Temel sistem sunucuları bakım / destek için internete bağlanabilmeli mi?

Sunucularımızdan birkaçı Oracle bakım lisanslarına sahiptir. Bizim donanım satıcısı sunucu odasında internet bağlantısı olduğunu sordu. Politikamız, o odadaki tüm makinelerin güvenlik nedeniyle internetten izole edilmesidir. Ancak bakım görevlisi "sunucularınızda nasıl bakım çalışması yapabileceğimizi" sordu.

Sorum şu: Bakımın bir lisans doğrulama sistemi gibi gerçekleştirilmesi için sunucularımızın internet bağlantısına ihtiyacı var mı? Yoksa çevrimdışı yapabilir mi? Üretim sunucumuzla internet bağlantısı olması kendi başına bir risk değil mi?

Genellikle yamaları internetten indirmeniz ve bunları sunucuya uygulamanız gerekir. Bununla birlikte, yamaları internet ve veritabanı sunucuları arasında geçiş yapmak için bir ara konuma (hatta DVD) kopyalamak için ara bir adım atmak mantıklıdır.

Eğer sunucu odasında sadece internete bağlanabilen ayrı bir makine istiyorlarsa (örneğin yama notlarını okumak için), bu başka bir seçenektir.

Son olarak, sunucuda çalışan ve internete bağlanabilen bir tarayıcıya sahip olmak ile sunucunun internetten sunucu olarak erişilebilir olması arasında bir fark vardır.

Her şey ne kadar güvenli olmak istediğinize / ihtiyacınız olduğuna bağlıdır.

Sunucularınız, İnternet erişimi olan başka cihazlara sahip bir ağa bağlı. Doğru? Eminim diğerleri katılmıyorum ama bu sunucuların doğrudan internet erişimine izin vermeyerek sağlanan güvenliğin her şeyden daha yanıltıcı olduğuna inanıyorum.

İnternet erişimi olmayan müşteri sunucularında çok fazla bakım yapıyoruz. Bu ziyaret için ihtiyaç duyduğumuz tüm güncellemeleri / yamaları / yazılımları CD / USB Stick'te almalıyız. (3. tarafların USB bellek / CD getirmesine izin vermek kendi başına bir güvenlik riskidir)

Her zaman tam kaynak / hedef IP yapılandırmak için iptables'ı kullanabilirsiniz : Açık tutmak istediğiniz bağlantı noktası çiftleri.

Bu şekilde, sunucu WAN üzerinden patlansa bile, yalnızca güvenilir IP'lerin + doğru kimlik bilgilerinin sunucuya erişmesini sağlayabilirsiniz.

Dahası , sadece ikiniz arasında paylaşılabilen özel-kamu ssh anahtar çiftini de kullanabilirsiniz.

Tüm sunucularınız bir DMZ'de veya en azından bir güvenlik duvarının arkasında olmalıdır. Hemen hemen her güvenlik duvarı bu sunuculardan herhangi birine giden bağlantılara izin verecek şekilde yapılandırılabilir (böylece güvenlik yamalarını ve diğer güncellemeleri kendi başlarına kontrol edip indirebilirler). Ardından, güvenlik duvarını birkaç, çok özel gelen bağlantıya izin verecek şekilde yapılandırmak sistem yöneticilerinize bağlıdır. Sadece ara sıra bakım için gerekliyse, bakım bittikten sonra devre dışı bırakılabilirler.

Güvenlik duvarı için iptables içeren bu iş için linux ağ geçitleri kullanıyoruz. Ancak, standart donanım güvenlik duvarlarınız da aynısını yapacaktır.

Soru şudur: Üretim sunucularının Internet'e HTTP / S bağlantılarına sahip olmalarına izin verme riski var mıdır. Kısa cevap HAYIR. Güvenlik riski o kadar azdır ki, bu sunucuları yönetme maliyeti (zaman açısından) ağır basar.

Erişime izin verme risklerini göz önünde bulundurun:

1. Yönetici kötü amaçlı yazılımları İnternet'ten sunucuya indirir
2. Güvenliği ihlal edilmiş bir sunucu ek virüs kodu indirir veya gizli bilgileri İnternete yükler

İlk nokta, bilinen sitelere Internet erişimini kısıtlayarak ve ideal olarak web'de gezinmeye izin vermeyerek hafifletti. Ayrıca, yöneticilerinizin kötü niyetli davranmamaları konusunda belirli bir güven vardır.

İkinci noktada, sunucunun bir şekilde tehlikeye atılmış olduğu göz önüne alındığında, İnternet erişiminin mevcut olup olmadığı tartışmalı bir noktadır. Saldırgan, sistemlerinize kod almanın bir yolunu buldu, yani bu sisteme ek kod alabilecekleri veya sistemden veri alabilecekleri anlamına geliyor.

Açıkçası, bunların hepsi belirli koşullara bağlı olabilir (belirli müşteri veya düzenleme gereksinimlerini karşılamak gibi).

Bu sunucular ne tür bir bağlantıya ihtiyaç duyar?

Oracle web sitesine yalnızca bir HTTP bağlantısıysa, neden web proxy'lerini kullanmalarını sağlamıyorsunuz?

VPN erişimi en iyi seçenektir!

# 1 teorisi açısından en iyisidir - ağın güvenlik seviyesi, o ağa bağlı en zayıf bilgisayarın güvenlik seviyesine eşittir

benim görüşüme göre, bir yaklaşım yaklaşımı olurdu:

• dot1q alt ağlarına bölünmüş iç ağ
• linux ağ geçidi -> alt ağlar arasındaki tüm trafik içinden geçer ve kolayca kontrol edilebilir (ve aslında sadece gerekli uygulama portları ve istemciler için çekirdek sunuculara erişim ile)
• dış bağlantı yalnızca şifreli vpn ile yapılır (mschap veya openvpn ile pptp)
• çekirdek sunucuların internete sadece "ihtiyaç" temelinde erişimleri vardır (bakım, indirme yükseltmeleri, vb.) - bunlara erişim ağ geçidi yoluyla daraltılır - bir DROP politikası ile

Hatta bazı sunucular için internet bağlantısına izin verirseniz , DNS sunucusu olarak OpenDNS kullanmasına izin verin .