ฉันจะรักษาความปลอดภัยกล่องระยะไกล / ผู้ใช้ของฉันได้อย่างไร?

2

ฉันจะเอาต์ซอร์ซงานพัฒนาบางอย่างให้คนแปลกหน้า ฉันต้องการจะยกเลิกการตั้งค่าและสิ่งที่ฉันทำไปแล้วเพื่อใช้มาตรการป้องกันไว้ก่อน ฉันหวังว่าคุณทุกคนสามารถให้คำแนะนำเพิ่มเติม gotchas หรือสิ่งที่ต้องพิจารณาเพิ่มเติม

  • เซิร์ฟเวอร์กำลังใช้งาน Windows 7 Ultimate
  • ฉันอยู่หลังเราเตอร์ Linksys
  • ฉันติดตั้งซอฟต์แวร์ป้องกันไวรัส AVG รุ่นฟรีแล้ว
  • remoting นักพัฒนาลงในเซิร์ฟเวอร์จะมีสิทธิ์ 'ผู้ใช้' และจะต้องมีชื่อผู้ใช้และรหัสผ่าน
  • ฉันใช้บริการ DynDNS ฟรีและแอปพลิเคชันไคลเอนต์เพื่อจัดการ URL คงที่สำหรับการเข้าถึง
  • การตั้งค่าความปลอดภัยเริ่มต้นของ Windows ที่: ไฟร์วอลล์, uac, เป็นต้น
  • พีซีอื่น ๆ ในเครือข่ายได้รับการป้องกันด้วยรหัสผ่าน
  • สภาพแวดล้อมของซอร์สโค้ดจะอยู่ในแซนด์บ็อกซ์: ไม่มีสตริงการเชื่อมต่อสดข้อมูลหรือความสามารถ ftp ฉันจะมอบหมายงานให้กับ QA และปล่อยซอฟต์แวร์ใหม่

การตั้งค่านี้เป็นอย่างไร สิ่งที่คุณจะทำแตกต่างกันอย่างไร เกิดอะไรขึ้นถ้าฉันควรทำอะไรที่แตกต่างเพื่อปกป้องเครื่องและเครือข่ายของฉัน

ขอบคุณ

windows-7  networking  security  remote-desktop  home-server 
ไมค์
แหล่งที่มา

คำตอบ:

2

ขึ้นอยู่กับทักษะของ "คนแปลกหน้า" คุณไม่สามารถมั่นใจได้เลย ฉันจะสะท้อนเซสชันของเขาและเฝ้าดูสิ่งที่เขาทำบันทึกหน้าจอ (นานแค่ไหนที่เขาจะทำงานเรื่องนี้?) อย่างไรก็ตามวิธีที่ดีที่สุดคือการสร้าง "แซนด์บ็อกซ์" สภาพแวดล้อมเสมือนจริงเพื่อให้เขาสามารถเล่นและพัฒนางานได้ หรือให้เขาพัฒนาเครื่องจักรด้วยตนเองและเมื่อเขาทำเสร็จเขาควรมอบงานให้คุณและคุณนำมันไปใช้กับเครื่องผลิต

เจ Sidhu
แหล่งที่มา
บางทีคุณสามารถขยายเล็กน้อยในสภาพแวดล้อมเสมือนจริงได้หรือไม่? หรือทำมิเรอร์เซสชัน
ไมค์
สภาพแวดล้อมเสมือน - ลองใช้เซิร์ฟเวอร์ vmware, virtualbox, xen และอื่น ๆ จำกัด ผู้ใช้ในสภาพแวดล้อมเสมือนดังนั้นคุณสามารถถ่ายภาพได้อย่างสม่ำเสมอ (หากคุณจำเป็นต้องเปลี่ยนกลับเป็นบางสิ่ง) การทำมิรเรอร์เซสชัน - ทั้งหมดขึ้นอยู่กับการตั้งค่าของคุณ แต่ VNC อาจช่วยได้? หรืออาจจะใช้ไดรเวอร์กระจกแสดงผลอื่นบ้าง
J Sidhu
นอกจากนี้ให้จับตาดูการเชื่อมต่อที่จัดตั้งขึ้นก่อนและหลังงานเสร็จสิ้น คุณไม่ต้องการให้เขาใช้บริการลับๆ ใช้ netstat หรือเครื่องมือความปลอดภัยเครือข่ายอื่น ๆ ฉันจะ enocurage IDS (ระบบตรวจจับการบุกรุก) เพื่อให้คุณสามารถแคตตาล็อกไฟล์ใดถ้ามีการเปลี่ยนแปลง ฉันคิดว่านี่เป็นสิ่งที่จำเป็นถ้าคุณต้องการให้คนแปลกหน้าเข้าสู่ระบบของคุณ
J Sidhu
ขอบคุณ - ฉันจะดูในเซิร์ฟเวอร์ vmware ตอนนี้เช่นเดียวกับ vpn / rdp
ไมค์
1

ฉันขอแนะนำให้เรียกใช้คอมพิวเตอร์แยกต่างหาก (เสมือนหรือทางกายภาพ) และเปลี่ยนเส้นทางการเชื่อมต่อขาเข้ากับช่องนี้ หากการเชื่อมต่อขาเข้าจะถูกใช้ร่วมกันระหว่างคุณและผู้พัฒนาอาจเป็นการเชื่อมต่อ DSL แยกต่างหากหรือที่อยู่ IP อื่น การป้องกันรหัสผ่านอาจไม่เพียงพอ หากคุณต้องการความปลอดภัยจริงๆฉันจะวางคอมพิวเตอร์ของนักพัฒนาในการเชื่อมต่อเครือข่ายที่แยกต่างหากภายในเช่นกัน หากคุณต้องการแชร์ไฟล์ระหว่างคอมพิวเตอร์เครื่องอื่นของคุณกับพีซีของผู้พัฒนาคุณอาจมีการเชื่อมต่อแบบคู่บนคอมพิวเตอร์ / เซิร์ฟเวอร์ที่แชร์ไฟล์รวมถึงพีซีของนักพัฒนาซอฟต์แวร์

อีกสิ่งที่คุณสามารถทำได้คือเปลี่ยน IP จริงและ netmask ของคอมพิวเตอร์ของผู้พัฒนาดังนั้น IP ของเราเตอร์และคอมพิวเตอร์ของนักพัฒนาอยู่ใกล้กันมากเช่น 192.168.1.12 (เราเตอร์) และ 192.168.1.13 (ผู้พัฒนา) จากนั้นบังคับให้ netmask หรือ 255.255.255.252 เป็นต้น ซึ่งหมายความว่าจากพีซีผู้พัฒนาสามารถเข้าถึงเราเตอร์ได้เท่านั้นไม่มีอะไรอื่น ตรวจสอบให้แน่ใจว่านักพัฒนาซอฟต์แวร์ไม่สามารถเปลี่ยนการกำหนดค่าดังกล่าวได้หากเขาเคยรู้เรื่องนี้มาก่อน ฉันรู้ว่านี่คือ "การรักษาความปลอดภัยผ่านความสับสน" แต่ทุกบิตช่วย

jfmessier
แหล่งที่มา
OP ถามถึงวิธีการรักษาความปลอดภัยของระบบจากผู้พัฒนาไม่ใช่การสร้างโลก ดังนั้นส่วนที่สองของคำตอบของคุณจึงไม่มีผล
J Sidhu
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.