เซิร์ฟเวอร์ระบบหลักควรสามารถเชื่อมต่ออินเทอร์เน็ตเพื่อบำรุงรักษา / สนับสนุนได้หรือไม่

18

เซิร์ฟเวอร์ของเราสองสามเครื่องมีใบอนุญาตการบำรุงรักษาของ Oracle ผู้จำหน่ายฮาร์ดแวร์ของเราถามว่ามีการเชื่อมต่ออินเทอร์เน็ตในห้องเซิร์ฟเวอร์ นโยบายของเราคือเครื่องทั้งหมดในห้องนั้นแยกจากอินเทอร์เน็ตเพื่อเหตุผลด้านความปลอดภัย แต่คนบำรุงรักษาถามว่า "ถ้าอย่างนั้นเราจะสามารถบำรุงรักษาเซิร์ฟเวอร์ของคุณได้อย่างไร"

คำถามของฉันคือเซิร์ฟเวอร์ของเราต้องการการเชื่อมต่ออินเทอร์เน็ตหรือไม่เพื่อให้การบำรุงรักษาทำได้เหมือนระบบตรวจสอบใบอนุญาต หรือเขาสามารถทำออฟไลน์ได้ มันมีความเสี่ยงหรือไม่หากมีการเชื่อมต่ออินเทอร์เน็ตกับเซิร์ฟเวอร์ที่ใช้งานจริงของเรา

oracle maintenance security

— Ludwi
แหล่งที่มา

ว้าวคำถามที่ดีจริงๆ! +1

— l0c0b0x

9

โดยทั่วไปคุณจะต้องดาวน์โหลดแพตช์จากอินเทอร์เน็ตจากนั้นนำไปใช้กับเซิร์ฟเวอร์ อย่างไรก็ตามมีเหตุผลที่จะมีขั้นตอนกลางในการคัดลอกแพ็ตช์ไปยังตำแหน่งกลาง (แม้กระทั่งดีวีดี) เพื่อไประหว่างอินเทอร์เน็ตและเซิร์ฟเวอร์ฐานข้อมูล

หากพวกเขาต้องการเครื่องแยกต่างหากในห้องเซิร์ฟเวอร์ที่สามารถเชื่อมต่ออินเทอร์เน็ต (เช่นสำหรับการอ่านบันทึกย่อของแพทช์) นั่นเป็นอีกทางเลือกหนึ่ง

ท้ายที่สุดมีความแตกต่างระหว่างการมีเบราว์เซอร์ที่ทำงานบนเซิร์ฟเวอร์ที่สามารถเชื่อมต่ออินเทอร์เน็ตและการเข้าถึงเซิร์ฟเวอร์จริง ๆ เป็นเซิร์ฟเวอร์จากอินเทอร์เน็ต

ทุกอย่างขึ้นอยู่กับความปลอดภัยที่คุณต้องการ / จำเป็น

— แกรี่
แหล่งที่มา

11

เซิร์ฟเวอร์ของคุณเชื่อมต่อกับเครือข่ายที่มีอุปกรณ์อื่นที่สามารถเข้าถึงอินเทอร์เน็ต แก้ไข? ฉันแน่ใจว่าคนอื่นจะไม่เห็นด้วย แต่ฉันเชื่อว่าการรักษาความปลอดภัยที่จ่ายโดยการไม่อนุญาตให้เซิร์ฟเวอร์เหล่านั้นเข้าถึงอินเทอร์เน็ตโดยตรงนั้นเป็นภาพลวงตามากกว่าสิ่งอื่นใด

— John Gardeniers
แหล่งที่มา

7

+1 - หากไม่มีช่องว่างอากาศระหว่าง "คอร์" และส่วนที่เหลือของเครือข่าย (ซึ่งดูเหมือนว่าจะเอาชนะวัตถุประสงค์ของการมีเครือข่ายในตอนแรก) "คอร์" คือ "เชื่อมต่อกับอินเทอร์เน็ต" connecection ดังกล่าวควรถูกกำหนดโดยไฟร์วอลล์รายการเข้าถึง ฯลฯ แต่มันคือ "เชื่อมต่อกับอินเทอร์เน็ต" ต้องบอกว่าการสนทนาจริงที่นี่ต้องเกี่ยวกับการเข้าถึงเซิร์ฟเวอร์เหล่านั้นและกลไกที่ใช้และกฏเกณฑ์ที่เกี่ยวข้องกับการกำหนดค่ากลไกเหล่านั้น

— Evan Anderson

คำตอบที่ดี :-)

— MN

3

บริษัท หวาดระแวงเกี่ยวกับความปลอดภัย ตามความเป็นจริงมีช่องว่างทางกายภาพจริงระหว่างเครือข่ายหลักและส่วนที่เหลือของสำนักงาน เครื่องในเครือข่ายหลักถูกตัดการเชื่อมต่อกับอินเทอร์เน็ตอย่างน่าขัน บางคนมีโต๊ะคอมพิวเตอร์ 2 เครื่อง 1 สำหรับการใช้งานปกติอื่น ๆ ที่มีการเชื่อมต่อกับระบบหลัก

— Ludwi

3

เราทำการบำรุงรักษาเซิร์ฟเวอร์ของลูกค้าจำนวนมากที่ไม่สามารถเข้าถึงอินเทอร์เน็ตได้ เราต้องทำการอัพเดท / แพตช์ / ซอฟต์แวร์ทั้งหมดที่เราต้องการสำหรับการเยี่ยมชมนั้นบนแผ่น CD / USB Stick (การอนุญาตให้บุคคลที่สามนำ USB sticks / CDs มาเสี่ยงต่อความปลอดภัยของตนเอง)

— Simon Hodgson
แหล่งที่มา

ข้อสังเกต! นี่คือเหตุผลที่เราทำการสแกนออฟไลน์ของสื่อบุคคลที่สามก่อนที่เราจะอนุญาตให้พวกเขาเสียบเข้ากับสภาพแวดล้อมหลัก

— Ludwi

3

คุณสามารถใช้iptablesเพื่อกำหนดค่า IP ต้นทาง / ปลายทางที่แน่นอนเสมอ: คู่ของพอร์ตที่คุณต้องการเปิดไว้

ด้วยวิธีนี้แม้ว่าเซิร์ฟเวอร์จะถูกอธิบายผ่าน WAN คุณอาจมั่นใจได้ว่าเฉพาะ IP ที่เชื่อถือได้และข้อมูลรับรองที่ถูกต้องเท่านั้นที่จะสามารถเข้าถึงได้

ยิ่งไปกว่านั้นคุณสามารถใช้คู่คีย์ ssh สาธารณะส่วนตัวเช่นกันซึ่งสามารถใช้ร่วมกันระหว่างคุณสองคนเท่านั้น

— มินนิโซตา
แหล่งที่มา

2

เซิร์ฟเวอร์ทั้งหมดของคุณควรอยู่ใน DMZ หรืออย่างน้อยด้านหลังไฟร์วอลล์ ไฟร์วอลล์เกือบทุกชนิดสามารถกำหนดค่าให้อนุญาตการเชื่อมต่อขาออกจากเซิร์ฟเวอร์เหล่านี้ (เพื่อให้สามารถตรวจสอบและดาวน์โหลดแพตช์ความปลอดภัยและการอัพเดทอื่น ๆ ด้วยตนเอง) จากนั้นขึ้นอยู่กับผู้ดูแลระบบของคุณในการกำหนดค่าไฟร์วอลล์เพื่ออนุญาตให้มีการเชื่อมต่อการเชื่อมต่อที่เฉพาะเจาะจงจำนวนน้อย ถ้าจำเป็นสำหรับการบำรุงรักษาเป็นครั้งคราวเท่านั้นพวกเขาสามารถปิดใช้งานได้เมื่อการบำรุงรักษาเสร็จสิ้น

เราใช้เกตเวย์ลินุกซ์สำหรับงานนี้ด้วย iptables สำหรับไฟร์วอลล์ อย่างไรก็ตามไฟร์วอลล์ฮาร์ดแวร์มาตรฐานของคุณจะทำสิ่งเดียวกัน

— wolfgangsz
แหล่งที่มา

2

คำถามคือ - มีความเสี่ยงในการอนุญาตให้เซิร์ฟเวอร์การผลิตมีการเชื่อมต่อ HTTP / S ขาออกไปยังอินเทอร์เน็ตหรือไม่ คำตอบสั้น ๆ คือไม่ คำตอบอีกต่อไปว่าความเสี่ยงด้านความปลอดภัยมีน้อยมากเมื่อเทียบกับค่าใช้จ่าย (ในแง่ของเวลา) ในการจัดการเซิร์ฟเวอร์เหล่านั้น

พิจารณาความเสี่ยงของการอนุญาตให้เข้าถึง:

ผู้ดูแลระบบดาวน์โหลดซอฟต์แวร์ที่เป็นอันตรายจากอินเทอร์เน็ตไปยังเซิร์ฟเวอร์
เซิร์ฟเวอร์ที่ถูกบุกรุกดาวน์โหลดรหัสไวรัสเพิ่มเติมหรืออัพโหลดข้อมูลที่เป็นความลับไปยังอินเทอร์เน็ต

จุดแรกมันลดลงโดยการ จำกัด การเข้าถึงอินเทอร์เน็ตไปยังเว็บไซต์ที่รู้จักและไม่ควรอนุญาตให้เรียกดูเว็บได้ทั้งหมด นอกจากนี้ยังมีความเชื่อมั่นในผู้ดูแลระบบของคุณที่จะไม่ดำเนินการในลักษณะที่เป็นอันตราย

ในจุดที่สองเมื่อพิจารณาว่าเซิร์ฟเวอร์ถูกโจมตีแล้วในบางกรณีไม่ว่าการเชื่อมต่ออินเทอร์เน็ตจะพร้อมใช้งานหรือไม่นั้นเป็นจุดที่สงสัย ผู้โจมตีพบวิธีในการรับรหัสไปยังระบบของคุณซึ่งหมายความว่าพวกเขาสามารถรับรหัสเพิ่มเติมไปยังระบบนั้นหรือดึงข้อมูลจากมัน

เห็นได้ชัดว่าทั้งหมดนี้อาจขึ้นอยู่กับสถานการณ์ที่เฉพาะเจาะจง (เช่นตอบสนองลูกค้าบางรายหรือข้อกำหนดด้านกฎระเบียบ)

— ดั๊กลักเซม
แหล่งที่มา

0

เซิร์ฟเวอร์เหล่านั้นต้องการการเชื่อมต่อประเภทใด

ถ้าเป็นเพียงการเชื่อมต่อ HTTP ไปยังเว็บไซต์ Oracle ทำไมคุณไม่ทำให้พวกเขาใช้เว็บพร็อกซี่?

— เบอนัวต์
แหล่งที่มา

0

การเข้าถึง VPN เป็นทางออกที่ดีที่สุดของคุณ!

— Antoine Benkemoun
แหล่งที่มา

0

คำตอบ # 1 เป็นคำศัพท์ทางทฤษฎีที่ดีที่สุด - ระดับความปลอดภัยของเครือข่ายเท่ากับระดับความปลอดภัยของคอมพิวเตอร์ที่อ่อนแอที่สุดที่เชื่อมต่อกับเครือข่ายนั้น

ในมุมมองของฉัน:

การแบ่งเครือข่ายภายในในซับเน็ต dot1q
linux gateway -> การรับส่งข้อมูลทั้งหมดระหว่างเครือข่ายย่อยผ่านและสามารถควบคุมได้อย่างง่ายดาย (และที่จริงแล้วคือการเข้าถึงเซิร์ฟเวอร์หลักสำหรับพอร์ตแอปพลิเคชันและไคลเอนต์ที่ต้องการเท่านั้น)
การเชื่อมต่อภายนอกทำผ่านการเข้ารหัส vpn เท่านั้น (pptp ด้วย mschap หรือ openvpn)
เซิร์ฟเวอร์หลักมีการเข้าถึงอินเทอร์เน็ตบนพื้นฐาน "ต้องการ" เท่านั้น (บำรุงรักษา, อัปเกรดดาวน์โหลด ฯลฯ ) - นอกจากนี้การเข้าถึงเหล่านั้นจะถูกควบคุมผ่านเกตเวย์ - ด้วยนโยบาย DROP

— quaie
แหล่งที่มา

-4

แม้ว่าคุณจะอนุญาตการเชื่อมต่ออินเทอร์เน็ตสำหรับเซิร์ฟเวอร์บางตัวให้พวกเขาใช้OpenDNSเป็นเซิร์ฟเวอร์ DNS

— adopilot
แหล่งที่มา

2

WTF? มันเกี่ยวข้องกันอย่างไร?

— ceejayoz

@ceejayoz เขียนถึงserverfault.com/questions/6569/…

— adopilot

พวกเขาไม่ควรใช้เซิร์ฟเวอร์ DNS ภายในที่อาจใช้เซิร์ฟเวอร์ openDNS ด้วยวิธีนี้คุณไม่จำเป็นต้องกำหนดการเชื่อมต่อทั้งหมดระหว่างเซิร์ฟเวอร์หลักของคุณด้วยที่อยู่ IP และสามารถใช้ชื่อ DNS แทน

— MrTimpi

ใช่ถ้าพวกเขามี DNS ภายใน

— adopilot