Os servidores do sistema central devem poder conectar-se à Internet para manutenção / suporte?

Navegue suas respostas
18

Alguns de nossos servidores possuem licenças de manutenção da Oracle. Nosso fornecedor de hardware pediu que houvesse conexão com a Internet na sala do servidor. Nossa política é que todas as máquinas da sala sejam isoladas da Internet por motivos de segurança. Mas o cara da manutenção perguntou "então como poderemos fazer o trabalho de manutenção em seus servidores?"

Minha pergunta é: nossos servidores precisam de conexão com a Internet para que a manutenção seja realizada como um sistema de verificação de licença. Ou ele pode fazer isso offline? Não é um risco em si mesmo se houvesse uma conexão com a Internet para o nosso servidor de produção?

    
por Ludwi 24.08.2009 / 09:09

10 respostas

9

Você geralmente precisa baixar os patches da internet e depois aplicá-los ao servidor. No entanto, é razoável ter uma etapa intermediária de copiar os patches para um local intermediário (até mesmo um DVD) para ir entre a Internet e os servidores de banco de dados.

Se eles querem apenas uma máquina separada na sala de servidores que possa se conectar à internet (por exemplo, para ler notas de correção), essa é outra opção.

Finalmente, há uma diferença entre ter um navegador em execução no servidor que possa se conectar à Internet e ter o servidor realmente acessível como um servidor da Internet.

Tudo depende de quão seguro você deseja / precisa ser.

    
por 24.08.2009 / 09:49
11

Seus servidores estão conectados a uma rede que possui outros dispositivos com acesso à Internet. Corrigir? Tenho certeza de que os outros vão discordar, mas acredito que a segurança oferecida por não permitir a esses servidores acesso direto à Internet é mais ilusória do que qualquer outra coisa.

    
por 24.08.2009 / 09:54
3

Fazemos muita manutenção em servidores de clientes que não têm acesso à internet. Temos que tomar todas as atualizações / patches / software que precisamos para essa visita no CD / USB Stick. (Permitir que terceiros forneçam pen drives / CDs é um risco de segurança próprio)

    
por 24.08.2009 / 13:02
3

Você sempre pode usar iptables para configurar o IP de origem / destino exato: Pares de porta que você deseja manter abertos.

Dessa forma, mesmo quando o servidor é divulgado pela WAN, você pode garantir que apenas credenciais corretas de IPs + obtenham acesso a ele.

Além disso, você também pode usar um par de chaves ssh público-privado , que pode ser compartilhado apenas entre os dois.

    
por 24.08.2009 / 09:52
2

Todos os seus servidores devem estar em uma DMZ ou pelo menos atrás de um firewall. Quase qualquer firewall pode ser configurado para permitir conexões de saída de qualquer um desses servidores (para que eles possam verificar e baixar os patches de segurança e outras atualizações por conta própria). E, então, cabe aos administradores do sistema configurar o firewall de forma que algumas conexões de entrada muito específicas sejam permitidas. Se eles são necessários apenas para manutenção ocasional, eles podem ser desativados assim que a manutenção for concluída.

Nós usamos gateways Linux para este trabalho, com iptables para o firewall. No entanto, seus firewalls de hardware padrão farão exatamente o mesmo.

    
por 24.08.2009 / 10:54
2

A questão é: existe o risco de permitir que servidores de produção tenham conexões HTTP / S de saída para a Internet? A resposta curta é não. A resposta mais longa é que o risco de segurança é tão mínimo que supera o custo (em termos de tempo) de gerenciar esses servidores.

Considere os riscos de permitir acesso:

  1. Um administrador faz o download de software mal-intencionado da Internet para o servidor
  2. Um servidor comprometido faz o download de um código adicional de vírus ou envia informações confidenciais para a Internet

O primeiro ponto foi mitigado restringindo o acesso à Internet a sites conhecidos e, idealmente, não permitindo a navegação na web. Além disso, há uma certa confiança em seus administradores para não agir de maneira mal-intencionada.

No segundo ponto, considerando que o servidor já estava comprometido de alguma forma, o acesso à Internet está disponível ou não é um ponto discutível. O invasor já encontrou uma maneira de obter código nos seus sistemas, o que significa que eles podem obter código adicional para esse sistema ou recuperar dados dele.

Obviamente, tudo isso pode depender de circunstâncias específicas (como atender a determinados requisitos do cliente ou regulamentares).

    
por 28.08.2009 / 21:44
0

De que tipo de conexão esses servidores precisam?

Se for apenas uma conexão HTTP com o site da Oracle, por que você não os faz usar proxies da web?

    
por 24.08.2009 / 10:59
0

O acesso VPN é a sua melhor aposta!

    
por 24.08.2009 / 13:04
0

a resposta # 1 é a melhor em termos teóricos - o nível de segurança da rede é igual ao nível de segurança do computador mais fraco conectado a essa rede

uma abordagem prática seria, no meu ponto de vista:

  • divisão de rede interna em sub-redes dot1q
  • gateway do Linux - > todo o tráfego entre sub-redes passa por ele e pode ser controlado facilmente (e na verdade é, com acesso a servidores centrais apenas para portas e clientes de aplicativos necessários)
  • conexão externa feita somente via VPN criptografada (pptp com mschap ou openvpn)
  • servidores centrais têm acesso à internet apenas em uma base de "necessidade" (manutenção, download de atualizações, etc.) - também acesso a eles é feito através do gateway - com uma política DROP
por 25.08.2009 / 11:53
-4

Mesmo que você permita a conexão com a internet para alguns servidores, use OpenDNS como seu servidor DNS.

    
por 24.08.2009 / 10:14

Tags

como iniciar automaticamente o openvpn (cliente) no Ubuntu 12.04 cli? Como permitir o balanceador de carga elástico através da porta 80 em grupos de segurança?