucho) más gastos generales de mantenimiento.
Personalmente, si no es un objetivo importante y/o no ve un gran volumen de tráfico, no creo que los beneficios de seguridad superen el costo de los gastos generales de mantenimiento. Sin embargo, una vez más, depende de lo que esté protegiendo y de cuánto tiempo pueda permitirse el lujo de estar inactivo si sucede algo y tenga que reconstruir. Eso es algo que sólo tú puedes calcular.
Desde el punto de vista del rendimiento, ¿qué tipo de carga estás viendo? Uno de los mayores problemas que he visto al encadenar dispositivos en su solución de firewall son los cuellos de botella en el procesamiento de hardware donde un dispositivo más pequeño bloquea todo porque no puede procesar las cosas lo suficientemente rápido.
La razón principal es tener múltiples barreras de protección. Las vulnerabilidades de un sistema normalmente no estarán presentes en otro, por lo que coloca una variable más en su lugar para que la afronte un atacante. Sin embargo, comienza a decaer rápidamente y solo es marginalmente beneficioso cuando se consideran cosas como ataques DoS contra el dispositivo de borde extremo. Cuando eso sucede, estás jodido hasta que resuelvas ese ataque.
Respuesta3
En mis propias redes, utilizo un enfoque multicapa. Esto generalmente se reduce a un firewall externo y, a medida que se acerca a varias máquinas, aparecen más capas, incluido un firewall basado en host en la mayoría de ellas.
Entonces, si bien diría que tener más de un parámetro es útil, no creo que tener más de una capa en cada uno de estos parámetros sea más seguro.
Respuesta4
Barato no significa necesariamente desagradable. Por ejemplo, unEstación de enrutador Proejecutar OpenWRT y Shorewall es un firewall muy capaz... por 79 dólares, sin incluir caja ni inyector de energía. La clave es que tiene un sistema operativo de nivel empresarial y suficiente memoria y CPU para que no sea probable que bloquee su red. Usar uno de estos tiene sentido, mientras que un dispositivo de consumo que ejecuta su firmware predeterminado realmente no lo tiene.