60 votes

Nicolas Irisarri avatar

Pourquoi aurais-je besoin d'un pare-feu si mon serveur est bien configuré ?

Demandé el 8 de Février, 2011
Quand la question a-t-elle été
7498 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je gère une poignée de serveurs en nuage (VPS) pour la société pour laquelle je travaille.

Les serveurs sont des installations ubuntu minimales qui exécutent des morceaux de piles LAMP / collecte de données entrantes (rsync). Les données sont volumineuses mais pas personnelles, financières ou autres (c'est-à-dire pas très intéressantes).

Il est clair qu'ici, les gens posent sans cesse des questions sur la configuration. Pare-feu et autres.

J'utilise un certain nombre d'approches pour sécuriser les serveurs, par exemple (mais pas seulement)

  • ssh sur des ports non standard ; pas de saisie de mot de passe, seulement des clés ssh connues à partir d'adresses IP connues pour la connexion, etc.
  • https, et shells restreints (rssh) généralement uniquement à partir de clés/ips connus.
  • les serveurs sont minimaux, à jour et patchés régulièrement
  • utiliser des choses comme rkhunter, cfengine, lynis denyhosts etc. pour la surveillance

J'ai une grande expérience de l'administration système Unix. Je suis sûr de savoir ce que je fais dans mes configurations. Je configure les fichiers /etc. Je n'ai jamais ressenti le besoin impérieux d'installer des choses comme des pare-feu : iptables, etc.

Mettez de côté pour un moment les questions de sécurité physique du VPS.

Q ? Je n'arrive pas à décider si je suis naïf ou si la protection incrémentale qu'un fw pourrait offrir vaut l'effort d'apprentissage / d'installation et la complexité supplémentaire (paquets, fichiers de configuration, support éventuel, etc.) sur les serveurs.

À ce jour (touchons du bois), je n'ai jamais eu de problèmes de sécurité, mais je ne suis pas non plus complaisant à cet égard.

Demandé el 8 de Février, 2011 par Nicolas Irisarri

Réponses

Trop de publicités?

91voto

MadHatter avatar
MadHatter Points 77602

Je note que vous avez fait un excellent travail en sécurisant plusieurs démons différents, et d'après ce que vous avez dit, je pense qu'il est peu probable que vous vous exposiez à des problèmes à travers les services que vous avez déjà sécurisés. Cela vous laisse toujours dans un état "tout est permis sauf ce que j'ai interdit", et vous ne pouvez pas sortir de cet état en traquant les démons les uns après les autres et en les sécurisant un par un.

Un pare-feu configuré pour DENONCER TOUT par défaut vous font passer à un mode de fonctionnement "tout est interdit sauf ce qui est autorisé", et j'ai constaté au fil des ans qu'ils sont meilleurs.

À l'heure actuelle, si un utilisateur légitime dispose d'un Shell légitime sur votre système, il pourrait décider d'exécuter un daemon local non privilégié pour faire passer des requêtes web par proxy sur Internet, ou lancer le partage de fichiers sur le port 4662, ou ouvrir accidentellement un listener en utilisant -g avec le tunnelage de port ssh, sans comprendre ce qu'il fait ; ou une installation de sendmail pourrait vous laisser exécuter un MUA sur le port 587 qui a été incorrectement configuré malgré tout le travail que vous avez fait pour sécuriser le MTA sendail sur le port 25 ; ou cent et une choses pourraient se produire qui contournent votre sécurité prudente et réfléchie simplement parce qu'elles n'étaient pas là quand vous réfléchissiez soigneusement à ce qu'il fallait interdire.

Vous voyez où je veux en venir ? Pour le moment, vous avez fait beaucoup d'efforts pour sécuriser toutes les choses que vous connaissez, et il semble qu'elles ne vous mordront pas. Ce qui pourrait vous mordre, ce sont les choses que vous ne connaissez pas, ou qui ne sont même pas là, en ce moment.

Un pare-feu dont la valeur par défaut est DENONCER TOUT est la façon sysadmin de dire que si quelque chose de nouveau arrive et ouvre un écouteur réseau sur ce serveur, personne ne pourra lui parler tant que je n'en aurai pas donné la permission explicite. .

Répondu el 8 de Février, 2011 par MadHatter (77602 Points )

4voto

Jakub avatar
Jakub Points 380

Vous pouvez être victime de nombreuses attaques si vous ne disposez pas d'un pare-feu qui effectue une sorte d'inspection au niveau des paquets :

L'exemple est le Paquet de l'arbre de Noël

http://en.wikipedia.org/wiki/Christmas_tree_packet

Des attaques DDOS pourraient être lancées contre votre système, un pare-feu (externe peut-être, avant l'un de vos serveurs) arrêterait / ralentirait / tuerait le trafic avant qu'il ne paralyse vos serveurs.

Juste parce que que vous n'avez pas de données financières ou personnelles sur les serveurs ne signifie pas que vous ne serez pas "blessé". Je suis sûr que vous payez pour la bande passante ou l'utilisation du processeur, ou que vous avez un taux mesuré. Imaginez qu'au cours d'une nuit (pendant que vous dormez) quelqu'un fasse grimper votre compteur (j'ai vu cela se produire avec des fournisseurs de commutateurs VOIP, frappés dans la nuit pour des MILLIONS DE MINUTES de trafic, dont ils doivent payer la facture).

Soyez donc intelligent, utilisez la protection si elle existe, vous n'êtes PAS PARFAIT, les logiciels non plus. Il n'est sûr que jusqu'à ce que le prochain exploit soit trouvé ;)

Répondu el 8 de Février, 2011 par Jakub (380 Points )

2voto

Mladen Mihajlovic avatar
Mladen Mihajlovic Points 2476

Il se peut que vous ou quelqu'un d'autre commette un jour une erreur dans la configuration de votre serveur. Un pare-feu vous donne alors une deuxième chance d'empêcher quelqu'un d'y pénétrer. Nous ne sommes pas parfaits, nous faisons des erreurs et, par conséquent, un peu d'assurance "inutile" peut être utile.

(Essayez de ne pas faire fonctionner votre pare-feu sur le même OS que vos serveurs, car sinon un seul bug dans l'OS.... Je considère que toutes les versions d'Unix sont le même système d'exploitation, car elles ont beaucoup en commun).

Répondu el 8 de Février, 2011 par Mladen Mihajlovic (2476 Points )

1voto

Alex avatar
Alex Points 7759

Si vous pouvez appliquer le principe du moindre privilège sans utiliser de pare-feu, vous n'en avez probablement pas besoin. De mon point de vue, construire un système sécurisé sans utiliser de pare-feu demande plus d'efforts, et je suis plutôt paresseux. Pourquoi devrais-je prendre la peine de restreindre les connexions TCP en utilisant d'autres outils et probablement de nombreux fichiers de configuration alors que je peux séparer les privilèges au niveau du transport en utilisant une seule configuration.

Répondu el 8 de Février, 2011 par Alex (7759 Points )

1voto

Allen avatar
Allen Points 1315

Un pare-feu peut également empêcher les paquets indésirables d'atteindre vos serveurs. Au lieu de les traiter au niveau de chaque serveur, vous pouvez les traiter au niveau du pare-feu. Vous pouvez conserver toute cette activité de configuration sur un seul pare-feu au lieu de plusieurs serveurs.

Par exemple, si un attaquant a pris le contrôle d'une adresse IP externe et qu'il inonde vos serveurs de paquets indésirables, et que vous souhaitez atténuer les effets de cette attaque sur vos serveurs... vous pouvez soit configurer chacun de vos serveurs concernés pour qu'ils abandonnent les paquets malveillants, soit effectuer la modification au niveau de votre pare-feu et tous vos serveurs sont protégés. Le pare-feu a réduit votre temps de réaction.

Répondu el 8 de Février, 2011 par Allen (1315 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X