Atualmente estou executando o ISA 2004 e em breve estarei executando uma caixa Untangle. Sempre me senti um pouco mais seguro ao colocar esses firewalls de software mais avançados atrás de um firewall de hardware idiota (como roteadores de consumo de nível médio). Então, basicamente, eu faço o encaminhamento de porta conforme necessário, do firewall de hardware para o firewall de software, que obviamente tem uma configuração mais complexa.
Do jeito que eu imagino, isso pelo menos me protege um pouco de abrir acidentalmente algo no firewall do software e, potencialmente, de falhas no firewall do software. No entanto, isso realmente só me ajuda bloqueando portas na borda (bem, é um pouco melhor que isso, mas não muito). Além disso, torna a configuração mais complicada e é mais difícil testar cada sistema de forma independente.
Devo abandonar a caixa barata do roteador/firewall?
Responder1
Pessoalmente, e esta é apenas a minha opinião, não vejo muita lógica em fazer isto. Se você cometer um erro em um firewall, poderá cometer um erro em dois. Se um é desonesto, dois podem ser desonestos. Por que não três, ou quatro, ou cinco então?
Prefiro implementar um único firewall de classe empresarial que tenha um histórico comprovado e confiável e que uma parte independente, experiente e imparcial valide sua configuração e operação para mim e execute testes de intrusão nele para mim.
É como o velho ditado: se um comprimido é bom para mim, dois devem ser melhores, certo?
Responder2
Do ponto de vista da segurança, você precisa avaliar os riscos para o seu ambiente. Encadear dispositivos é potencialmente mais seguro (desde que sejam tecnologias diferentes), mas, como você evitou, cria (muito) mais sobrecarga de manutenção.
Pessoalmente, se você não é um grande alvo e/ou não vê um grande volume de tráfego, não acho que os benefícios de segurança superem o custo das despesas gerais de manutenção. Novamente, porém, depende do que você está protegendo e de quanto tempo você pode ficar inativo se algo acontecer e você precisar reconstruir. Isso é algo que só você pode calcular.
Do ponto de vista do desempenho, que tipo de carga você está observando? Um dos maiores problemas que vi ao encadear dispositivos em sua solução de firewall são os gargalos de processamento de hardware, onde um dispositivo menor obstrui tudo porque não consegue processar as coisas com rapidez suficiente.
O maior motivo é ter múltiplas barreiras de proteção. As vulnerabilidades de um sistema normalmente não estarão presentes em outro, portanto, ele coloca mais uma variável no lugar para um invasor lidar. Porém, ele começa a ir para o sul rapidamente e é apenas marginalmente benéfico quando se considera coisas como ataques DoS contra dispositivos de ponta extrema. Quando isso acontece, você está ferrado até resolver o ataque.
Responder3
Nas minhas próprias redes, uso uma abordagem multicamadas. Isso geralmente se resume a um firewall externo e, à medida que você se aproxima de várias máquinas, mais camadas, incluindo um firewall baseado em host na maioria delas.
Portanto, embora eu diria que ter mais de um parâmetro é útil, não acredito que ter mais de uma camada em cada um desses parâmetros seria mais seguro.
Responder4
Barato não significa necessariamente desagradável. Por exemplo, umRouterStation Prorodar OpenWRT e Shorewall é um firewall muito capaz... por US$79, sem incluir caixa e injetor de energia. O principal é que ele possui um sistema operacional de nível empresarial e memória e CPU suficientes para não causar gargalos em sua rede. Usar um deles faz sentido, enquanto um dispositivo de consumo executando seu firmware padrão realmente não faz.