I server di sistema di base dovrebbero essere in grado di connettersi a Internet per manutenzione / supporto?


18

Un paio di nostri server hanno licenze di manutenzione Oracle. Il nostro fornitore di hardware ha chiesto che ci fosse una connessione Internet nella sala server. La nostra politica è che tutte le macchine in quella stanza siano isolate da Internet per motivi di sicurezza. Ma l'addetto alla manutenzione ha chiesto "allora come potremo fare i lavori di manutenzione sui tuoi server?"

La mia domanda è: i nostri server necessitano di una connessione a Internet per poter eseguire la manutenzione come un sistema di verifica delle licenze. O può farlo offline? Non è un rischio in sé se esistesse una connessione Internet al nostro server di produzione?


Caspita, davvero un'ottima domanda! +1
l0c0b0x

Risposte:


9

In genere è necessario scaricare patch da Internet e applicarle al server. Tuttavia, è ragionevole disporre di un passaggio intermedio per copiare le patch in una posizione intermedia (persino un DVD) per passare da Internet ai server di database.

Se vogliono semplicemente un computer separato nella sala server in grado di connettersi a Internet (ad esempio per leggere le note della patch), questa è un'altra opzione.

Infine, c'è una differenza tra avere un browser in esecuzione sul server in grado di connettersi a Internet e avere il server effettivamente accessibile come server da Internet.

Tutto dipende dalla sicurezza che vuoi / devi essere.


11

I tuoi server sono connessi a una rete che ha altri dispositivi con accesso a Internet. Corretta? Sono sicuro che altri non saranno d'accordo, ma credo che la sicurezza offerta dal non consentire a quei server l'accesso diretto a Internet sia più illusoria di ogni altra cosa.


7
+1 - A meno che non vi sia effettivamente un divario tra il "core" e il resto della rete (che sembrerebbe vanificare lo scopo di avere una rete in primo luogo) il "core" è "connesso a Internet". Tale connessione dovrebbe essere arbitrata da firewall, elenchi di accesso, ecc., Ma È "connessa a Internet". Detto questo, la vera discussione qui deve riguardare l'arbitrato di accesso a quei server e i meccanismi utilizzati e le regole empiriche associate alla configurazione di tali meccanismi.
Evan Anderson,

Bella risposta :-)
MN,

3
La società è paranoica sulla sicurezza. È un dato di fatto, esiste un effettivo divario fisico tra la rete centrale e il resto dell'ufficio. Le macchine nella rete centrale sono ridicolmente disconnesse da Internet. Alcune persone hanno persino 2 computer nelle loro scrivanie; 1 per un uso regolare, l'altro con una connessione al sistema principale.
Ludwi,

3

Effettuiamo molta manutenzione sui server dei clienti che non hanno accesso a Internet. Dobbiamo prendere tutti gli aggiornamenti / patch / software necessari per quella visita su CD / chiavetta USB. (Consentire a terzi di portare chiavi / CD USB è un rischio per la sicurezza in sé)


Notato! Questo è il motivo per cui eseguiamo scansioni offline dei media di terze parti prima di consentire loro di essere collegati all'ambiente principale.
Ludwi,

3

È sempre possibile utilizzare iptables per configurare l'indirizzo IP di origine / destinazione esatto: coppie di porte che si desidera mantenere aperte.

In questo modo, anche quando il server viene esplorato tramite la WAN, è possibile assicurarsi che solo gli IP attendibili + le credenziali corrette possano accedervi.

Inoltre puoi usare anche una coppia di chiavi ssh privato-pubbliche , che può essere condivisa solo tra voi due.


2

Tutti i tuoi server dovrebbero essere in una DMZ o almeno dietro un firewall. Quasi tutti i firewall possono essere configurati per consentire connessioni in uscita da uno di questi server (in modo che possano controllare e scaricare autonomamente patch di sicurezza e altri aggiornamenti). E poi spetta al tuo amministratore di sistema configurare il firewall in modo tale da consentire alcune connessioni in entrata molto specifiche. Se sono necessari solo per la manutenzione occasionale, possono essere disabilitati al termine della manutenzione.

Usiamo i gateway linux per questo lavoro, con iptables per il firewall. Tuttavia, i firewall hardware standard faranno esattamente lo stesso.


2

La domanda è: esiste un rischio nel consentire ai server di produzione di avere connessioni HTTP / S in uscita verso Internet. La risposta breve è NO. La risposta più lunga è che il rischio per la sicurezza è così minimo che supera i costi (in termini di tempo) per gestire quei server.

Considera i rischi di consentire l'accesso:

  1. Un amministratore scarica software dannoso da Internet sul server
  2. Un server compromesso scarica ulteriore codice virus o carica informazioni riservate su Internet

Il primo punto è mitigato limitando l'accesso a Internet a siti noti e idealmente non consente affatto la navigazione in rete. Inoltre, c'è una certa fiducia nei tuoi amministratori per non agire in modo dannoso.

Sul secondo punto, considerando che il server era già stato compromesso in qualche modo, la disponibilità o meno dell'accesso a Internet è un punto controverso. L'aggressore ha già trovato un modo per ottenere codice sui tuoi sistemi, il che significa che possono ottenere codice aggiuntivo per quel sistema o recuperare dati da esso.

Ovviamente, tutto ciò può dipendere da circostanze specifiche (come soddisfare determinati requisiti dei clienti o delle normative).


0

Di quale tipo di connessione hanno bisogno quei server?

Se si tratta solo di una connessione HTTP al sito Web Oracle, perché non li fai utilizzare i proxy Web?



0

la risposta n. 1 è la migliore in termini teorici: il livello di sicurezza della rete è uguale al livello di sicurezza del computer più debole connesso a quella rete

un approccio pratico sarebbe, dal mio punto di vista:

  • rete interna suddivisa in subnet dot1q
  • gateway linux -> tutto il traffico tra le sottoreti lo attraversa e può essere controllato facilmente (e in realtà lo è, con accesso ai server core solo per le porte e i client delle applicazioni necessarie)
  • connessione esterna effettuata solo tramite VPN crittografata (pptp con mschap o openvpn)
  • i server principali hanno accesso a Internet solo in base alla "necessità di" (manutenzione, download di aggiornamenti, ecc.) - anche l'accesso ad essi è contrastato tramite il gateway - con una politica DROP

-4

Anche se si consente la connessione Internet per alcuni server, utilizzare OpenDNS come server DNS.


2
WTF? In che modo è rilevante?
ceejayoz,


Non dovrebbero usare i server DNS interni che a loro volta potrebbero usare server openDNS? In questo modo non è necessario assegnare tutte le connessioni tra i server principali con indirizzi IP e utilizzare invece i nomi DNS.
MrTimpi,

Sì Se hanno DNS interno
adozione il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.