Qual é a maneira mais segura de administrar um firewall remotamente?

2

O que os seus administradores estão fazendo para garantir que sua capacidade de administração remota de um firewall seja a mais segura possível? Qual é a configuração mais segura que você tem, apenas usando a conexão do console e tendo que tocar fisicamente no firewall?

    
por GregD 24.10.2009 / 18:10

3 respostas

3

Ter uma Rede de Gerenciamento separada (isto é, isolada da produção) é geralmente um bom ponto de partida - coloque a porta de gerenciamento do Firewall nela e desative o gerenciamento de banda nas interfaces de produção, se possível. Além disso, se o seu hardware de firewall tiver algo semelhante a DRAC \ ILO \ RSA, ative-o e coloque-o em uma rede de gerenciamento independente também. Aplique também paranóia adequada em termos de gerenciamento do ciclo de vida da conta, imponha autenticação strong e direitos de acesso. E se alguém não estiver gerenciando ativamente, ou seja, monitorando o acesso a ele, mantendo-o totalmente corrigido e auditando as regras, você estará desperdiçando seu tempo.

O mais seguro que já vi simplesmente adiciona camadas - aplique o acima a dois (ou mais) firewalls independentes e mantenha as equipes gerenciando-as separadamente, incluindo a limitação do acesso físico. Custa muito para executar algo nesse nível de paranóia e seria um desperdício de recursos que poderiam ser usados de maneira mais produtiva em outros lugares para a maioria das organizações.

    
por 24.10.2009 / 18:35
1

Ative o registro de configuração , assim você pode ver o que mudou. Use a configuração de senha / contabilidade de usuários mais segura possível.
Use senhas seguras, ssh não telnet, etc. Bloqueie o acesso dentro de um intervalo de IP conhecido. Mantenha backups regulares de sua configuração em um repositório de controle de origem. Não se esqueça também da segurança do rack físico.

    
por 24.10.2009 / 18:35
0

Em geral, o gerenciamento é feito apenas pela rede interna, a partir de uma máquina de gerenciamento específica, e forçamos os usuários a se conectarem por meio de várias máquinas para obter isso.

    
por 24.10.2009 / 21:27