Czy podstawowe serwery systemowe powinny mieć możliwość łączenia się z Internetem w celu konserwacji / wsparcia?

Kilka naszych serwerów ma licencje serwisowe Oracle. Nasz dostawca sprzętu poprosił o połączenie internetowe w serwerowni. Zgodnie z naszymi zasadami ze względów bezpieczeństwa wszystkie urządzenia w tym pomieszczeniu są odizolowane od Internetu. Ale konserwator zapytał: „to w jaki sposób będziemy w stanie wykonać prace konserwacyjne na twoich serwerach?”

Moje pytanie brzmi: czy nasze serwery potrzebują połączenia z Internetem, aby konserwacja przebiegała jak system weryfikacji licencji? Czy może to zrobić offline? Czy to nie jest samo w sobie ryzyko, gdyby do naszego serwera produkcyjnego było połączenie z Internetem?

Zwykle należy pobrać łatki z Internetu, a następnie zastosować je na serwerze. Jednak uzasadnione jest pośrednie kopiowanie łatek do pośredniej lokalizacji (nawet DVD), aby przejść między Internetem a serwerami bazy danych.

Jeśli chcą tylko oddzielnej maszyny w serwerowni, która może łączyć się z Internetem (np. Do czytania notatek o łatach), jest to inna opcja.

Wreszcie istnieje różnica między przeglądarką działającą na serwerze, która może łączyć się z Internetem, a faktycznym dostępem do serwera jako serwera z Internetu.

Wszystko zależy od tego, jak bezpieczne chcesz / musisz być.

Twoje serwery są podłączone do sieci, która ma inne urządzenia z dostępem do Internetu. Poprawny? Jestem pewien, że inni się nie zgodzą, ale uważam, że bezpieczeństwo zapewnione przez nie zezwalanie tym serwerom na bezpośredni dostęp do Internetu jest bardziej iluzoryczne niż cokolwiek innego.

Wykonujemy wiele prac konserwacyjnych na serwerach klientów, które nie mają dostępu do Internetu. Musimy wziąć wszystkie aktualizacje / łatki / oprogramowanie potrzebne do tej wizyty na CD / USB Stick. (Pozwalanie stronom trzecim na wnoszenie pamięci USB / płyt CD jest samo w sobie zagrożeniem bezpieczeństwa)

Zawsze możesz użyć iptables do skonfigurowania dokładnego źródłowego / docelowego adresu IP: pary portów, które chcesz pozostawić otwarte.

W ten sposób, nawet gdy serwer jest eksplorowany przez sieć WAN, możesz mieć pewność, że tylko zaufane adresy IP + prawidłowe dane uwierzytelniające uzyskają dostęp do niego.

Co więcej, możesz także użyć prywatnej-publicznej pary kluczy ssh , które mogą być współużytkowane tylko przez dwoje.

Wszystkie twoje serwery powinny znajdować się w strefie DMZ lub przynajmniej za zaporą ogniową. Prawie każdą zaporę ogniową można skonfigurować tak, aby zezwalała na połączenia wychodzące z dowolnego z tych serwerów (aby mogły samodzielnie sprawdzać i pobierać łatki bezpieczeństwa i inne aktualizacje). Następnie administratorzy systemu muszą skonfigurować zaporę ogniową tak, aby dozwolone było kilka bardzo specyficznych połączeń przychodzących. Jeśli są one potrzebne tylko do sporadycznej konserwacji, można je wyłączyć po zakończeniu konserwacji.

Do tego zadania używamy bram Linuksa z iptables do zapory ogniowej. Jednak standardowe zapory sprzętowe zrobią dokładnie to samo.

Pytanie brzmi - czy istnieje ryzyko zezwalania serwerom produkcyjnym na połączenia HTTP / S wychodzące z Internetem. Krótka odpowiedź brzmi NIE. Im dłuższa odpowiedź, że ryzyko bezpieczeństwa jest tak minimalne, że przewyższa koszty (pod względem czasu) zarządzania tymi serwerami.

Rozważ ryzyko związane z zezwoleniem na dostęp:

1. Administrator pobiera złośliwe oprogramowanie z Internetu na serwer
2. Zaatakowany serwer pobiera dodatkowy kod wirusa lub przesyła poufne informacje do Internetu

Pierwszą kwestię złagodził, ograniczając dostęp do Internetu do znanych stron i idealnie nie pozwalając wcale na przeglądanie stron internetowych. Ponadto administratorzy mają pewne zaufanie, że nie będą działać w złośliwy sposób.

W drugim punkcie, biorąc pod uwagę, że serwer został już w jakiś sposób skompromitowany, kwestia, czy dostęp do Internetu jest dostępny, jest kwestią sporną. Osoba atakująca znalazła już sposób na przeniesienie kodu do systemu, co oznacza, że ​​może uzyskać dodatkowy kod do tego systemu lub pobrać z niego dane.

Oczywiście wszystko to może zależeć od konkretnych okoliczności (takich jak spełnienie określonych wymagań klienta lub przepisów).

Jakiego rodzaju połączenia potrzebują te serwery?

Jeśli jest to tylko połączenie HTTP ze stroną Oracle, dlaczego nie zmuszasz ich do używania serwerów proxy?

Dostęp VPN jest najlepszym wyborem!

odpowiedź nr 1 jest najlepsza teoretycznie - poziom bezpieczeństwa sieci jest równy poziomowi bezpieczeństwa najsłabszego komputera podłączonego do tej sieci

moim zdaniem podejście praktyczne byłoby:

• podział sieci wewnętrznej na podsieci dot1q
• brama linux -> cały ruch między podsieciami przechodzi przez nią i może być łatwo kontrolowany (a tak naprawdę, z dostępem do głównych serwerów tylko dla potrzebnych portów aplikacji i klientów)
• połączenie zewnętrzne wykonane tylko przez zaszyfrowaną VPN (pptp z mschap lub openvpn)
• podstawowe serwery mają dostęp do Internetu tylko na zasadzie „potrzeby” (utrzymanie, pobieranie aktualizacji itp.) - także dostęp do nich jest blokowany przez bramę - zgodnie z polityką DROP

Nawet jeśli zezwalasz na połączenie z Internetem dla niektórych serwerów, pozwól im używać OpenDNS jako serwera DNS.