क्या कोर सिस्टम सर्वर को रखरखाव / सहायता के लिए इंटरनेट से कनेक्ट करने में सक्षम होना चाहिए?

हमारे सर्वर के एक जोड़े के पास ओरेकल रखरखाव लाइसेंस है। हमारे हार्डवेयर विक्रेता ने पूछा कि सर्वर रूम में इंटरनेट कनेक्शन था। हमारी नीति यह है कि सुरक्षा कारणों से उस कमरे की सभी मशीनें इंटरनेट से अलग-थलग हैं। लेकिन रखरखाव वाले व्यक्ति ने पूछा "फिर हम आपके सर्वर पर रखरखाव का काम कैसे कर पाएंगे?"

मेरा सवाल है, क्या हमारे सर्वर को लाइसेंस सत्यापन प्रणाली की तरह रखरखाव के लिए इंटरनेट कनेक्शन की आवश्यकता होती है। या वह इसे ऑफ़लाइन कर सकता है? क्या यह अपने आप में एक जोखिम नहीं है अगर हमारे उत्पादन सर्वर के लिए एक इंटरनेट कनेक्शन था?

आपको आमतौर पर इंटरनेट से पैच डाउनलोड करने की आवश्यकता होगी, फिर उन्हें सर्वर पर लागू करें। हालाँकि इंटरनेट और डेटाबेस सर्वर के बीच जाने के लिए पैच को एक मध्यवर्ती स्थान (यहां तक ​​कि डीवीडी) पर कॉपी करने का एक मध्यवर्ती चरण होना उचित है।

यदि वे सर्वर रूम में एक अलग मशीन चाहते हैं जो इंटरनेट से कनेक्ट हो सकती है (जैसे पैच नोट्स पढ़ने के लिए), तो यह एक और विकल्प है।

अंत में, सर्वर पर चलने वाले ब्राउज़र में अंतर होता है जो इंटरनेट से कनेक्ट हो सकता है और सर्वर वास्तव में इंटरनेट से सर्वर के रूप में सुलभ हो सकता है।

यह सब इस बात पर निर्भर करता है कि आप कितना सुरक्षित होना चाहते हैं / होना चाहिए।

आपके सर्वर एक नेटवर्क से जुड़े हैं जिसमें इंटरनेट एक्सेस के साथ अन्य डिवाइस हैं। सही बात? मुझे यकीन है कि अन्य लोग असहमत होंगे, लेकिन मेरा मानना ​​है कि उन सर्वरों को डायरेक्ट इंटरनेट एक्सेस की अनुमति न देकर सुरक्षा का खर्च कुछ और की तुलना में अधिक भ्रामक है।

हम उन ग्राहकों के सर्वर पर बहुत अधिक रखरखाव करते हैं जिनकी इंटरनेट तक पहुंच नहीं है। हमें सीडी / यूएसबी स्टिक पर उस अपडेट के लिए सभी अपडेट / पैच / सॉफ्टवेयर लेने होंगे। (यूएसबी स्टिक / सीडी में लाने के लिए 3 पार्टियों की अनुमति देना अपने आप में एक सुरक्षा जोखिम है)

आप हमेशा सटीक स्रोत / गंतव्य IP कॉन्फ़िगर करने के लिए iptables का उपयोग कर सकते हैं : पोर्ट जोड़े जिन्हें आप खुला रखना चाहते हैं।

इस तरह, जब सर्वर WAN पर खोजा जाता है, तब भी आप यह सुनिश्चित कर सकते हैं कि केवल विश्वसनीय IPs + सही क्रेडेंशियल्स उस तक पहुंच प्राप्त करेंगे।

इसके अलावा आप एक निजी-सार्वजनिक ssh कुंजी जोड़ी का भी उपयोग कर सकते हैं , जिसे केवल आप दोनों के बीच साझा किया जा सकता है।

आपके सभी सर्वर या तो DMZ में होने चाहिए या कम से कम फ़ायरवॉल के पीछे होने चाहिए। बस के बारे में किसी भी फ़ायरवॉल को इनमें से किसी भी सर्वर से आउटगोइंग कनेक्शन की अनुमति देने के लिए कॉन्फ़िगर किया जा सकता है (ताकि वे सुरक्षा पैच और स्वयं पर अन्य अपडेट डाउनलोड कर सकें)। और फिर यह आपके सिस्टम पर निर्भर करता है कि फ़ायरवॉल को कॉन्फ़िगर करने के लिए ऐसे कुछ, बहुत विशिष्ट अंतर्ग्रहण कनेक्शन की अनुमति है। यदि उन्हें केवल कभी-कभी रखरखाव की आवश्यकता होती है, तो रखरखाव समाप्त होने के बाद उन्हें अक्षम किया जा सकता है।

हम इस काम के लिए लिनक्स गेटवे का उपयोग करते हैं, फ़ायरवॉल के लिए iptables के साथ। हालाँकि, आपके मानक हार्डवेयर फ़ायरवॉल बिल्कुल वैसा ही करेंगे।

सवाल यह है कि क्या उत्पादन सर्वर को इंटरनेट से HTTP / S कनेक्शन आउटबाउंड की अनुमति देने में जोखिम है। संक्षिप्त जवाब नहीं है। लंबे समय तक जवाब है कि सुरक्षा जोखिम इतना कम है कि यह उन सर्वरों को प्रबंधित करने के लिए लागत (समय के संदर्भ में) से आगे निकल जाता है।

उपयोग की अनुमति देने के जोखिमों पर विचार करें:

1. एक व्यवस्थापक दुर्भावनापूर्ण सॉफ़्टवेयर को इंटरनेट पर सर्वर से डाउनलोड करता है
2. एक समझौता किया हुआ सर्वर अतिरिक्त वायरस कोड डाउनलोड करता है या इंटरनेट पर गोपनीय जानकारी अपलोड करता है

पहला बिंदु यह ज्ञात साइटों तक इंटरनेट पहुंच को सीमित करके, और आदर्श रूप से वेब ब्राउज़िंग की अनुमति नहीं देता है। इसके अतिरिक्त, दुर्भावनापूर्ण तरीके से कार्य न करने के लिए आपके व्यवस्थापकों पर एक निश्चित विश्वास है।

दूसरे बिंदु पर, यह देखते हुए कि सर्वर पहले से ही कुछ फैशन में समझौता किया गया था, इंटरनेट एक्सेस उपलब्ध है या नहीं यह एक म्यूट पॉइंट है। हमलावर ने पहले से ही आपके सिस्टम पर कोड प्राप्त करने का एक तरीका ढूंढ लिया है जिसका अर्थ है कि वे उस सिस्टम पर अतिरिक्त कोड प्राप्त कर सकते हैं या इससे डेटा पुनर्प्राप्त कर सकते हैं।

जाहिर है, यह सभी विशिष्ट परिस्थितियों (जैसे कुछ ग्राहक या नियामक आवश्यकताओं को पूरा करना) पर निर्भर हो सकता है।

उन सर्वरों को किस प्रकार के कनेक्शन की आवश्यकता है?

यदि यह ओरेकल वेबसाइट का केवल एक HTTP कनेक्शन है, तो आप उन्हें वेब-प्रॉक्सी का उपयोग क्यों नहीं करते हैं?

वीपीएन एक्सेस आपकी सबसे अच्छी शर्त है!

उत्तर # 1 सिद्धांत के संदर्भ में सबसे अच्छा है - नेटवर्क का सुरक्षा स्तर उस नेटवर्क से जुड़े सबसे कमजोर कंप्यूटर के सुरक्षा स्तर के बराबर है

मेरे दृष्टिकोण में दृष्टिकोण पर एक हाथ होगा:

• dot1q सबनेट में आंतरिक नेटवर्क विभाजित
• linux gateway -> सबनेट के बीच का सारा ट्रैफ़िक इससे होकर गुजरता है और इसे आसानी से नियंत्रित किया जा सकता है (और वास्तव में, केवल आवश्यक एप्लिकेशन पोर्ट और क्लाइंट के लिए कोर सर्वर तक पहुंच के साथ)
• केवल एन्क्रिप्टेड vpn (mschap या Openvpn के साथ पीपीपी) के माध्यम से बनाया गया बाहरी कनेक्शन
• कोर सर्वर के पास इंटरनेट पर केवल "आधार" (मेनटेनेंट, डाउनलोड अपग्रेड आदि) की आवश्यकता होती है - यह भी कहा जाता है कि उन्हें गेटवे के माध्यम से कॉन्ट्रैक्ट किया जाता है - DROP पॉलिसी के साथ

यहां तक ​​कि अगर आप कुछ सर्वरों के लिए इंटरनेट कनेक्शन की अनुमति देते हैं, तो वे OpenDNS का उपयोग अपने DNS सर्वर के रूप में करते हैं।