क्या कोर सिस्टम सर्वर को रखरखाव / सहायता के लिए इंटरनेट से कनेक्ट करने में सक्षम होना चाहिए?


18

हमारे सर्वर के एक जोड़े के पास ओरेकल रखरखाव लाइसेंस है। हमारे हार्डवेयर विक्रेता ने पूछा कि सर्वर रूम में इंटरनेट कनेक्शन था। हमारी नीति यह है कि सुरक्षा कारणों से उस कमरे की सभी मशीनें इंटरनेट से अलग-थलग हैं। लेकिन रखरखाव वाले व्यक्ति ने पूछा "फिर हम आपके सर्वर पर रखरखाव का काम कैसे कर पाएंगे?"

मेरा सवाल है, क्या हमारे सर्वर को लाइसेंस सत्यापन प्रणाली की तरह रखरखाव के लिए इंटरनेट कनेक्शन की आवश्यकता होती है। या वह इसे ऑफ़लाइन कर सकता है? क्या यह अपने आप में एक जोखिम नहीं है अगर हमारे उत्पादन सर्वर के लिए एक इंटरनेट कनेक्शन था?


वाह, वास्तव में अच्छा सवाल! +1
l0c0b0x

जवाबों:


9

आपको आमतौर पर इंटरनेट से पैच डाउनलोड करने की आवश्यकता होगी, फिर उन्हें सर्वर पर लागू करें। हालाँकि इंटरनेट और डेटाबेस सर्वर के बीच जाने के लिए पैच को एक मध्यवर्ती स्थान (यहां तक ​​कि डीवीडी) पर कॉपी करने का एक मध्यवर्ती चरण होना उचित है।

यदि वे सर्वर रूम में एक अलग मशीन चाहते हैं जो इंटरनेट से कनेक्ट हो सकती है (जैसे पैच नोट्स पढ़ने के लिए), तो यह एक और विकल्प है।

अंत में, सर्वर पर चलने वाले ब्राउज़र में अंतर होता है जो इंटरनेट से कनेक्ट हो सकता है और सर्वर वास्तव में इंटरनेट से सर्वर के रूप में सुलभ हो सकता है।

यह सब इस बात पर निर्भर करता है कि आप कितना सुरक्षित होना चाहते हैं / होना चाहिए।


11

आपके सर्वर एक नेटवर्क से जुड़े हैं जिसमें इंटरनेट एक्सेस के साथ अन्य डिवाइस हैं। सही बात? मुझे यकीन है कि अन्य लोग असहमत होंगे, लेकिन मेरा मानना ​​है कि उन सर्वरों को डायरेक्ट इंटरनेट एक्सेस की अनुमति न देकर सुरक्षा का खर्च कुछ और की तुलना में अधिक भ्रामक है।


7
+1 - वहाँ जब तक वास्तव में "मूल" और नेटवर्क के बाकी (जो पहली जगह में एक नेटवर्क होने के उद्देश्य को हराने के लिए प्रतीत होता है) "मूल" के बीच एक हवा खाई है "इंटरनेट से कनेक्ट"। इस तरह की एक connecection फायरवॉल, उपयोग सूचियों, आदि द्वारा arbitrated किया जाना चाहिए, लेकिन यह है "इंटरनेट से कनेक्ट"। यह कहने के बाद, यहाँ वास्तविक चर्चा उन सर्वरों तक पहुँच और उन तंत्रों को कॉन्फ़िगर करने से जुड़े नियमों और उपयोग किए जाने वाले तंत्रों की मध्यस्थता के बारे में होनी चाहिए।
इवान एंडरसन

अच्छा जवाब :-)
MN

3
कंपनी सुरक्षा के बारे में पागल है। तथ्य की बात के रूप में, कोर नेटवर्क और कार्यालय के बाकी हिस्सों के बीच एक वास्तविक भौतिक अंतर है। कोर नेटवर्क में मशीनें हास्यास्पद रूप से इंटरनेट से डिस्कनेक्ट हो गई हैं। कुछ लोगों के पास 2 कंप्यूटर भी अपने डेस्क हैं; 1 नियमित उपयोग के लिए, दूसरा कोर सिस्टम के कनेक्शन के साथ।
लुडवी

3

हम उन ग्राहकों के सर्वर पर बहुत अधिक रखरखाव करते हैं जिनकी इंटरनेट तक पहुंच नहीं है। हमें सीडी / यूएसबी स्टिक पर उस अपडेट के लिए सभी अपडेट / पैच / सॉफ्टवेयर लेने होंगे। (यूएसबी स्टिक / सीडी में लाने के लिए 3 पार्टियों की अनुमति देना अपने आप में एक सुरक्षा जोखिम है)


प्रसिद्घ! यही कारण है कि हम उन्हें कोर वातावरण में प्लग करने की अनुमति देने से पहले तीसरे पक्ष के मीडिया के ऑफ़लाइन स्कैन करते हैं।
लुडवी

3

आप हमेशा सटीक स्रोत / गंतव्य IP कॉन्फ़िगर करने के लिए iptables का उपयोग कर सकते हैं : पोर्ट जोड़े जिन्हें आप खुला रखना चाहते हैं।

इस तरह, जब सर्वर WAN पर खोजा जाता है, तब भी आप यह सुनिश्चित कर सकते हैं कि केवल विश्वसनीय IPs + सही क्रेडेंशियल्स उस तक पहुंच प्राप्त करेंगे।

इसके अलावा आप एक निजी-सार्वजनिक ssh कुंजी जोड़ी का भी उपयोग कर सकते हैं , जिसे केवल आप दोनों के बीच साझा किया जा सकता है।


2

आपके सभी सर्वर या तो DMZ में होने चाहिए या कम से कम फ़ायरवॉल के पीछे होने चाहिए। बस के बारे में किसी भी फ़ायरवॉल को इनमें से किसी भी सर्वर से आउटगोइंग कनेक्शन की अनुमति देने के लिए कॉन्फ़िगर किया जा सकता है (ताकि वे सुरक्षा पैच और स्वयं पर अन्य अपडेट डाउनलोड कर सकें)। और फिर यह आपके सिस्टम पर निर्भर करता है कि फ़ायरवॉल को कॉन्फ़िगर करने के लिए ऐसे कुछ, बहुत विशिष्ट अंतर्ग्रहण कनेक्शन की अनुमति है। यदि उन्हें केवल कभी-कभी रखरखाव की आवश्यकता होती है, तो रखरखाव समाप्त होने के बाद उन्हें अक्षम किया जा सकता है।

हम इस काम के लिए लिनक्स गेटवे का उपयोग करते हैं, फ़ायरवॉल के लिए iptables के साथ। हालाँकि, आपके मानक हार्डवेयर फ़ायरवॉल बिल्कुल वैसा ही करेंगे।


2

सवाल यह है कि क्या उत्पादन सर्वर को इंटरनेट से HTTP / S कनेक्शन आउटबाउंड की अनुमति देने में जोखिम है। संक्षिप्त जवाब नहीं है। लंबे समय तक जवाब है कि सुरक्षा जोखिम इतना कम है कि यह उन सर्वरों को प्रबंधित करने के लिए लागत (समय के संदर्भ में) से आगे निकल जाता है।

उपयोग की अनुमति देने के जोखिमों पर विचार करें:

  1. एक व्यवस्थापक दुर्भावनापूर्ण सॉफ़्टवेयर को इंटरनेट पर सर्वर से डाउनलोड करता है
  2. एक समझौता किया हुआ सर्वर अतिरिक्त वायरस कोड डाउनलोड करता है या इंटरनेट पर गोपनीय जानकारी अपलोड करता है

पहला बिंदु यह ज्ञात साइटों तक इंटरनेट पहुंच को सीमित करके, और आदर्श रूप से वेब ब्राउज़िंग की अनुमति नहीं देता है। इसके अतिरिक्त, दुर्भावनापूर्ण तरीके से कार्य न करने के लिए आपके व्यवस्थापकों पर एक निश्चित विश्वास है।

दूसरे बिंदु पर, यह देखते हुए कि सर्वर पहले से ही कुछ फैशन में समझौता किया गया था, इंटरनेट एक्सेस उपलब्ध है या नहीं यह एक म्यूट पॉइंट है। हमलावर ने पहले से ही आपके सिस्टम पर कोड प्राप्त करने का एक तरीका ढूंढ लिया है जिसका अर्थ है कि वे उस सिस्टम पर अतिरिक्त कोड प्राप्त कर सकते हैं या इससे डेटा पुनर्प्राप्त कर सकते हैं।

जाहिर है, यह सभी विशिष्ट परिस्थितियों (जैसे कुछ ग्राहक या नियामक आवश्यकताओं को पूरा करना) पर निर्भर हो सकता है।


0

उन सर्वरों को किस प्रकार के कनेक्शन की आवश्यकता है?

यदि यह ओरेकल वेबसाइट का केवल एक HTTP कनेक्शन है, तो आप उन्हें वेब-प्रॉक्सी का उपयोग क्यों नहीं करते हैं?



0

उत्तर # 1 सिद्धांत के संदर्भ में सबसे अच्छा है - नेटवर्क का सुरक्षा स्तर उस नेटवर्क से जुड़े सबसे कमजोर कंप्यूटर के सुरक्षा स्तर के बराबर है

मेरे दृष्टिकोण में दृष्टिकोण पर एक हाथ होगा:

  • dot1q सबनेट में आंतरिक नेटवर्क विभाजित
  • linux gateway -> सबनेट के बीच का सारा ट्रैफ़िक इससे होकर गुजरता है और इसे आसानी से नियंत्रित किया जा सकता है (और वास्तव में, केवल आवश्यक एप्लिकेशन पोर्ट और क्लाइंट के लिए कोर सर्वर तक पहुंच के साथ)
  • केवल एन्क्रिप्टेड vpn (mschap या Openvpn के साथ पीपीपी) के माध्यम से बनाया गया बाहरी कनेक्शन
  • कोर सर्वर के पास इंटरनेट पर केवल "आधार" (मेनटेनेंट, डाउनलोड अपग्रेड आदि) की आवश्यकता होती है - यह भी कहा जाता है कि उन्हें गेटवे के माध्यम से कॉन्ट्रैक्ट किया जाता है - DROP पॉलिसी के साथ

-4

यहां तक ​​कि अगर आप कुछ सर्वरों के लिए इंटरनेट कनेक्शन की अनुमति देते हैं, तो वे OpenDNS का उपयोग अपने DNS सर्वर के रूप में करते हैं।


2
WTF? यह सब कैसे प्रासंगिक है?
ceejayoz


वे आंतरिक डीएनएस सर्वर का उपयोग नहीं करते हैं जो ओपनडएनएस सर्वर का उपयोग कर सकते हैं? इस तरह से आपको आईपी एडेयर्स के साथ कोर सर्वर के बीच सभी कनेक्शन आवंटित करने की आवश्यकता नहीं है, और इसके बजाय DNS नामों का उपयोग कर सकते हैं।
MrTimpi

हां यदि उनके पास आंतरिक DNS है
गोद लें
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.