it-swarm-es.com

Cortafuegos de software frente a hardware

Leí un artículo (no puedo encontrar el enlace) recientemente que abogaba por descargar firewalls de software si tenía un firewall de hardware.

Solo tenía curiosidad por conocer la versión de los firewalls en general para una oficina pequeña o mediana. Supongamos que teníamos un enrutador con un firewall de hardware dedicado detrás que filtraba y enrutaba el tráfico antes de que llegara a la LAN.

¿Valdría la pena el esfuerzo de mantener el software de firewall que normalmente viene con A/V o Windows en estos días? He visto muchas veces donde diagnosticamos problemas de PC y una vez que el firewall está apagado, el problema desaparece. Normalmente, esto nos lleva a volver a activar el firewall del software después de personalizar las reglas para la aplicación que tuvo el problema.

¿Alguien está de acuerdo con la idea de que un firewall de hardware es una defensa suficiente o vale la pena tener el firewall de software también?

Por fianchetto: cuando digo hardware vs software, debo aclarar a los firewalls de puerta de enlace (a nivel de perimitador o enrutador) y firewalls de punto final (firewalls de software en el escritorio o computadora portátil).

10
CogitoErgoSum

Primero, todos los firewalls son firewalls de software. Algunos tienen tecnologías de 'vía rápida' que descargan paquetes que coinciden con las huellas dactilares que ya se han evaluado en el software a ASIC o sistemas en tiempo real, pero las decisiones de firewall se toman mediante la pila de software. La mayoría de los firewalls se ejecutan en una variante de Linux o BSD, con sus propios módulos de kernel que implementan tareas de firewall de bajo nivel y paquetes de manejo de código de usuario que el módulo del kernel considera que deben inspeccionarse en un nivel superior, pero algunos, principalmente Cisco, tienen los suyos propios. sistema operativo. En cualquier caso, la arquitectura del cortafuegos no es "hardware" ni "magia negra".

Creo que está haciendo una diferenciación falsa y lo que realmente debería comparar es "firewalls de punto final" versus "firewalls de puerta de enlace". A pesar de la pedantería, es importante tener en cuenta que esta es la distinción real más que hardware versus software.

En segundo lugar, es una mejor práctica (nist 800-41) y un requisito de cumplimiento en cualquier organización importante, tener segmentación no solo en el perímetro, sino también internamente. En algunos casos (específicamente, portátiles, que se mueven de una zona de seguridad a otra ... e incluso a lugares donde no hay seguridad), es extremadamente difícil cumplir con este requisito con firewalls de puerta de enlace. En tales situaciones, los firewalls de punto final son útiles.

Mi experiencia personal y preferencia con respecto a los firewalls de punto final es no usarlos para cumplir con los requisitos de seguridad, excepto cuando sea absolutamente necesario (como computadoras portátiles). Prefiero verlos como una ventaja adicional. Dado que es extremadamente difícil para mí administrar de forma centralizada, y para asegurarme de que todos los propietarios de sistemas cumplan con las normas, debo tener control a nivel de red. Si un administrador de sistemas quiere administrar iptables además de eso, lo recomiendo, pero no puedo confiar en eso.

17
fianchetto

En el pasado reciente, ha habido argumentos para deshabilitar los firewalls de la PC, ya que algunos causaron problemas, especialmente si la PC tenía una ubicación fija. En estos días, con una preponderancia de computadoras portátiles y Windows 7, recomendaría encarecidamente usar el software de firewall integrado en Windows si eso es todo lo que tiene, o para las computadoras portátiles móviles, un firewall que impone VPN estrictas, niega el túnel dividido y prohíbe el acceso a la red central hasta que se cumplan los requisitos previos de seguridad.

4
Rory Alsop

Si está disponible, debería usarlo. Si un firewall en particular impide que una aplicación funcione, entonces debe tomarse el tiempo para reconfigurar el firewall y/o la aplicación de manera apropiada.

2
Brian Knoblauch

La respuesta corta es sí, cada PC debe tener habilitado su firewall.

La respuesta larga es que depende del medio ambiente. ¿Cuál es el costo de administrar el firewall de cada PC? ¿Es más que el costo asociado con un ataque porque los firewalls fueron desactivados?

¿Cómo se calcula el coste de un ataque? ¿Qué tipo de datos hay en esas máquinas? ¿Cosas de misión crítica? ¿Crítico para el negocio? ¿Cosas militares/gubernamentales? ¿La última receta de galletas de la abuela?

1
Steve