Tenho uma rede gerenciada com 40 usuários, 4 switches gerenciáveis, Vlans, wan dupla, vários pontos de acesso. Um servidor Proliant HPE está fornecendo serviços de rede e até mesmo expondo alguns sites à Internet aberta por meio de um proxy reverso (Nginx). Todos os PCs clientes na rede estão rodando em Linux ou Mac. Eu tenho um IP público estático. No total, eu diria uma rede de tamanho de pequena empresa.
Não tenho um firewall instalado e gostaria de saber se preciso de um. Até o momento, consegui implementar a segurança em cada uma das VMs expostas à Internet, bloqueando o SSH (chaves públicas e sem senhas), algumas regras no UFW. Não tenho roscas internas altas. Até agora, sobrevivi à internet selvagem.
Não estou a fim de instalar um firewall que tirasse as funções do meu roteador porque já estou acostumado e porque oferece boas ferramentas para gerenciar a rede nas nuvens (semelhante ao Ubiquiti). Estou pensando em instalar um firewall entre o roteador e os primeiros switches em modo transparente para não afetar as ferramentas de gerenciamento de rede disponíveis no roteador (Ruijie EG105G-V2).
Minha dúvida é: Eu realmente preciso de um firewall, e ele me traria algum benefício se instalado em modo transparente entre o roteador e o switch deixando o gerenciamento de DHCP/Vlans e encaminhamento de porta para o roteador? Finalmente, qual Firewall?
Sei que pode haver muito mais informações necessárias para me dar uma direção, no entanto, seus comentários serão apreciados.
Esta pergunta atrairá respostas baseadas em opiniões.
Vou, portanto, tentar responder a isso sem uma opinião para que você possa formar a sua própria.
Existem 2 tipos de firewalls.
Para ambos os firewalls, o tráfego é inspecionado com base em seu destino e porta e, frequentemente, um firewall é configurado para bloquear tudo, exceto algumas portas.
Com firewalls de software, também há a opção de selecionar um programa. Se esse programa estiver em execução, uma porta será permitida, mas se o programa não estiver em execução, essa porta será bloqueada.
Com o hardware, o próprio pacote pode ser inspecionado e bloqueado independentemente de qual porta deseja acessar.
Dito isso, quando você coloca um roteador em sua rede, as portas de entrada são bloqueadas por padrão e exigem uma regra NAT no roteador para abrir as portas novamente. Este também é um tipo de firewall.
É possível com um roteador usar uma DMZ (DeMilitarized Zone) que encaminha todo o tráfego para um endereço IP, permitindo efetivamente todas as portas. Se o DMZ for usado para um PC, não um roteador que tenha seu próprio NAT, é altamente recomendável usar um firewall também.
Se você não usa DMZ, um firewall geralmente não é necessário para o tráfego proveniente da WAN.
Dito isso, outra forma de ataque pode vir da LAN e, nesse caso, um servidor deve ter seu firewall configurado.
Por exemplo, um hacker pode dirigir seu carro próximo ao seu prédio, atacar o WiFi e obter acesso. A partir daí, eles podem hackear o servidor se ele não tiver um firewall.
Portanto, a melhor prática é: Use um roteador sem DMZ para um servidor ou PC e ative um firewall de software em todos os servidores. Somente se sua rede precisar de segurança máxima, você deve intensificar o uso de mais ou melhores firewalls.
Sim, você precisa de um firewall porque as pessoas procuram vulnerabilidades em todos os IPv4 e IPv6 quase diariamente, especialmente no IPv4, pois existem apenas 4 bilhões deles.
Tenho monitorado minhas conexões de entrada e coletado uma lista de IPs que verificaram meu IP.
Em apenas 2-3 anos, coletei 1,3 milhão de endereços IP exclusivos, sem contar os infratores reincidentes.
Assim que os hackers determinarem que uma porta está aberta, eles tentarão descobrir qual software está sendo executado nessa porta e tentarão explorá-la.
Por exemplo:
Meu servidor apache/web recebe dezenas de ataques de sondagem e um número menor de tentativas de exploração todos os dias.
Meu servidor de e-mail está sujeito a reincidentes tentando adivinhar meus nomes de usuário e senhas. Dezenas a centenas de ocorrências por dia e meu site nem é popular. Praticamente ninguém, além de bots e eu, vê meu site. A proporção é de aproximadamente 99,8% de bots, 0,1% de mim e 0,1% de pessoas aleatórias que tropeçam no meu site.
Se meu IP humilde e obscuro atrai tanta atenção, você pode imaginar quanta atenção um IP de empresa real atrai.
Instale uma VPN criptografada para que você ainda possa bloquear seu IP externo e obter acesso a recursos internos.
Então você precisa monitorar seus logs de VPN para que ninguém explore sua VPN.
No linux você pode instalar o fail2ban