Les serveurs du système central devraient-ils pouvoir se connecter à Internet pour la maintenance / l'assistance?


18

Deux de nos serveurs ont des licences de maintenance Oracle. Notre vendeur de matériel a demandé qu'il y ait une connexion Internet dans la salle des serveurs. Notre politique est que toutes les machines de cette pièce sont isolées d'Internet pour des raisons de sécurité. Mais le gars de la maintenance a demandé "alors comment allons-nous être en mesure d'effectuer des travaux de maintenance sur vos serveurs?"

Ma question est la suivante: nos serveurs ont-ils besoin d'une connexion Internet pour que la maintenance soit effectuée comme un système de vérification de licence. Ou peut-il le faire hors ligne? N'est-ce pas un risque en soi s'il y avait une connexion Internet à notre serveur de production?


Wow, vraiment une bonne question! +1
l0c0b0x

Réponses:


9

Vous devez généralement télécharger des correctifs sur Internet, puis les appliquer au serveur. Cependant, il est raisonnable d'avoir une étape intermédiaire de copie des correctifs vers un emplacement intermédiaire (même un DVD) pour passer entre Internet et les serveurs de base de données.

S'ils veulent juste une machine séparée dans la salle des serveurs qui peut se connecter à Internet (par exemple pour lire les notes de mise à jour), c'est une autre option.

Enfin, il y a une différence entre avoir un navigateur fonctionnant sur le serveur qui peut se connecter à Internet et avoir le serveur réellement accessible en tant que serveur à partir d'Internet.

Tout dépend de la sécurité que vous souhaitez / devez être.


11

Vos serveurs sont connectés à un réseau qui a d'autres appareils avec accès à Internet. Correct? Je suis sûr que d'autres ne seront pas d'accord, mais je pense que la sécurité offerte par l'interdiction d'accès direct à Internet à ces serveurs est plus illusoire qu'autre chose.


7
+1 - À moins qu'il n'y ait en fait un espace entre le «cœur» et le reste du réseau (ce qui semblerait aller à l'encontre du but d'avoir un réseau en premier lieu), le «cœur» est «connecté à Internet». Une telle connexion devrait être arbitrée par des pare-feu, des listes d'accès, etc., mais elle EST "connectée à Internet". Cela dit, la véritable discussion ici doit porter sur l'arbitrage de l'accès à ces serveurs et des mécanismes utilisés et des règles de base associées à la configuration de ces mécanismes.
Evan Anderson

Bonne réponse :-)
MN

3
L'entreprise est paranoïaque en matière de sécurité. En fait, il existe un véritable écart physique entre le réseau central et le reste du bureau. Les machines du réseau principal sont ridiculement déconnectées d'Internet. Certaines personnes ont même 2 ordinateurs sur leur bureau; 1 pour une utilisation régulière, l'autre avec une connexion au système central.
Ludwi

3

Nous effectuons beaucoup de maintenance sur les serveurs des clients qui n'ont pas accès à Internet. Nous devons prendre toutes les mises à jour / correctifs / logiciels dont nous avons besoin pour cette visite sur CD / clé USB. (Autoriser des tiers à apporter des clés USB / CD est un risque de sécurité en soi)


C'est noté! C'est pourquoi nous effectuons des analyses hors ligne des médias tiers avant de les autoriser à être connectés à l'environnement principal.
Ludwi

3

Vous pouvez toujours utiliser iptables pour configurer l'IP source / destination exacte: les paires de ports que vous souhaitez garder ouvertes.

De cette façon, même lorsque le serveur est explosé sur le WAN, vous pouvez vous assurer que seules les adresses IP de confiance + les informations d'identification correctes y auront accès.

De plus, vous pouvez également utiliser une paire de clés ssh privé-public , qui ne peut être partagée que par vous deux.


2

Tous vos serveurs doivent être soit dans une zone démilitarisée, soit au moins derrière un pare-feu. À peu près n'importe quel pare-feu peut être configuré pour autoriser les connexions sortantes à partir de n'importe lequel de ces serveurs (afin qu'ils puissent rechercher et télécharger eux-mêmes les correctifs de sécurité et autres mises à jour). Et ensuite, c'est à vos administrateurs système de configurer le pare-feu de sorte que quelques connexions entrantes très spécifiques soient autorisées. S'ils ne sont nécessaires que pour une maintenance occasionnelle, ils peuvent être désactivés une fois la maintenance terminée.

Nous utilisons des passerelles Linux pour ce travail, avec iptables pour le pare-feu. Cependant, vos pare-feu matériels standard feront exactement la même chose.


2

La question est - Y a-t-il un risque à permettre aux serveurs de production d'avoir des connexions HTTP / S sortantes vers Internet. La réponse courte est non. La réponse la plus longue est que le risque de sécurité est si minime qu'il l'emporte sur le coût (en termes de temps) pour gérer ces serveurs.

Considérez les risques de permettre l'accès:

  1. Un administrateur télécharge des logiciels malveillants d'Internet sur le serveur
  2. Un serveur compromis télécharge un code de virus supplémentaire ou télécharge des informations confidentielles sur Internet

Le premier point a été atténué en restreignant l'accès à Internet aux sites connus et, idéalement, en ne permettant pas du tout la navigation sur le Web. De plus, il existe une certaine confiance dans vos administrateurs pour ne pas agir de manière malveillante.

Sur le deuxième point, étant donné que le serveur était déjà compromis d'une manière ou d'une autre, l'accès Internet est disponible ou non. L'attaquant a déjà trouvé un moyen de faire entrer du code sur vos systèmes, ce qui signifie qu'il peut obtenir du code supplémentaire sur ce système ou en récupérer des données.

Évidemment, tout cela peut dépendre de circonstances spécifiques (comme répondre à certaines exigences des clients ou réglementaires).


0

De quel type de connexion ces serveurs ont-ils besoin?

S'il ne s'agit que d'une connexion HTTP au site Web Oracle, pourquoi ne pas leur faire utiliser des proxys Web?



0

la réponse n ° 1 est la meilleure en termes théoriques - le niveau de sécurité du réseau est égal au niveau de sécurité de l'ordinateur le plus faible connecté à ce réseau

une approche pratique serait, à mon avis:

  • réseau interne divisé en sous-réseaux dot1q
  • Passerelle Linux -> tout le trafic entre les sous-réseaux le traverse et il peut être contrôlé facilement (et en fait, avec accès aux serveurs principaux uniquement pour les ports d'application et les clients nécessaires)
  • connexion extérieure établie uniquement via vpn crypté (pptp avec mschap ou openvpn)
  • les serveurs principaux n'ont accès à Internet que sur une base de "besoin de" (maintenante, téléchargement de mises à niveau, etc.) - l'accès à eux est également contrôlé via la passerelle - avec une politique DROP

-4

Même si vous autorisez la connexion Internet pour certains serveurs, laissez-les utiliser OpenDNS comme serveur DNS.


2
WTF? En quoi est-ce vraiment pertinent?
ceejayoz


Ne devraient-ils pas utiliser les serveurs DNS internes qui pourraient à leur tour utiliser des serveurs openDNS? De cette façon, vous n'avez pas à attribuer toutes les connexions entre vos serveurs principaux avec des adresses IP et vous pouvez utiliser des noms DNS à la place.
MrTimpi

Oui S'ils ont un DNS interne
adopilot
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.