Você precisa de inspeção profunda de pacotes em um servidor só de firewall? [fechadas]
https://stackoverflow.com/questions/310476
-
10-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho um servidor atrás de um firewall. Corre-se uma aplicação web (servlets Java sob Apache Tomcat) e responde apenas a porta 443 (HTTPS). Não há nenhum código de script nas páginas servido -. As formas usar HTTP POST para receber o formulário, processar os dados (com entrada apropriada filtragem) e, em seguida, saída uma página de resultado HTTP
Atualmente, estou usando um aparelho firewall, mas é 'hardware-flakey'. Tenho estado a olhar para o upgrade para uma solução mais 'força industrial', mas o vendedor é bastante insistente que eu adquirir uma assinatura para o seu software "inspeção profunda de pacotes". Ele afirma que os servidores web ainda precisa deste tipo de protecção.
Não estou convencido, mas não têm o fundo de segurança para ter certeza. O firewall sentava-se entre o "mundo" e meu servidor, e use "encaminhamento de porta" para permitir que somente as portas 443 e 22 (para manutenção) para alcançar o servidor.
Então? - eu realmente preciso deste inspeção profunda de pacotes, ou não
Solução
Uma vez que os únicos protocolos que você está interessado em (ssh e https) são "negociar criptografia on connect" há pouco que um firewall padrão será capaz de inspecionar depois desse ponto. Assim que a sessão SSL / SSH é estabelecida a firewall só verá pacotes cifrados. Pergunte ao seu fornecedor o que seus examina produtos neste contexto.
Como alternativa, é possível que o dispositivo age mais como um proxy - que atua como o ponto final do lado do servidor para a conexão antes de retransmitir no seu servidor de reais - caso em que é possível que o produto faz algo mais profundo, embora este não é o caso, se o firewall é realmente "encaminhamento de porta", como você diz. Mais uma vez, o fornecedor deve ser capaz de explicar como o dispositivo funciona.
Além disso, você pode querer perguntar o que vulnerabilidades / riscos do sistema de inspecção se destina a contra proteção. Por exemplo: Será que olhar para fora para injeção de SQL? É direcionados para uma plataforma particular? (Se suas corridas servidor Web em uma SPARC CPU, por exemplo, então há pouco ponto inspecionar URLs para shellcode x86).
Outras dicas
Como uma segurança de rede profissional, isso soa como um exagero para mim.
A resposta de Martin Carpenter é 100% no alvo. Sempre que você está pensando em segurança, você precisa entender
- O que você está garantindo,
- O que você está prendendo-o contra ,
- A probabilidade de um ataque, e
- O risco se um ataque bem-sucedido.
Para a sua aplicação, que só permite criptografado, comunicação autenticada em apenas 2 portas, eu posso ver apenas algumas vulnerabilidades:
- Denial-of-service (DOS) é sempre uma ameaça a menos que o firewall bloquear esses ataques.
- Você pode ter outras aplicações escutando em outros portos, mas você pode detectá-los com qualquer programa de varredura de portas simples.
- Você pode querer restringir o saída de comunicação para impedir que um usuário ou aplicativo desonestos de iniciação de comunicação para um servidor não autorizado.
Eu também concordo que é uma boa idéia para pedir ao vendedor que "inspeção profunda de pacotes" significa para ele e por sua situação particular exige. A menos que você obter um específico, a resposta experiente, no termos leigos , que faz sentido para você , eu ir para outro lugar. Não há nada sobre a segurança da rede que não pode ser explicado de forma simples, sem jargões.
Atualização em várias frentes ...
Primeiro - Agora tenho razões para acreditar que parte da descamação do produto hardware OTS é uma combinação de baixa potência da CPU e memória buffer insuficiente. Em semanas de registro e alguns acidentes, não há entradas nos logs antes do acidente, mas eu estou registrando tudo de acordo com o controle de log. Falando com um outro fornecedor de firewall, foi indicado que pode sugerir que o buffer é mais rápido do que o enchimento pode esvaziar durante a utilização pesada. Isto corresponde com achados -. O IP mais utilizado é o bater o mais frequentemente
Então, eu verifiquei, eo firewall tinha algumas coisas inspeção profunda de pacotes ligado. Eu desliguei para ver se as coisas melhoram.
principal objetivo do firewall no meu cenário de rede é "guardião do portão". Ou seja, eu quero que o firewall para evitar todo o tráfego EXCETO http, https e alguns ssh de nunca ir além da porta WAN. Como não existem usuários dentro do firewall, todo o tráfego gerado a partir do interior vem da minha aplicação e podem ser autorizados a sair.
Outras negociações com o vendedor indicou que eles já não inspeção profunda de pacotes coisa é necessária - o outro companheiro estava apenas tentando "upsell" me na unidade em questão. Descobri também seu hardware não vai realmente fazer tudo o que eu quero, sem gastar uma tonelada de dinheiro.
Estou agora a explorar seriamente o uso do OpenBSD e uma PF firewall para fazer o que eu reauire de uma forma rentável.
