Các máy chủ hệ thống lõi có thể kết nối với internet để bảo trì / hỗ trợ không?


18

Một vài máy chủ của chúng tôi có giấy phép bảo trì Oracle. Nhà cung cấp phần cứng của chúng tôi hỏi có kết nối internet trong phòng máy chủ. Chính sách của chúng tôi là tất cả các máy trong phòng đó được cách ly với internet vì lý do bảo mật. Nhưng anh chàng bảo trì hỏi "vậy thì làm thế nào chúng ta có thể thực hiện công việc bảo trì trên máy chủ của bạn?"

Câu hỏi của tôi là, các máy chủ của chúng tôi có cần kết nối internet để bảo trì được thực hiện như một hệ thống xác minh giấy phép hay không. Hoặc anh ấy có thể làm điều đó ngoại tuyến? Có phải đó là một rủi ro nếu có kết nối internet với máy chủ sản xuất của chúng tôi không?


Wow, câu hỏi thực sự tốt! +1
l0c0b0x

Câu trả lời:


9

Bạn thường cần tải xuống các bản vá từ internet sau đó áp dụng chúng cho máy chủ. Tuy nhiên, thật hợp lý khi có một bước trung gian sao chép các bản vá vào một vị trí trung gian (thậm chí là DVD) để đi giữa internet và các máy chủ cơ sở dữ liệu.

Nếu họ chỉ muốn một máy riêng biệt trong phòng máy chủ có thể kết nối với internet (ví dụ để đọc ghi chú vá), đó là một lựa chọn khác.

Cuối cùng, có một sự khác biệt giữa việc có một trình duyệt chạy trên máy chủ có thể kết nối với internet và có máy chủ thực sự có thể truy cập như một máy chủ từ internet.

Tất cả phụ thuộc vào mức độ an toàn mà bạn muốn / cần phải được.


11

Máy chủ của bạn được kết nối với mạng có các thiết bị khác có truy cập Internet. Chính xác? Tôi chắc chắn những người khác sẽ không đồng ý nhưng tôi tin rằng bảo mật được cung cấp bằng cách không cho phép những máy chủ đó truy cập Internet trực tiếp là ảo tưởng hơn bất cứ điều gì khác.


7
+1 - Trừ khi thực sự có một khoảng cách không khí giữa "lõi" và phần còn lại của mạng (dường như sẽ đánh bại mục đích có mạng ở vị trí đầu tiên), "lõi" được "kết nối với Internet". Một connecection như vậy cần được phân xử bởi tường lửa, danh sách truy cập, vv, nhưng nó IS "kết nối với Internet". Phải nói rằng, cuộc thảo luận thực sự ở đây cần phải là về việc phân xử truy cập vào các máy chủ đó và các cơ chế được sử dụng và quy tắc ngón tay cái liên quan đến việc cấu hình các cơ chế đó.
Evan Anderson

Câu trả lời hay :-)
MN

3
Công ty hoang tưởng về an ninh. Như một vấn đề thực tế, có một khoảng cách vật lý thực tế giữa mạng lõi và phần còn lại của văn phòng. Các máy trong mạng lõi bị ngắt kết nối với mạng một cách lố bịch. Một số người thậm chí có 2 máy tính bàn của họ; 1 để sử dụng thường xuyên, cái còn lại có kết nối với hệ thống cốt lõi.
Ludwi

3

Chúng tôi bảo trì rất nhiều trên các máy chủ của khách hàng không có quyền truy cập internet. Chúng tôi phải lấy tất cả các bản cập nhật / bản vá / phần mềm chúng tôi cần cho lần truy cập đó trên CD / USB Stick. (Cho phép các bên thứ 3 mang theo USB / CD là một rủi ro bảo mật trong chính nó)


Lưu ý! Đây là lý do tại sao chúng tôi thực hiện quét ngoại tuyến phương tiện của bên thứ 3 trước khi chúng tôi cho phép chúng được cắm vào môi trường cốt lõi.
Ludwi

3

Bạn luôn có thể sử dụng iptables để định cấu hình IP nguồn / đích chính xác: Các cặp cổng mà bạn muốn tiếp tục mở.

Bằng cách đó, ngay cả khi máy chủ được khám phá qua mạng WAN, bạn có thể đảm bảo rằng chỉ những IP đáng tin cậy + thông tin xác thực mới có quyền truy cập vào nó.

Ngoài ra, bạn cũng có thể sử dụng cặp khóa ssh công-tư , chỉ có thể được chia sẻ giữa hai bạn.


2

Tất cả các máy chủ của bạn phải ở trong DMZ hoặc ít nhất là phía sau tường lửa. Bất kỳ tường lửa nào cũng có thể được cấu hình để cho phép các kết nối đi từ bất kỳ máy chủ nào trong số này (để họ có thể tự kiểm tra và tải xuống các bản vá bảo mật và các bản cập nhật khác). Và sau đó tùy thuộc vào quản trị viên hệ thống của bạn để định cấu hình tường lửa sao cho một vài kết nối đang hoạt động rất cụ thể được cho phép. Nếu chúng chỉ cần bảo trì thường xuyên, chúng có thể bị vô hiệu hóa sau khi bảo trì kết thúc.

Chúng tôi sử dụng cổng linux cho công việc này, với iptables cho tường lửa. Tuy nhiên, tường lửa phần cứng tiêu chuẩn của bạn sẽ làm chính xác như vậy.


2

Câu hỏi là - Có rủi ro trong việc cho phép các máy chủ sản xuất có kết nối HTTP / S ra ngoài Internet. Câu trả lời ngắn gọn là không. Câu trả lời dài hơn rằng rủi ro bảo mật là rất nhỏ đến mức nó vượt xa chi phí (về thời gian) để quản lý các máy chủ đó.

Xem xét các rủi ro cho phép truy cập:

  1. Quản trị viên tải phần mềm độc hại từ Internet về máy chủ
  2. Một máy chủ bị xâm nhập tải xuống mã virus bổ sung hoặc tải thông tin bí mật lên Internet

Điểm đầu tiên nó giảm nhẹ bằng cách hạn chế truy cập Internet vào các trang web đã biết và lý tưởng nhất là không cho phép duyệt web. Ngoài ra, có một sự tin tưởng nhất định vào quản trị viên của bạn để không hành động theo cách độc hại.

Về điểm thứ hai, xem xét rằng máy chủ đã bị xâm phạm trong một số thời trang, cho dù việc truy cập Internet có sẵn hay không là một điểm cần thiết. Kẻ tấn công đã tìm ra cách để lấy mã vào hệ thống của bạn, điều đó có nghĩa là chúng có thể lấy thêm mã vào hệ thống đó hoặc lấy dữ liệu từ nó.

Rõ ràng, tất cả có thể phụ thuộc vào các trường hợp cụ thể (như đáp ứng các yêu cầu nhất định của khách hàng hoặc quy định).


0

Những loại máy chủ nào cần những kết nối?

Nếu đó chỉ là kết nối HTTP đến trang web của Oracle, tại sao bạn không cho họ sử dụng proxy web?



0

câu trả lời số 1 là tốt nhất về mặt lý thuyết - mức độ bảo mật của mạng bằng với mức bảo mật của máy tính yếu nhất được kết nối với mạng đó

theo quan điểm của tôi, theo quan điểm của tôi:

  • chia mạng nội bộ trong các mạng con dot1q
  • cổng linux -> tất cả lưu lượng giữa các mạng con đi qua nó và nó có thể được kiểm soát dễ dàng (và thực tế là, với quyền truy cập vào các máy chủ lõi chỉ dành cho các cổng ứng dụng và máy khách cần thiết)
  • kết nối bên ngoài chỉ được thực hiện thông qua vpn được mã hóa (pptp với mschap hoặc openvpn)
  • các máy chủ cốt lõi chỉ truy cập internet trên cơ sở "cần" (bảo trì, tải xuống các bản nâng cấp, v.v.) - cũng được cung cấp cho chúng thông qua cổng - với chính sách DROP

-4

Ngay cả khi bạn cho phép kết nối internet cho một số máy chủ, hãy cho phép họ sử dụng OpenDNS làm máy chủ DNS của họ.


2
WTF? Làm thế nào là điều này có liên quan?
ceejayoz

@ceejayoz theo thông tin từ máy chủ
nàyfault.com/questions/6569/ trộm

Họ có nên sử dụng máy chủ DNS nội bộ, những người có thể lần lượt sử dụng máy chủ openDNS không? Bằng cách đó, bạn không phải chỉ định tất cả các kết nối giữa các máy chủ cốt lõi của mình với địa chỉ IP và có thể sử dụng tên DNS thay thế.
MrTimpi

Có Nếu họ có DNS nội bộ
chấp nhận
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.