Firewall de hardware vs. Cortafuegos de software (tablas IP, RHEL)

Mi empresa de alojamiento dice que IPTables es inútil y no proporciona ninguna protección . ¿Es esto una mentira?

TL; DR
Tengo dos servidores co-ubicados. Ayer, mi compañía de DC me contactó para decirme que debido a que estoy usando un firewall de software, mi servidor es "vulnerable a múltiples amenazas de seguridad críticas" y mi solución actual ofrece "Sin protección contra ningún tipo de ataque".

Dicen que necesito obtener un firewall de Cisco dedicado (instalación de $ 1000 y luego $ 200 / mes cada uno ) para proteger mis servidores. Siempre tuve la impresión de que, si bien los cortafuegos de hardware son más seguros, algo como IPTables en RedHat ofrece suficiente protección para su servidor promedio.

Ambos servidores son solo servidores web, no hay nada críticamente importante en ellos, pero he usado IPTables para bloquear SSH solo en mi dirección IP estática y bloquear todo excepto los puertos básicos (HTTP (S), FTP y algunos otros servicios estándar )

No voy a obtener el cortafuegos, si se piratea el éter de los servidores, sería un inconveniente, pero todo lo que ejecutan son algunos sitios de WordPress y Joomla, así que definitivamente no creo que valga la pena.

Los cortafuegos de hardware también ejecutan software, la única diferencia real es que el dispositivo está especialmente diseñado y dedicado a la tarea. Los cortafuegos de software en los servidores pueden ser tan seguros como los cortafuegos de hardware cuando se configuran correctamente (tenga en cuenta que los cortafuegos de hardware son generalmente "más fáciles" de llegar a ese nivel, y los cortafuegos de software son "más fáciles" de fastidiar).

Si está ejecutando software obsoleto, es probable que exista una vulnerabilidad conocida. Si bien su servidor puede ser susceptible a este vector de ataque, afirmar que no está protegido es inflamatorio, engañoso o una mentira en negrita (depende de lo que digan exactamente y cómo lo hayan dicho). Debe actualizar el software y parchear cualquier vulnerabilidad conocida, independientemente de la probabilidad de explotación.

Afirmar que IPTables es ineficaz es, en el mejor de los casos, engañoso . Aunque, una vez más, si la única regla es permitir todo, de todos a todos, entonces sí, no estaría haciendo nada en absoluto.

Nota al margen : todos mis servidores personales funcionan con FreeBSD y solo usan IPFW (firewall de software incorporado). Nunca he tenido un problema con esta configuración; También sigo los anuncios de seguridad y nunca he visto ningún problema con este software de firewall.
En el trabajo tenemos seguridad en capas; el firewall de borde filtra toda la basura obvia (firewall de hardware); los firewalls internos filtran el tráfico hacia abajo para los servidores individuales o la ubicación en la red (combinación de firewalls principalmente de software y hardware).
Para redes complejas de cualquier tipo, la seguridad en capas es lo más apropiado. Para servidores simples como el suyo, puede haber algún beneficio al tener un firewall de hardware separado, pero bastante poco.

Ejecutar un firewall en el servidor protegido es menos seguro que usar una máquina de firewall separada. No tiene que ser un firewall de "hardware". Otro servidor Linux configurado como enrutador con IPTables funcionaría bien.

El problema de seguridad con los firewalls en el servidor protegido es que la máquina puede ser atacada a través de sus servicios en ejecución. Si el atacante puede obtener acceso a nivel raíz, el firewall puede modificarse o deshabilitarse o evitarse a través de un kit raíz del núcleo.

Una máquina de firewall separada no debe tener servicios en ejecución, excepto el acceso SSH y ese acceso SSH debe limitarse a rangos de IP de administración. Debería ser relativamente invulnerable al ataque, salvo errores en la implementación de IPTables o la pila TCP, por supuesto.

La máquina cortafuegos puede bloquear y registrar el tráfico de red que no debería existir, brindándole una valiosa advertencia temprana de sistemas con grietas.

Si su tráfico es bajo, pruebe con una pequeña unidad Cisco ASA como la 5505 . Está en el rango de $ 500- $ 700 y definitivamente está especialmente diseñado. El co-lo está dando BS, pero sus tarifas para el firewall también son irrazonables.

Creo que también depende del rendimiento. Lo que hace un firewall basado en software / servidor utilizando ciclos de CPU, un firewall de hardware puede hacerlo con chips especialmente diseñados (ASIC) que conducen a un mejor rendimiento y rendimiento.

Desde su perspectiva, la verdadera diferencia entre los cortafuegos de "software" (en la máquina) y de "hardware" es que, en el primer caso, el tráfico ya está en la máquina que desea proteger, por lo que es potencialmente más vulnerable si algo se ha pasado por alto o mal configurado

Un firewall de hardware esencialmente actúa como un prefiltro, que solo permite que el tráfico específico llegue y / o salga de su servidor.

Dado su caso de uso, y suponiendo, por supuesto, que tiene copias de seguridad adecuadas, el gasto adicional sería muy difícil de justificar. Personalmente, continuaría con lo que tiene, aunque quizás use una empresa de alojamiento diferente.

Tarde al juego en este caso. Sí, el proveedor de servicios no tiene idea de lo que está hablando. Si es un administrador competente de IPTABLES, diría que es más seguro que un firewall de hardware listo para usar. La razón es que cuando los he usado, la agradable interfaz gee-whiz no refleja la configuración real del tráfico permitido. Los vendedores intentan simplificarlo para nosotros, gente tonta. Quiero saber sobre cada posibilidad de cada paquete que entra y sale.

IPTABLES no es para todos, pero si te tomas en serio la seguridad, debes estar lo más cerca posible del cable. Asegurar un sistema es fácil: la ingeniería inversa de un firewall de blackbox no lo es.