注意してください：私はこれを火炎戦争にすることに興味はありません！ファイアウォールソリューションに多大な労力を費やし、必要性を信じるように教え込まれているため、多くの人がこの主題について強く信じていることを理解しています。

ただし、セキュリティの専門家である人々からの回答を探しています。これは重要な質問であり、答えは自分自身や私が働く会社以上のものに役立つと信じています。何年もの間、妥協することなく、ファイアウォールなしでサーバーネットワークを運用してきました。私たちが経験したセキュリティ侵害は、ファイアウォールで防ぐことはできませんでした。

私が「サーバー」と言うとき、私は常に「秘密の内部請求データベース」ではなく、「一般に提供されるサービス」を意味するので、私はここであまりにも長く働いてきたと思います。そのため、ファイアウォールで使用するルールでは、インターネット全体へのアクセスを許可する必要があります。また、パブリックアクセスサーバーはすべて、オフィスとは別の専用データセンターにあります。

他の誰かが同様の質問をし、私の答えは負の数に投票されました。これは、投票する人々が私の答えを本当に理解しなかったか、または私が現在していることをするのに十分なセキュリティを理解していないかのいずれかを信じさせます。

これがサーバーセキュリティへの私のアプローチです。

1. サーバーをインターネットに接続する前に、オペレーティングシステムのセキュリティガイドライン に従ってください。

2. TCPラッパーを使用して、SSH（およびその他の管理サービス）へのアクセスを少数のIPアドレスに制限します。

3. Muninでこのサーバーの状態を監視します。そして、Munin-node固有の重大なセキュリティ問題をデフォルト構成で修正します。

4. 新しいサーバーをNmapします（サーバーをインターネットに接続する前にも）。このサーバーをファイアウォールする場合、これは着信接続が制限されるポートの正確なセットである必要があります。

5. サーバーをサーバールームにインストールし、パブリックIPアドレスを付与します。

6. オペレーティングシステムのセキュリティ更新機能を使用して、システムを安全に保ちます。

私の哲学（および質問の根拠）は、強力なホストベースのセキュリティによってファイアウォールが不要になるというものです。全体的なセキュリティ哲学では、ファイアウォールがある場合でも、強力なホストベースのセキュリティが依然として必要であるとされています（セキュリティガイドラインを参照）。これは、パブリックサービスをサーバーに転送するファイアウォールにより、ファイアウォールがまったくないのと同じくらい攻撃者が有効になるためです。脆弱なのはサービス自体であり、そのサービスをインターネット全体に提供することはその操作の要件であるため、サービスへのアクセスを制限することは重要ではありません。

そこならばあるインターネット全体でアクセスする必要のないサーバーで使用可能なポートは、そのソフトウェアは、ステップ1でシャットダウンする必要があり、攻撃者が脆弱なソフトウェアを介してサーバーに侵入べきステップ4で確認しました攻撃者は自分でポートを開くと、代わりにランダムなポートでアウトバウンド接続を行うことで、ファイアウォールを簡単に破ることができます（そして実行します）。セキュリティのポイントは、攻撃が成功した後に自分自身を守ることではありません-それはすでに不可能であることがすでに証明されています-そもそも攻撃者を締め出すことです。

オープンポート以外にもセキュリティに関する考慮事項があることが示唆されていますが、私にとっては、自分の信仰を守るように思えます。オペレーティングシステム/ TCPスタックの脆弱性は、ポートがそのオペレーティングシステム/ TCPスタックに直接転送されているという事実に基づいて、ファイアウォールが存在するかどうかにかかわらず、同様に脆弱である必要があります。同様に、ルーター上にファイアウォールを設置するのではなく、サーバー自体でファイアウォールを実行すると（さらに悪いことに、両方の場所で）、不要な複雑なレイヤーが追加されるようです。「セキュリティは層になっている」という哲学は理解していますが、X層のベニヤ板を重ねて屋根を作り、それらすべてに穴を開けるような点があります。別の層の合板は、その穴からの漏れを止めません

正直に言うと、ファイアウォールをサーバーに使用する唯一の方法は、既知の攻撃者からのすべてのサーバーへのすべての接続を防止する動的ルールがある場合です-スパムのRBL（偶然にも、メールサーバーの機能とほぼ同じです） 。残念ながら、それを行うファイアウォールは見つかりません。次善の策はIDSサーバーですが、それは、攻撃者が最初に実サーバーを攻撃せず、攻撃者が攻撃する前にネットワーク全体を調べることを迷惑をかけることを前提としています。また、これらは多数の誤検知を引き起こすことが知られています。

ファイアウォールの利点：

1. アウトバウンドトラフィックをフィルタリングできます。
2. レイヤー7ファイアウォール（IPS）は、既知のアプリケーションの脆弱性から保護できます。
3. 特定のIPアドレス範囲および/またはポートを中央でブロックすることができます。個々のマシンのそのポートでサービスをリッスンしたり、TCP Wrappersを使用したアクセスを拒否したりすることはありません。
4. ファイアウォールは、セカンドラインの防御を提供するため、セキュリティの低いユーザー/管理者に対処する必要がある場合に役立ちます。それらがなければ、ホストが安全であることを絶対に確認する必要があります。これには、すべての管理者の十分なセキュリティの理解が必要です。
5. ファイアウォールログは中央ログを提供し、垂直スキャンの検出に役立ちます。ファイアウォールログは、一部のユーザー/クライアントがすべてのサーバーの同じポートに定期的に接続しようとしているかどうかを判断するのに役立ちます。ファイアウォールを使用せずにこれを行うには、さまざまなサーバー/ホストからのログを組み合わせて、集中ビューを取得する必要があります。
6. ファイアウォールには、保護を強化するスパム対策/ウイルス対策モジュールも付属しています。
7. OSに依存しないセキュリティ。ホストOSに基づいて、ホストをセキュリティで保護するにはさまざまな手法/方法が必要です。たとえば、TCPラッパーはWindowsマシンでは使用できない場合があります。

とりわけ、ファイアウォールがなく、システムが危険にさらされている場合、どのようにそれを検出しますか？ローカルシステムでコマンド「ps」、「netstat」などを実行しようとすると、これらのバイナリを置き換えることができるため、信頼できません。リモートシステムからの「nmap」は、ルートキットが選択されたソースIPアドレスからの接続のみを選択された時間に受け入れることを攻撃者が保証できるため、保護が保証されません。

ハードウェアファイアウォールは、ホストOS /ファイルと比較してファイアウォールOS /ファイルを変更することが非常に難しいため、このようなシナリオで役立ちます。

ファイアウォールの欠点：

1. 人々は、ファイアウォールがセキュリティを管理し、システムを定期的に更新せず、不要なサービスを停止しないと感じています。
2. かかる。場合によっては、年間ライセンス料を支払う必要があります。特に、ファイアウォールにアンチウイルスおよびアンチスパムモジュールがある場合。
3. 追加の単一障害点。すべてのトラフィックがファイアウォールを通過し、ファイアウォールに障害が発生すると、ネットワークが停止します。ファイアウォールを冗長化することもできますが、コストに関する以前のポイントはさらに増幅されます。
4. ステートフルトラッキングは、すべての着信接続を受け入れる公共向けシステムでは価値がありません。
5. ステートフルファイアウォールは、DDoS攻撃中の大きなボトルネックであり、多くの場合、状態を保持し、すべての着信接続を検査しようとするため、最初に失敗するものです。
6. ファイアウォールは内部の暗号化されたトラフィックを見ることができません。すべてのトラフィックはエンドツーエンドで暗号化される必要があるため、ほとんどのファイアウォールはパブリックサーバーの前ではほとんど価値がありません。一部の次世代ファイアウォールには、TLSを終了してトラフィックの内部を見るための秘密鍵を与えることができますが、これによりファイアウォールのDDoSに対する感受性がさらに高まり、TLSのエンドツーエンドセキュリティモデルが破られます。
7. オペレーティングシステムとアプリケーションは、ファイアウォールよりもはるかに迅速に脆弱性に対してパッチが適用されます。ファイアウォールベンダーは、多くの場合、何年もの間、パッチを適用せずに既知の問題を抱えており、通常、ファイアウォールクラスターにパッチを適用するには、多くのサービスとアウトバウンド接続にダウンタイムが必要です。
8. ファイアウォールは完璧とはほど遠いものであり、多くはバグが多いことで有名です。ファイアウォールは、何らかのオペレーティングシステム上で実行される単なるソフトウェアであり、おそらく（通常は遅い）CPUに加えて、追加のASICまたはFPGAを備えています。ファイアウォールにはバグがありますが、それらに対処するためのツールはほとんど提供されていないようです。したがって、ファイアウォールは複雑さを増し、アプリケーションスタックに診断しにくいエラーの原因を追加します。

TCP Wrappersは、ほぼ間違いなくホストベースのファイアウォール実装と呼ばれます。ネットワークトラフィックをフィルタリングしています。

攻撃者が任意のポートでアウトバウンド接続を行う場合、ファイアウォールはアウトバウンドトラフィックを制御する手段も提供します。適切に設定されたファイアウォールは、システムに関連するリスクに適した方法で、入力と出力を管理します。

ファイアウォールによってTCPの脆弱性がどのように緩和されないかという点については、ファイアウォールの仕組みについてはよく知らないでしょう。シスコには、特定のオペレーティングシステムの問題を引き起こすような方法で構築されたパケットを識別する、ダウンロード可能な多数のルールがあります。Snortを取得し、適切なルールセットで実行を開始すると、この種のことについても警告が表示されます。そしてもちろん、Linux iptablesは悪意のあるパケットを除外できます。

基本的に、ファイアウォールは予防的な保護です。積極的になることから遠ざかるほど、問題を防ぐのではなく、問題に反応している状況にいる可能性が高くなります。専用のファイアウォールのように境界で保護を集中すると、ルールをどこにでも複製するのではなく、中央のチョークポイントがあるため、管理が容易になります。

ただし、必ずしも最終的な解決策となるものはありません。一般的に、適切なセキュリティソリューションは、境界にファイアウォールがあり、デバイスにTCPラッパーがあり、おそらく内部ルーターにもいくつかのルールがあるマルチレイヤーです。通常、ネットワークをインターネットから保護し、ノードを相互に保護する必要があります。この多層アプローチは、複数枚の合板に穴を開けるようなものではなく、侵入者が1つではなく2つのロックを破るためにドアを立てるようなものです。これは物理的セキュリティのマントラップと呼ばれ、ほとんどの建物には理由があります。:)

（「ファイアウォールのない生活」を読みたいかもしれません）

今：パッチがもう公開されていないレガシーシステムについてはどうですか？パッチを必要なときにN-machinesに適用できず、同時にネットワーク内の少数のノード（ファイアウォール）に適用できるのはどうですか？

ファイアウォールの存在や必要性を議論する意味はありません。本当に重要なのは、セキュリティポリシーを実装する必要があるということです。そのためには、それを実装するツールを使用し、管理、拡張、および進化を支援します。そのためにファイアウォールが必要な場合は、それで問題ありません。それらが必要なければ、それも大丈夫です。本当に重要なのは、セキュリティポリシーの検証可能な実装を実行することです。

あなたの説明のほとんどはファイアウォールの必要性に反論しているように見えますが、ファイアウォールを設定するためのわずかな時間を除いて、ファイアウォールを使用することに賛成だとは思いません。

単語の厳密な意味で「必要」なものはほとんどありません。セキュリティとは、可能な限りすべての封鎖を設定することです。サーバーに侵入するために必要な作業が多いほど、攻撃が成功する可能性が低くなります。マシンに侵入することは、他のどこよりも多くの作業を行う必要があります。ファイアウォールを追加すると、さらに作業が増えます。

キーの使用はセキュリティの冗長性だと思います。ファイアウォールのもう1つの利点は、拒否された要求に応答するのではなく、ポートへの接続試行を単にドロップできることです。これにより、nmapは攻撃者にとってやや不便になります。

あなたの質問の実用的なメモで私にとって最も重要なのは、SSH、ICMP、およびその他の内部サービスをローカルサブネットにロックし、DOS接続を緩和するために着信接続を制限することです。

「セキュリティのポイントは、攻撃が成功した後に自分を守ることではありません-それはすでに不可能であることがすでに証明されています-そもそも攻撃者を締め出すことです。」

同意しません。損害を制限することも同様に重要です。（この理想的な理由では、パスワードをハッシュするのか、それともデータベースアプリケーションをWebアプリケーションとは別のサーバーに固定するのですか？）「すべての卵を1つのバスケットに入れないでください」という古い言い回しがここに当てはまると思います。

Should I firewall my server?良い質問。正当に開かれている少数のポートを除くすべてのポートへの接続試行を既に拒否しているネットワークスタックの上にファイアウォールを置くことはほとんど意味がないように思われます。悪意を持って作成されたパケットがホストを妨害/悪用することを許可するOSに脆弱性がある場合、その同じホストで実行されているファイアウォールはこのエクスプロイトを防ぎますか？まあ、多分 ...

そして、それがおそらく、すべてのホストでファイアウォールを実行する最も強力な理由です。ファイアウォールは、ネットワークスタックの脆弱性の悪用を防ぐ可能性があります。それは十分に強力な理由ですか？わかりませんが、「ファイアウォールをインストールしたことで解雇されたことはありません」と言えるでしょう。

サーバー上でファイアウォールを実行するもう1つの理由は、これらの2つの強い相関関係を切り離すことです。

1. どこから、どのポートまで、接続を受け入れますか？
2. どのサービスが実行され、接続をリッスンしていますか？

ファイアウォールがない場合、実行中のサービスのセットは（tcpwrappersなどの設定とともに）サーバーが開くポートのセットと、接続の受け入れ元となるポートのセットを完全に決定します。ホストベースのファイアウォールにより、管理者は、新しいサービスをより広く利用可能にする前に、制御された方法でインストールおよびテストするための柔軟性を追加できます。このような柔軟性が必要でない場合、サーバーにファイアウォールをインストールする理由はあまりありません。

最後に、私が常に追加するセキュリティチェックリストに記載されていない項目が1つあります。これは、AIDEやsamhainなどのホストベースの侵入検知システム（HIDS）です。優れたHIDSを使用すると、侵入者がシステムに不要な変更を加え、検出されないままにすることが非常に難しくなります。すべてのサーバーで何らかのHIDSを実行する必要があると思います。

ファイアウォールはツールです。それ自体は安全ではありませんが、安全なネットワークのレイヤーとして貢献することができます。それはあなたがそれを必要とするという意味ではありません、そして私は彼らがそのように考える理由を理解せずに盲目的に「私はファイアウォールを手に入れなければなりません」と言う人々について、そしてファイアウォールの長所と短所を理解しない人々を確かに心配します。

不要だと言えるツールはたくさんあります...アンチウイルスなしでWindowsコンピュータを実行することは可能ですか？はい、それは...ですが、それを持っていることは保険の素晴らしい層です。

私はファイアウォールについても同じことを言います-あなたがそれらについて言うことができるものは何でも、それらは素晴らしいレベルの保険です。これらは、パッチの適用、マシンのロックダウン、使用しないサービスの無効化、ログ記録などに代わるものではありませんが、有用な補足となります。

また、慎重に管理されたサーバーのグループの前にファイアウォールを配置するか、ワークステーションとサーバーが混在する一般的なLANに接続するかによって、方程式が多少変わることをお勧めします。 、ITチームの最善の努力と希望にもかかわらず、その一部はかなり毛深いものを実行している可能性があります。

考慮すべきもう1つのことは、明らかに強化されたターゲットを作成することの利点です。明るい光、重い錠、建物の明らかなアラームボックスなど、目に見えるセキュリティ。または、企業のIPアドレスの範囲に明らかなファイアウォールがあると、偶然の侵入者を思いとどまらせることができます。これは、あなたが望む情報を持っていることを知り、それを入手しようと決心した侵入者を阻止しませんが、カジュアルな侵入者を阻止することはまだ価値があります-特にプローブが抑止力を超えて持続する侵入者を特に真剣にとらえる必要があることを知っている場合。

すべての素晴らしい質問。しかし、私はパフォーマンスがテーブルにもたらされていないことに非常に驚いています。

高度に（CPU単位で）使用されるWebフロントエンドの場合、ローカルファイアウォールはパフォーマンス、期間を実際に低下させます。負荷テストを試してみてください。私はこのトンを見ました。ファイアウォールをオフにすると、パフォーマンス（1秒あたりの要求）が70％以上増加しました。

このトレードオフを考慮する必要があります。

ファイアウォールは追加の保護です。防御する3つの特定のシナリオは、ネットワークスタック攻撃（つまり、サーバーOSがポートのレベルに到達しない特別に細工されたパケットに対する脆弱性を持っている）、「電話ホーム」への接続の成功した侵入（またはスパムの送信など）です。 ）、またはサーバーポートのオープンに成功した場合、または検出されにくい場合は、ポートをオープンする前にポートノッキングシーケンスを監視します。確かに、最後の2つは侵入を防止するのではなく、被害を軽減することに関係していますが、それはそれが役に立たないという意味ではありません。セキュリティはオールオアナッシングの命題ではないことに注意してください。必要に応じて十分なレベルのセキュリティを実現するために、ベルトとサスペンダーを重ねたアプローチを取ります。

私はセキュリティの専門家ではありませんが、ファイアウォールで保護されているように聞こえます。ファイアウォールのコア機能の一部を取り入れて、ポリシーと手順の一部にしたようです。いいえ、ファイアウォールと同じ仕事を自分で行う場合は、ファイアウォールは必要ありません。私自身に関しては、セキュリティを維持するために最善を尽くしますが、ファイアウォールを肩越しに見ていますが、ファイアウォールがしていることをすべて実行できる時点で、それは無関係になり始めます。

小規模なセットアップにはファイアウォールは必要ありません。1つまたは2つのサーバーがある場合、ソフトウェアファイアウォールは保守可能です。そうは言っても、専用のファイアウォールなしでは動作しません。この哲学を維持する理由はいくつかあります。

役割の分離

サーバーはアプリケーション用です。ファイアウォールは、パケットの検査、フィルタリング、およびポリシー用です。WebサーバーはWebページの提供について心配する必要があります。1つのデバイスに両方の役割を配置することは、会計士にセキュリティガードを依頼するようなものです。

ソフトウェアは動く標的です

ホスト上のソフトウェアは常に変化しています。アプリケーションは、独自のファイアウォール例外を作成できます。OSが更新され、パッチが適用されます。サーバーは、トラフィックの多い「管理」領域であり、ファイアウォールポリシー/セキュリティポリシーは、多くの場合、アプリケーションの構成よりもセキュリティにとって重要です。Windows環境で、誰かが何らかのグループポリシーレベルでミスを犯し、デスクトップPCでWindowsファイアウォールをオフにし、サーバーに適用されることを認識していないとします。あなたはクリックするだけで広く開いています。

更新プログラムと言えば、ファイアウォールファームウェアの更新プログラムは一般に年に1〜2回公開されますが、OSとサービスの更新プログラムは絶えず流れています。

再利用可能なサービス/ポリシー/ルール、管理性

「Webサーバー」と呼ばれるサービス/ポリシー（TCP 80とTCP 443など）を一度設定し、それをファイアウォールレベルで「Webサーバーグループ」に適用すると、はるかに効率的です（いくつかの構成変更）また、10個のボックスにファイアウォールサービスを設定し、2つのポートを10回開くことで、人的エラーが指数関数的に発生しにくくなりました。そのポリシーを変更する必要がある場合、1対10の変更です。

攻撃中、または侵害後もファイアウォールを管理できます

ホストベースのファイアウォールとアプリケーションサーバーが攻撃を受けており、CPUがグラフから外れているとしましょう。何が起こっているのかを理解し始めるために、私は自分の負荷が攻撃者の負荷よりも少ないことを容認しており、それを取得してそれを見ることさえします。

実際の経験-私はかつてファイアウォールルールを台無しにし（特定のルールではなく任意のポートを残し、サーバーには脆弱なサービスがありました）、攻撃者は実際にボックスへのライブリモートデスクトップセッションを持っていました。セッションの取得を開始するたびに、攻撃者はセッションを終了または切断します。独立したファイアウォールデバイスからの攻撃をシャットダウンできなかった場合は、さらに悪化した可能性があります。

独立した監視

通常、専用のファイアウォールユニットでのロギングは、ホストベースのソフトウェアファイアウォールよりもはるかに優れています。いくつかは、正確な画像を取得するために外部のSNMP / NetFlow監視ソフトウェアさえ必要としないほど十分です。

IPv4の保護

1つがWeb用で、もう1つがメール用である場合、2つのIPアドレスを持つ理由はありません。サービスを別々のボックスに保管し、そのために設計されたデバイスを介してポートを適切にルーティングします。

Blockquoteさて、あなたは正しいです、私はそこに短所を入れませんでした。短所：ネットワークの複雑さの増加、単一障害点、帯域幅がボトルネックとなる単一ネットワークインターフェイス。同様に、1つのファイアウォールでの管理ミスは、ネットワーク全体を殺す可能性があります。そして、神は、それがサーバールームへの20分の旅行である間、あなたがそれから自分を締め出すことを禁じています。

まず、ネットワークを介してルーティングホップを1つ追加することは複雑ではありません。第二に、単一障害点で実装されたファイアウォールソリューションはまったく役に立ちません。重要なサーバーまたはサービスをクラスター化し、ボンディングされたNICを使用するように、可用性の高いファイアウォールを実装します。そうしないこと、またはあなたがそうすることを認識していないことは、非常に近視眼的です。インターフェースが1つしかないというだけでは、自動的に何かがボトルネックになるわけではありません。このアサーションは、ネットワークを流れるトラフィックを処理するサイズのファイアウォールを適切に計画および展開する方法が分からないことを示しています。ポリシーの間違いはネットワーク全体に害を及ぼす可能性があると言うのは正しいことですが、すべてのサーバーで個別のポリシーを維持することは、単一の場所よりもはるかにエラーが発生しやすいと主張します。

セキュリティパッチを適用し、セキュリティガイドに従うという議論については、それはせいぜい不安定な議論です。通常、セキュリティパッチは脆弱性が発見されるまで利用できません。つまり、パブリックにアドレス可能なサーバーを実行している間は、パッチが適用されるまで脆弱です。他の人が指摘しているように、IPSシステムはそのような脆弱性による侵害を防ぐのに役立ちます。

システムが可能な限り安全であると思う場合、それは良い自信です。ただし、ネットワークで専門的なセキュリティ監査を実施することをお勧めします。目を開くだけかもしれません。

すでに述べたように、一般的にセキュリティはタマネギのものです。ファイアウォールが存在するのには理由があり、それは他のすべてのレミングが愚かな馬鹿であるだけではありません。

この答えは、このページで「fail2ban」を検索しても結果が得られないためです。したがって、他のコンテンツを2倍にしたら、我慢してください。失礼しますが、少し不平を言うと、他の人に役立つかもしれないので、わかりやすい経験を提供します。:)

ネットワークに関する考慮事項、ローカルと外部

これはかなりLinux固有のものであり、通常はユースケースであるホストベースのファイアウォールに集中しています。外部ファイアウォールは、適切なネットワーク構造と密接に関連しており、通常、その他のセキュリティ上の考慮事項がそれに伴います。ここで何が暗示されているかを知っていれば、おそらくこの投稿は必要ないでしょう。または、あなたはしません、そしてただ読んでください。

ファイアウォールを外部およびローカルで実行すると、直感に反し、二重に機能するように見える場合があります。ただし、これにより、背後にある他のすべてのホストのセキュリティを損なうことなく、外部ルールのルールを変更することもできます。必要性は、デバッグの理由か、誰かがめちゃくちゃになったために発生する可能性があります。別のユースケースは、「適応型グローバルファイアウォール」セクションにあります。このセクションでは、グローバルファイアウォールとローカルファイアウォールの両方が必要になります。

コストと可用性、常に同じストーリー：

ファイアウォールは、適切に保護されたシステムの1つの側面にすぎません。お金を「費やす」のでファイアウォールを設置しない、SPOFを導入する、またはでたらめなものは何でも、ここで私のフランス語をご容赦ください。クラスターをセットアップするだけです。ああ、でも、もし火のセルが機能しなくなったらどうしますか？次に、2つ以上の火災区画にまたがるクラスターをセットアップします。

しかし、両方の外部通信事業者が廃業しているため（掘削機がファイバーを破壊したため）、データセンター全体に到達できない場合はどうでしょうか？クラスターを複数のデータセンターにまたがって作成してください。

それは高価です？クラスターが複雑すぎますか？まあ、パラノイアは支払わなければなりません。

ただSPOFについて泣き言を言うが、より多くのお金を払ったり、より複雑なセットアップを作成したくないのは、二重の標準または会社や顧客側の小さな財布の明らかなケースです。

このパターンは、どのサービスがその日の問題であるかに関係なく、これらすべての議論に適用されます。VPNゲートウェイ、ファイアウォールだけに使用されるCisco ASA、MySQLまたはPostgreSQLデータベース、仮想システムまたはサーバーハードウェア、ストレージバックエンド、スイッチ/ルーターなど...

ここまでで、アイデアが得られるはずです。

なぜファイアウォールを気にするのですか？

理論的には、あなたの推論は健全です。（悪用できるのは実行中のサービスのみです。）

しかし、これは真実の半分にすぎません。ファイアウォール、特にステートフルファイアウォールは、はるかに多くのことができます。ステートレスファイアウォールは、既に述べたようなパフォーマンスの問題が発生した場合にのみ重要です。

簡単で中央の個別アクセス制御

あなたのセキュリティを確保するために基本的に同じ機能を実装するTCPラッパーについて言及しました。議論のために、誰かがtcpdマウスを使用していることを知らず、好きだと仮定しましょう。fwbuilder思い浮かぶかもしれません。

管理ネットワークから完全にアクセスできるようにする必要があります。これは、ホストベースのファイアウォールの最初の使用例です。

データベースが別の場所で実行され、何らかの理由で共有（プライベート）サブネット内に両方/すべてのマシンを配置できないマルチサーバーセットアップはどうでしょうか。ファイアウォールを使用して、他のサーバーの指定された単一のIPアドレスに対してのみ、ポート3306でMySQLアクセスを許可します。

また、UDPでも問題なく機能します。またはどんなプロトコル。ファイアウォールは非常に柔軟です。;）

ポートスキャンの軽減

さらに、ファイアウォールを使用すると、カーネルとそのネットワークスタックを介してタイムスパンごとの接続量を監視できるため、一般的なポートスキャンを検出および軽減でき、ファイアウォールはそれに基づいて動作できます。

また、無効または不明瞭なパケットは、アプリケーションに到達する前に処理できます。

アウトバウンドトラフィック制限

アウトバウンドトラフィックのフィルタリングは、通常、お尻の痛みです。ただし、契約によっては必須の場合があります。

統計

ファイアウォールが提供できるもう1つのことは、統計です。（watch -n1 -d iptables -vnxL INPUTパケットが通過するかどうかを確認するために、特別なIPアドレスの規則を上部に追加したと考えてください。）

物事がうまくいくか、うまくいかないかは、白昼に見ることができます。接続のトラブルシューティングや、おしゃべりに頼らずにパケットを受け取らないことを電話で他の人に伝えることができる場合、これは非常に便利ですtcpdump。ネットワークは楽しいものです。ほとんどの人は今やっていることを知っているだけで、多くの場合、それは単純なルーティングエラーです。地獄、私も自分が何をしているのかが常にわからない 私は文字通り何十もの複雑なシステムとアプライアンスで作業してきましたが、多くの場合、今でもトンネリングを使用しています。

IDS / IPS

レイヤ7ファイアウォールは、適切に参加せず定期的に更新されない場合、通常スネークオイル（IPS / IDS）です。さらに、ライセンスは非常に高価なので、お金で買えるものすべてを手に入れる必要がない場合は、ライセンスを手に入れたいと思います。

マスケラディング

簡単です。ラッパーでこれを試してください。：D

ローカルポート転送

マスカレードを参照してください。

動的IPアドレスでパスワードアクセスチャネルを保護する

顧客が動的IPアドレスを持ち、VPNセットアップが展開されていない場合はどうですか？またはファイアウォールへの他の動的なアプローチ？これはすでに質問で示唆されており、残念なことにユースケースが来ます。それを行うファイアウォールは見つかりません。部。

パスワードによるルートアカウントアクセスを無効にすることは必須です。アクセスが特定のIPアドレスに制限されている場合でも。

また、sshキーが失われた場合や展開が失敗した場合に、パスワードログインを使用して別のblankoアカウントを準備しておくと、何かが本当にうまくいかない場合（ユーザーがマシンへの管理アクセス権を持ち、「何が起こったのか？」）Linuxでシングルユーザーモードを使用しinit=/bin/bashているgrub、またはローカルアクセスにvia を使用しているのは本当に悪いため、何らかの理由でライブディスクを使用できないため、ネットワークアクセスの考え方と同じです。笑ってはいけません、それを禁止する仮想化製品があります。機能が存在する場合でも、機能のない古いソフトウェアバージョンが実行された場合はどうなりますか？

とにかく、22ではなくある難解なポートでsshデーモンを実行する場合でも、ポートノッキングのようなものを実装していない場合（別のポートを開いてポートスキャンを軽減し、あまりにも非現実的であることにゆっくりと接している場合）、ポートスキャンはあなたを検出します最終的にサービス。

通常、すべてのサーバーを同じ構成でセットアップし、効率上の理由から同じポートとサービスを使用します。sshをすべてのマシンの異なるポートに設定することはできません。また、それが「公開」情報であるとみなすたびにすべてのマシンで変更することはできません。なぜなら、それはすでにスキャンの後であるからです。nmapハッキングされたWi-Fi接続を自由に利用できる場合、合法かどうかの問題は問題になりません。

このアカウントの名前が「root」でない場合、人々は「バックドア」のユーザーアカウント名を推測できない可能性があります。しかし、彼らはあなたの会社から別のサーバーを入手するか、単にいくつかのウェブスペースを購入し、unrooted / unjailed / uncontaineredを見て/etc/passwdいるかどうかを知っています。

純粋に理論的な例としては、ハッキング可能なWebサイトを使用してサーバーにアクセスし、通常の場所でどのように実行されるかを調べることができます。ハック検索ツールは24時間365日実行されない場合があり（通常、ファイルシステムスキャンのディスクパフォ​​ーマンス上の理由で夜間に実行されますか？）、新しいゼロデイが日の目を見る2番目にウイルススキャナーが更新されないため、これらの出来事を一度に検出しないでください。他の保護手段がなければ、何が起こったのかさえ知ることはできません。現実に戻ると、誰かがゼロデイのエクスプロイトにアクセスできたとしても、それはあなたのサーバーを標的にしません。これは、「必要」が生じた場合にシステムへの道が常にあることを説明するためのものです。

ただし、このトピックについては、余分なパスワード付きアカウントを使用しないでください。読んでください。

攻撃者がこの追加のアカウントの名前とポートを取得する場合でも、fail2ban+のiptables組み合わせは、8文字のパスワードのみを使用した場合でも、それらを短くします。さらに、他のサービスにもfail2banを実装できるため、監視の範囲が広がります！

独自のサービスの場合、ニーズが発生した場合：基本的に、ファイルへのすべてのサービスロギングエラーは、ファイル、一致する正規表現、および許可される障害の数を提供することでfail2banサポートを取得でき、ファイアウォールはすべてのIPアドレスを喜んで禁止しますと言われます。

8桁のパスワードを使用するように言っているのではありません！しかし、間違ったパスワードの5回の試行で24時間禁止された場合、そのようなひどいセキュリティでもボットネットを自由に使用できない場合、どれだけの期間試行する必要があるかを推測できます。また、だけでなく、顧客が使用する傾向のあるパスワードにも驚かれることでしょうssh。Pleskを介して人々のメールパスワードを見ると、知りたくないこと、したいことがあればすべてがわかりますが、もちろんここで私が暗示しようとしているのではありません。:)

適応型グローバルファイアウォール

fail2banは、に沿って何かを使用するアプリケーションの1つにすぎiptables -I <chain_name> 1 -s <IP> -j DROPませんが、Bashの魔法を使えば、そのようなものを簡単に自分で簡単に構築できます。

このようなものをさらに拡張するには、ネットワーク内のサーバーからすべてのfail2ban IPアドレスを追加のサーバーに集約します。これにより、すべてのリストがキュレートされ、ネットワークのエッジにあるすべてのトラフィックをブロックするコアファイアウォールに順番に渡されます。

そのような機能を販売することはできません（もちろん販売できますが、脆弱なシステムであるだけです）、インフラストラクチャに織り込む必要があります。

また、ブラックリストIPアドレスまたは他のソースからのリストを使用することもできます。それは自分自身または外部のものによって集約されます。

物理的な世界では、人々は貴重品を金庫に入れて安全にします。しかし、侵入できない金庫はありません。金庫、またはセキュリティコンテナは、侵入を強制するのにかかる時間の観点から評価されます。安全な目的は、攻撃者が検出されるまで攻撃者を遅らせることであり、アクティブな手段は攻撃を停止します。

同様に、適切なセキュリティの前提は、公開されたマシンが最終的に侵害されることです。ファイアウォールと要塞ホストは、サーバー（貴重なデータを含む）の侵害を防ぐように設定されていませんが、攻撃者に最初にそれらを侵害させ、貴重品が失われる前に攻撃を検出（および抑止）できるようにします。

ファイアウォールも銀行の金庫もインサイダーの脅威から保護しないことに注意してください。これが、銀行の会計士が2週間連続して休暇を取る理由の1つであり、要塞ホストによって保護されているにもかかわらず、サーバーが完全な内部セキュリティ予防措置を講じる理由です。

元の投稿では、ファイアウォールを介して「外の世界」のパケットをサーバーに直接転送していることを暗示しているようです。その場合、はい、ファイアウォールはあまり機能していません。より良い境界防御は、2つのファイアウォールと要塞ホストで行われます。外部から内部への直接の論理接続はありません。すべての接続はDMZ要塞ホストで終了します。転送する前に、すべてのパケットが適切に検査されます（場合によっては解析されます）。

脆弱性を予測するのは困難です。インフラストラクチャがどの方法で悪用されるかを予測することは、事実上不可能です。脆弱性を悪用したい攻撃者のためにファイアウォールを「引き上げる」ことは、その脆弱性が何であるかを知る前に重要な部分です。さらに、ファイアウォールの影響は事前に簡単に理解できるため、回避する可能性のある問題よりも深刻なファイアウォールの問題を引き起こす可能性は低くなります。

これが「ファイアウォールのインストールで解雇された人がいない」理由です。それらの実装のリスクは非常に低く、エクスプロイトを防止または軽減する可能性が非常に高くなります。また、最も厄介な脆弱性のほとんどは自動化によって悪用されるため、「異常な」ものはすべてボットを破壊するか、少なくとも簡単なターゲットを優先してスキップします。

サイドノート; ファイアウォールはインターネット専用ではありません。経理部 LDAPサーバーにssh / whateverを必要としないので、それらに与えないでください。内部サービスの区画化は、何かが城壁を破った場合の清掃作業に大きな違いをもたらします。

サーバーを強化し、攻撃や脆弱性を緩和するために多くのことをしているように見えますが、ファイアウォールに対するあなたのスタンスには同意しません。

理想的には、コアに到達する前に通過しなければならないレイヤーがあるという点で、セキュリティをタマネギのように扱います。個人的には、ネットワークの境界に何らかの形のハードウェアファイアウォールが存在しないとひどく見当違いだと思います。

私はこれまでに「慣れている」角度からやって来たと認めますが、毎月マイクロソフトからその月のパッチの素敵な小さなリストを入手していることを知っています。 。私はあなたが考えたいと思うほとんどすべてのOSとアプリケーションのセットに同じことが起こると思います。

今、私は、ファイアウォールがこれをなくすことも、ファイアウォールがバグ/脆弱性の影響を受けないことも示唆していません。明らかに「ハードウェア」ファイアウォールは、ハードウェアスタックで実行されるソフトウェアです。

ただし、Webからポート443のみにアクセスする必要があるサーバーがある場合、ペリメータージュニパーはWebからポート443のみにアクセスできることを確認して、より安全に眠ります。それだけでなく、私のPalo Altoは、入ってくるトラフィックがIPS / IDSのために復号化、検査、ログ記録、スキャンされることを保証します-サーバーを安全で最新の状態に保つ必要性をなくすわけではなく、しかし、ゼロデイのエクスプロイトや古き良き人為ミスを軽減できるという利点があるのに、なぜあなたはその利点を見つけられないのでしょうか？

まず、ポートフォワーディングについての話から、ファイアウォールとNATを混同していると思います。最近のNATは事実上のファイアウォールとして機能することが非常に多いですが、NATが設計された目的ではないということです。NATはルーティングツールです。ファイアウォールは、アクセスを規制するためのものです。考え方を明確にするために、これらの概念を明確に保つことが重要です。

サーバーをNATボックスの背後に配置してから、そのサーバーに何かを転送するようにNATを構成することは、サーバーをインターネットに直接配置することほど安全ではないことはもちろんです。私は誰もこれに異議を唱えるとは思わない。

同様に、すべてのトラフィックを許可するように構成されたファイアウォールは、ファイアウォールではありません。

しかし、「すべてのトラフィックを許可」は本当にあなたが望むポリシーですか？誰かがロシアのIPアドレスからあなたのサーバーのいずれかにsshする必要がありますか？新しい実験的なネットワークデーモンの設定をいじくり回している間、全世界が本当にそれにアクセスする必要がありますか？

ファイアウォールの機能は、開いている必要があることがわかっているサービスのみを開いたままにし、このポリシーを実装するための単一の制御ポイントを維持できることです。

ステートフルパケットインスペクションファイアウォールは、パブリックサーバーの前には属しません。すべての接続を受け入れているため、状態の追跡はほとんど役に立ちません。従来のファイアウォールは、DDoS攻撃の大きな問題であり、通常、リンク帯域幅またはサーバーリソースが完全に消費される前であっても、DDoS攻撃で最初に失敗するものです。

ルーターのステートレスパケットフィルターは、パブリックサーバーの前では意味がありますが、すべての入出力トラフィックのラインレート（ルーターのハードウェアACLなど）を処理できる場合に限ります。

Google、Facebook、さらにはMicrosoftでさえ、従来の「ファイアウォール」を公開サーバーの前に配置していません。「複数のサーバー」規模でパブリックWebサービスを実行している人は、これを知っているはずです。

Cisco ASAなどの従来のファイアウォールに見られる他の機能、またはホスト自体に最適に実装されているものはすべて、効果的にスケールアウトできます。とにかく、ロギング、IDSなどはすべてファイアウォールのソフトウェア機能であるため、一般にアクセス可能なサーバーの前に置くと、巨大なボトルネックおよびDDoSターゲットになります。

すべてのサーバーにパブリックアドレスが必要なのはなぜですか？

サーバーをサーバールームにインストールし、パブリックIPアドレスを付与します。

定期的に実行している14台ほどのサーバーのうち、2つだけが公開アクセス可能なインターフェイスを持っています。

追加して編集：管理に携わってきた他のネットワークでは、サービスを自由にオン/オフすることができましたが、ファイアウォールを管理するためのアクセス権はありませんでした。もちろん、不必要に不要なサービス（SMTP）がオンになり、オンのままになった回数を説明することもできません。スパムダンプになり、プロセスにブラックリストに登録されるのを防いだのはファイアウォールだけでした。

また、サーバー間を通過するすべてのトラフィックは完全に暗号化されていますか？

確かに、シートベルト、エアバッグ、tireげたタイヤなしで毎時100マイルの車を運転できますが、なぜですか？

ファイアウォールは、システムユーザーが、管理者が認識していないネットワークアクセス可能なサービスを開いたり、他のマシンにポート転送したりするのを防ぐことができます。hashlimitモジュールを利用することにより、ファイアウォールはリモートIPに基づいて悪用者のレートを制限することもできます。

ファイアウォールは、ポリシーの順守を保証するもう1つのセーフティネットです。もちろん、期待しないサービスを実行しないでください。

たとえば、ソフトウェアの更新はタイムリーに適用することをお勧めしますが、すべてのマシンでファイアウォールを使用することもお勧めします。運転しているときのようなものです。障害物や他の車を避けようとしていますが、予期せぬ事態に備えてシートベルトを着用し、エアバッグを装着しています。

誰もがファイアウォールを使用しているというだけの理由で、ファイアウォールからどれだけ利益を得ているかを理解していないかもしれません。文字通り誰もが、自宅にいるDSLユーザーがファイアウォールを設置している日には、ポートスニッフィングは実行可能な攻撃ベクトルとしてほとんどbutめられていました。まともなハッカーは、そのようなことをチェックする時間を無駄にしないでしょう。