Czy podstawowe serwery systemowe powinny mieć możliwość łączenia się z Internetem w celu konserwacji / wsparcia?

18

Kilka naszych serwerów ma licencje serwisowe Oracle. Nasz dostawca sprzętu poprosił o połączenie internetowe w serwerowni. Zgodnie z naszymi zasadami ze względów bezpieczeństwa wszystkie urządzenia w tym pomieszczeniu są odizolowane od Internetu. Ale konserwator zapytał: „to w jaki sposób będziemy w stanie wykonać prace konserwacyjne na twoich serwerach?”

Moje pytanie brzmi: czy nasze serwery potrzebują połączenia z Internetem, aby konserwacja przebiegała jak system weryfikacji licencji? Czy może to zrobić offline? Czy to nie jest samo w sobie ryzyko, gdyby do naszego serwera produkcyjnego było połączenie z Internetem?

Ludwi
źródło
Wow, naprawdę dobre pytanie! +1
l0c0b0x

Odpowiedzi:

9

Zwykle należy pobrać łatki z Internetu, a następnie zastosować je na serwerze. Jednak uzasadnione jest pośrednie kopiowanie łatek do pośredniej lokalizacji (nawet DVD), aby przejść między Internetem a serwerami bazy danych.

Jeśli chcą tylko oddzielnej maszyny w serwerowni, która może łączyć się z Internetem (np. Do czytania notatek o łatach), jest to inna opcja.

Wreszcie istnieje różnica między przeglądarką działającą na serwerze, która może łączyć się z Internetem, a faktycznym dostępem do serwera jako serwera z Internetu.

Wszystko zależy od tego, jak bezpieczne chcesz / musisz być.

Gary
źródło
11

Twoje serwery są podłączone do sieci, która ma inne urządzenia z dostępem do Internetu. Poprawny? Jestem pewien, że inni się nie zgodzą, ale uważam, że bezpieczeństwo zapewnione przez nie zezwalanie tym serwerom na bezpośredni dostęp do Internetu jest bardziej iluzoryczne niż cokolwiek innego.

John Gardeniers
źródło
7
+1 - O ile faktycznie nie ma szczeliny powietrznej między „rdzeniem” a resztą sieci (która zdawałaby się podważyć cel posiadania sieci w pierwszej kolejności), „rdzeń” jest „podłączony do Internetu”. Takie połączenie powinno być uzgadniane przez zapory ogniowe, listy dostępu itp., Ale JEST „podłączone do Internetu”. Powiedziawszy to, prawdziwa dyskusja musi dotyczyć arbitrażu dostępu do tych serwerów oraz wykorzystywanych mechanizmów i praktycznych reguł związanych z konfigurowaniem tych mechanizmów.
Evan Anderson
Ładna odpowiedź :-)
MN
3
Firma ma obsesję na punkcie bezpieczeństwa. W rzeczywistości istnieje rzeczywista fizyczna luka między siecią bazową a resztą biura. Maszyny w sieci bazowej są absurdalnie odłączone od Internetu. Niektóre osoby mają nawet 2 komputery; 1 do regularnego użytku, drugi z połączeniem z systemem podstawowym.
Ludwi,
3

Wykonujemy wiele prac konserwacyjnych na serwerach klientów, które nie mają dostępu do Internetu. Musimy wziąć wszystkie aktualizacje / łatki / oprogramowanie potrzebne do tej wizyty na CD / USB Stick. (Pozwalanie stronom trzecim na wnoszenie pamięci USB / płyt CD jest samo w sobie zagrożeniem bezpieczeństwa)

Simon Hodgson
źródło
Odnotowany! Dlatego wykonujemy skanowanie offline mediów zewnętrznych, zanim pozwolimy na podłączenie ich do podstawowego środowiska.
Ludwi,
3

Zawsze możesz użyć iptables do skonfigurowania dokładnego źródłowego / docelowego adresu IP: pary portów, które chcesz pozostawić otwarte.

W ten sposób, nawet gdy serwer jest eksplorowany przez sieć WAN, możesz mieć pewność, że tylko zaufane adresy IP + prawidłowe dane uwierzytelniające uzyskają dostęp do niego.

Co więcej, możesz także użyć prywatnej-publicznej pary kluczy ssh , które mogą być współużytkowane tylko przez dwoje.

MN
źródło
2

Wszystkie twoje serwery powinny znajdować się w strefie DMZ lub przynajmniej za zaporą ogniową. Prawie każdą zaporę ogniową można skonfigurować tak, aby zezwalała na połączenia wychodzące z dowolnego z tych serwerów (aby mogły samodzielnie sprawdzać i pobierać łatki bezpieczeństwa i inne aktualizacje). Następnie administratorzy systemu muszą skonfigurować zaporę ogniową tak, aby dozwolone było kilka bardzo specyficznych połączeń przychodzących. Jeśli są one potrzebne tylko do sporadycznej konserwacji, można je wyłączyć po zakończeniu konserwacji.

Do tego zadania używamy bram Linuksa z iptables do zapory ogniowej. Jednak standardowe zapory sprzętowe zrobią dokładnie to samo.

wolfgangsz
źródło
2

Pytanie brzmi - czy istnieje ryzyko zezwalania serwerom produkcyjnym na połączenia HTTP / S wychodzące z Internetem. Krótka odpowiedź brzmi NIE. Im dłuższa odpowiedź, że ryzyko bezpieczeństwa jest tak minimalne, że przewyższa koszty (pod względem czasu) zarządzania tymi serwerami.

Rozważ ryzyko związane z zezwoleniem na dostęp:

  1. Administrator pobiera złośliwe oprogramowanie z Internetu na serwer
  2. Zaatakowany serwer pobiera dodatkowy kod wirusa lub przesyła poufne informacje do Internetu

Pierwszą kwestię złagodził, ograniczając dostęp do Internetu do znanych stron i idealnie nie pozwalając wcale na przeglądanie stron internetowych. Ponadto administratorzy mają pewne zaufanie, że nie będą działać w złośliwy sposób.

W drugim punkcie, biorąc pod uwagę, że serwer został już w jakiś sposób skompromitowany, kwestia, czy dostęp do Internetu jest dostępny, jest kwestią sporną. Osoba atakująca znalazła już sposób na przeniesienie kodu do systemu, co oznacza, że ​​może uzyskać dodatkowy kod do tego systemu lub pobrać z niego dane.

Oczywiście wszystko to może zależeć od konkretnych okoliczności (takich jak spełnienie określonych wymagań klienta lub przepisów).

Doug Luxem
źródło
0

Jakiego rodzaju połączenia potrzebują te serwery?

Jeśli jest to tylko połączenie HTTP ze stroną Oracle, dlaczego nie zmuszasz ich do używania serwerów proxy?

Benoit
źródło
0

Dostęp VPN jest najlepszym wyborem!

Antoine Benkemoun
źródło
0

odpowiedź nr 1 jest najlepsza teoretycznie - poziom bezpieczeństwa sieci jest równy poziomowi bezpieczeństwa najsłabszego komputera podłączonego do tej sieci

moim zdaniem podejście praktyczne byłoby:

  • podział sieci wewnętrznej na podsieci dot1q
  • brama linux -> cały ruch między podsieciami przechodzi przez nią i może być łatwo kontrolowany (a tak naprawdę, z dostępem do głównych serwerów tylko dla potrzebnych portów aplikacji i klientów)
  • połączenie zewnętrzne wykonane tylko przez zaszyfrowaną VPN (pptp z mschap lub openvpn)
  • podstawowe serwery mają dostęp do Internetu tylko na zasadzie „potrzeby” (utrzymanie, pobieranie aktualizacji itp.) - także dostęp do nich jest blokowany przez bramę - zgodnie z polityką DROP
quaie
źródło
-4

Nawet jeśli zezwalasz na połączenie z Internetem dla niektórych serwerów, pozwól im używać OpenDNS jako serwera DNS.

adopilot
źródło
2
WTF? Jak to w ogóle ma znaczenie?
ceejayoz
@ceejayoz według tego serverfault.com/questions/6569/…
adopilot
Czy nie powinni używać wewnętrznych serwerów DNS, którzy z kolei mogą korzystać z serwerów openDNS? W ten sposób nie musisz przypisywać wszystkich połączeń między serwerami z adresami IP, a zamiast tego możesz używać nazw DNS.
MrTimpi,
Tak Jeśli mają wewnętrzny DNS
adopilot