Frage Sollten Core-System-Server zur Wartung / Unterstützung eine Verbindung zum Internet herstellen können?


Ein paar unserer Server haben Oracle-Wartungslizenzen. Unser Hardware-Verkäufer fragte dort war Internet-Verbindung im Serverraum. Unser Grundsatz ist, dass alle Maschinen in diesem Raum aus Sicherheitsgründen vom Internet isoliert sind. Aber der Wartungstechniker fragte: "Wie können wir Wartungsarbeiten an Ihren Servern durchführen?"

Meine Frage ist, benötigen unsere Server eine Internetverbindung, damit die Wartung wie ein Lizenzprüfsystem durchgeführt werden kann. Oder kann er es offline machen? Ist es nicht ein Risiko für sich selbst, wenn eine Internetverbindung zu unserem Produktionsserver besteht?


18
2017-08-24 07:09


Ursprung


Wow, wirklich gute Frage! +1 - l0c0b0x


Antworten:


Sie müssten im Allgemeinen Patches aus dem Internet herunterladen und sie dann auf dem Server anwenden. Es ist jedoch sinnvoll, einen Zwischenschritt zu haben, um die Patches an einen Zwischenspeicherort (sogar eine DVD) zu kopieren, um zwischen dem Internet und den Datenbankservern zu wechseln.

Wenn sie nur eine separate Maschine im Serverraum haben wollen, die sich mit dem Internet verbinden kann (z. B. zum Lesen von Patchnotizen), ist das eine andere Option.

Schließlich gibt es einen Unterschied zwischen dem Ausführen eines Browsers auf dem Server, der eine Verbindung mit dem Internet herstellen kann, und dem Zugriff auf den Server als Server aus dem Internet.

Alles hängt davon ab, wie sicher Sie sein wollen / müssen.


9
2017-08-24 07:49





Ihre Server sind mit einem Netzwerk verbunden, über das andere Geräte mit Internetzugang verfügen. Richtig? Ich bin mir sicher, dass andere nicht zustimmen werden, aber ich glaube, dass die Sicherheit, die dadurch geboten wird, dass diese Server keinen direkten Internetzugriff erlauben, illusorischer ist als alles andere.


11
2017-08-24 07:54



+1 - Es sei denn, es gibt tatsächlich eine Luftlücke zwischen dem "Kern" und dem Rest des Netzwerks (was den Zweck, überhaupt ein Netzwerk zu haben, zu zerstören scheint), der "Kern" ist "mit dem Internet verbunden". Solch eine Verbindung sollte durch Firewalls, Zugriffslisten, etc. vermittelt werden, aber es IST "mit dem Internet verbunden". Abgesehen davon muss die eigentliche Diskussion hier über den Arbitrierungszugriff auf diese Server und die verwendeten Mechanismen und Faustregeln im Zusammenhang mit der Konfiguration dieser Mechanismen erfolgen. - Evan Anderson
Gute Antwort :-) - M.N
Das Unternehmen ist paranoid in Bezug auf Sicherheit. In der Tat gibt es eine tatsächliche physische Lücke zwischen dem Kernnetz und dem Rest des Büros. Maschinen im Kernnetz sind lächerlich vom Internet getrennt. Manche Leute haben sogar zwei Computer an ihren Schreibtischen; 1 für den regelmäßigen Gebrauch, der andere mit einer Verbindung zum Kernsystem. - Ludwi


Wir kümmern uns intensiv um Kundenserver, die keinen Zugang zum Internet haben. Wir müssen alle Updates / Patches / Software, die wir für diesen Besuch benötigen, auf einen CD / USB Stick nehmen. (Dritten zu erlauben, USB-Sticks / CDs einzubringen, ist ein eigenes Sicherheitsrisiko)


3
2017-08-24 11:02



Bekannt! Aus diesem Grund führen wir Offline-Scans von Drittanbietermedien durch, bevor wir ihnen erlauben, in die Kernumgebung eingesteckt zu werden. - Ludwi


Sie können immer verwenden iptables Konfigurieren der genauen Quell- / Ziel-IP: Port-Paare, die Sie offen halten möchten.

Auf diese Weise können Sie selbst dann, wenn der Server über das WAN explodiert, sicherstellen, dass nur vertrauenswürdige IPs + korrekte Anmeldeinformationen Zugriff darauf erhalten.

Außerdem können Sie ein privat-öffentliches SSH-Schlüsselpaar auch, die nur von euch beiden geteilt werden kann.


3
2017-08-24 07:52





Alle Ihre Server sollten sich entweder in einer DMZ oder zumindest hinter einer Firewall befinden. Fast jede Firewall kann so konfiguriert werden, dass ausgehende Verbindungen von diesen Servern zugelassen werden (damit sie Sicherheits-Patches und andere Updates selbst suchen und herunterladen können). Und dann liegt es an Ihren Systemadministratoren, die Firewall so zu konfigurieren, dass ein paar sehr spezielle eingehende Verbindungen erlaubt sind. Wenn sie nur für gelegentliche Wartungsarbeiten benötigt werden, können sie deaktiviert werden, sobald die Wartung abgeschlossen ist.

Wir verwenden Linux-Gateways für diesen Job, mit iptables für die Firewall. Ihre Standard-Hardware-Firewalls werden jedoch genau das Gleiche tun.


2
2017-08-24 08:54





Die Frage ist: Besteht die Gefahr, dass Produktionsserver über HTTP / S-Verbindungen zum Internet verfügen? Die kurze Antwort ist NEIN. Die längere Antwort, dass das Sicherheitsrisiko so minimal ist, dass es die Kosten (in Bezug auf die Zeit) aufwiegt, um diese Server zu verwalten.

Berücksichtigen Sie die Risiken des Zugriffs:

  1. Ein Administrator lädt bösartige Software aus dem Internet auf den Server herunter
  2. Ein kompromittierter Server lädt zusätzlichen Virencode herunter oder lädt vertrauliche Informationen ins Internet hoch

Der erste Punkt, den es abschwächte, war die Einschränkung des Internetzugangs auf bekannte Websites und im Idealfall überhaupt kein Surfen im Internet. Darüber hinaus besteht ein gewisses Vertrauen in Ihre Administratoren, dass sie sich nicht bösartig verhalten.

Wenn man bedenkt, dass der Server in irgendeiner Weise kompromittiert war, ist der zweite Punkt, ob Internetzugang verfügbar ist oder nicht, ein strittiger Punkt. Der Angreifer hat bereits eine Möglichkeit gefunden, Code auf Ihre Systeme zu übertragen, was bedeutet, dass er zusätzlichen Code für dieses System erhalten oder Daten von ihm abrufen kann.

Dies hängt natürlich von bestimmten Umständen ab (z. B. Erfüllung bestimmter Kunden- oder Regulierungsanforderungen).


2
2017-08-28 19:44





Welche Art von Verbindung benötigen diese Server?

Wenn es nur eine HTTP-Verbindung zur Oracle-Website ist, warum lassen Sie sie dann nicht mit Web-Proxies arbeiten?


0
2017-08-24 08:59





VPN-Zugang ist Ihre beste Wahl!


0
2017-08-24 11:04





Antwort # 1 ist die beste Theorie - das Sicherheitsniveau des Netzwerks entspricht dem Sicherheitsniveau des schwächsten Computers, der mit diesem Netzwerk verbunden ist

Ein direkter Ansatz wäre aus meiner Sicht:

  • interne Netzwerkaufteilung in dot1q-Subnetzen
  • Linux-Gateway -> der gesamte Datenverkehr zwischen den Subnetzen läuft durch und es kann leicht kontrolliert werden (und tatsächlich ist, mit Zugriff auf Core-Server nur für benötigte Anwendungsports und Clients)
  • externe Verbindung nur über verschlüsselte VPN (pptp mit Mshap oder Openvpn)
  • Core-Server haben Zugang zum Internet nur auf einer "Notwendigkeit zu" (Maintenance, Download-Upgrades, etc.) - auch Zugang zu ihnen ist über das Gateway - mit einer DROP-Politik

0
2017-08-25 09:53