Sollten Core System Server in der Lage sein, für Wartung / Support eine Verbindung zum Internet herzustellen?

18

Einige unserer Server verfügen über Oracle-Wartungslizenzen. Unser Hardwarehersteller fragte, ob im Serverraum eine Internetverbindung vorhanden sei. Unsere Politik ist, dass alle Maschinen in diesem Raum aus Sicherheitsgründen vom Internet isoliert sind. Aber der Wartungsmitarbeiter fragte: "Wie können wir dann Wartungsarbeiten an Ihren Servern durchführen?"

Meine Frage ist, ob unsere Server eine Internetverbindung benötigen, damit die Wartung wie ein Lizenzverifizierungssystem durchgeführt werden kann. Oder kann er es offline machen? Ist es nicht ein Risiko für sich, wenn eine Internetverbindung zu unserem Produktionsserver bestand?

Ludwi
quelle
Wow, wirklich gute Frage! +1
l0c0b0x

Antworten:

9

In der Regel müssen Sie Patches aus dem Internet herunterladen und dann auf den Server anwenden. Es ist jedoch sinnvoll, einen Zwischenschritt zum Kopieren der Patches an einen Zwischenstandort (sogar eine DVD) zwischen dem Internet und den Datenbankservern durchzuführen.

Wenn sie nur einen separaten Computer im Serverraum haben möchten, der eine Verbindung zum Internet herstellen kann (z. B. zum Lesen von Patchnotizen), ist dies eine weitere Option.

Schließlich gibt es einen Unterschied zwischen einem Browser, der auf dem Server ausgeführt wird, der eine Verbindung zum Internet herstellen kann, und dem Server, auf den tatsächlich über das Internet zugegriffen werden kann.

Es hängt alles davon ab, wie sicher Sie sein wollen / müssen.

Gary
quelle
11

Ihre Server sind mit einem Netzwerk verbunden, das über andere Geräte mit Internetzugang verfügt. Richtig? Ich bin sicher, dass andere anderer Meinung sind, aber ich glaube, dass die Sicherheit, die durch das Nichtzulassen des direkten Internetzugriffs dieser Server geboten wird, mehr illusorisch ist als alles andere.

John Gardeniers
quelle
7
1 - Es sei denn , eigentlich eine gibt es Luftspalt zwischen dem „Kern“ und dem Rest des Netzes (die Niederlage der Zweck scheint , um ein Netzwerk in erster Linie auf) „Kern“ ist „verbunden mit dem Internet“. Eine solche connecection sollte durch Firewalls, Zugriffslisten geschlichtet werden, usw., aber es IST „mit dem Internet verbunden“. Die eigentliche Diskussion hier muss sich jedoch darauf konzentrieren, den Zugriff auf diese Server und die verwendeten Mechanismen und Daumenregeln für die Konfiguration dieser Mechanismen zu vermitteln.
Evan Anderson
Schöne Antwort :-)
MN
3
Das Unternehmen ist in Bezug auf Sicherheit paranoid. Tatsächlich besteht eine tatsächliche physische Lücke zwischen dem Kernnetzwerk und dem Rest des Büros. Maschinen im Kernnetzwerk sind auf lächerliche Weise vom Internet getrennt. Einige Leute haben sogar 2 Computer an ihren Schreibtischen; Eine für den regelmäßigen Gebrauch, die andere mit einer Verbindung zum Kernsystem.
Ludwi
3

Wir führen viele Wartungsarbeiten an den Servern unserer Kunden durch, die keinen Zugang zum Internet haben. Wir müssen alle Updates / Patches / Software, die wir für diesen Besuch benötigen, auf CD / USB-Stick speichern. (Das Zulassen von USB-Sticks / CDs durch Dritte stellt ein eigenes Sicherheitsrisiko dar.)

Simon Hodgson
quelle
Zur Kenntnis genommen! Aus diesem Grund scannen wir die Medien von Drittanbietern offline, bevor sie in die Kernumgebung eingebunden werden.
Ludwi
3

Sie können jederzeit iptables verwenden , um die genauen Quell- / Ziel-IP: Port-Paare zu konfigurieren, die Sie offen halten möchten.

Auf diese Weise können Sie auch dann sicherstellen, dass nur vertrauenswürdige IP-Adressen und korrekte Anmeldeinformationen Zugriff auf den Server haben, wenn der Zugriff über das WAN erfolgt.

Darüber hinaus können Sie auch ein privat-öffentliches ssh-Schlüsselpaar verwenden , das nur von Ihnen beiden gemeinsam genutzt werden kann.

MN
quelle
2

Alle Ihre Server sollten sich entweder in einer DMZ oder zumindest hinter einer Firewall befinden. Nahezu jede Firewall kann so konfiguriert werden, dass von jedem dieser Server ausgehende Verbindungen zugelassen werden (sodass sie selbst nach Sicherheitspatches und anderen Updates suchen und diese herunterladen können). Und dann liegt es an Ihren Systemadministratoren, die Firewall so zu konfigurieren, dass einige sehr spezifische eingehende Verbindungen zulässig sind. Wenn sie nur für gelegentliche Wartungsarbeiten benötigt werden, können sie nach Abschluss der Wartung deaktiviert werden.

Für diesen Job verwenden wir Linux-Gateways und für die Firewall iptables. Ihre Standardhardware-Firewalls funktionieren jedoch genauso.

wolfgangsz
quelle
2

Die Frage ist: Besteht das Risiko, dass Produktionsserver HTTP / S-Verbindungen zum Internet zulassen. Die kurze Antwort lautet NEIN. Je länger die Antwort ist, desto geringer ist das Sicherheitsrisiko, sodass die Kosten (in Bezug auf die Zeit) für die Verwaltung dieser Server überwiegen.

Berücksichtigen Sie die Risiken des Zugriffs:

  1. Ein Administrator lädt schädliche Software aus dem Internet auf den Server herunter
  2. Ein kompromittierter Server lädt zusätzlichen Virencode herunter oder lädt vertrauliche Informationen ins Internet hoch

Der erste Punkt bestand darin, den Internetzugang auf bekannte Websites einzuschränken und im Idealfall das Surfen im Internet überhaupt nicht zuzulassen. Darüber hinaus haben Ihre Administratoren ein gewisses Vertrauen, dass sie nicht böswillig handeln.

In Bezug auf den zweiten Punkt ist zu bedenken, dass der Server bereits in irgendeiner Weise kompromittiert wurde, ob ein Internetzugang verfügbar ist oder nicht, ein Streitpunkt. Der Angreifer hat bereits eine Möglichkeit gefunden, Code auf Ihre Systeme zu übertragen. Dies bedeutet, dass er zusätzlichen Code auf dieses System übertragen oder Daten von diesem abrufen kann.

Offensichtlich kann dies alles von bestimmten Umständen abhängen (wie dem Erfüllen bestimmter Kunden- oder behördlicher Anforderungen).

Doug Luxem
quelle
0

Welche Art von Verbindung benötigen diese Server?

Wenn es sich nur um eine HTTP-Verbindung zur Oracle-Website handelt, verwenden Sie dann Web-Proxys.

Benoit
quelle
0

VPN-Zugang ist die beste Wahl!

Antoine Benkemoun
quelle
0

Antwort 1 ist theoretisch die beste - die Sicherheitsstufe des Netzwerks entspricht der Sicherheitsstufe des schwächsten Computers, der mit diesem Netzwerk verbunden ist

Eine praktische Herangehensweise wäre aus meiner Sicht:

  • internes Netzwerk aufgeteilt in dot1q Subnetze
  • Linux-Gateway -> Der gesamte Datenverkehr zwischen Subnetzen wird durch das Gateway geleitet und kann problemlos gesteuert werden.
  • externe verbindung nur über verschlüsseltes vpn (pptp mit mschap oder openvpn)
  • Core Server haben Zugang zum Internet nur nach Bedarf (Wartung, Download-Upgrades usw.) - auch der Zugang zu ihnen wird über das Gateway gesteuert - mit einer DROP-Richtlinie
quaie
quelle
-4

Auch wenn Sie für einige Server eine Internetverbindung zulassen, können sie OpenDNS als DNS-Server verwenden.

Adopilot
quelle
2
WTF? Wie ist das überhaupt relevant?
Ceejayoz
@ceejayoz entsprechend diesem serverfault.com/questions/6569/…
Adopilot
Sollten sie nicht die internen DNS-Server verwenden, die wiederum openDNS-Server verwenden könnten? Auf diese Weise müssen Sie nicht alle Verbindungen zwischen Ihren Core Servern mit IP-Adressen zuweisen und können stattdessen DNS-Namen verwenden.
MrTimpi
Ja, wenn sie interne DNS haben
Adopilot