Базовые системные серверы должны смочь соединиться с Интернетом для обслуживания/поддержки?
Необходимо было бы обычно загружать патчи с Интернета, затем применяют их к серверу. Однако разумно иметь промежуточный шаг копирования патчей к промежуточному местоположению (даже DVD) для движения между Интернетом и серверами баз данных.
Если они просто хотят отдельную машину в серверной, которая может соединиться с Интернетом (например, для чтения примечаний патча), это - другая опция.
Наконец, существует различие между наличием браузера, работающего на сервере, который может соединиться с Интернетом и наличием сервера, на самом деле доступного как сервер из Интернета.
Все это зависит от того, как безопасный Вы хотите/нуждаетесь быть.
Ваши серверы подключены к сети, которая имеет другие устройства с доступом в Интернет. Корректный? Я уверен, что другие не согласятся, но я верю безопасности, предоставленной, не позволяя те серверы, прямой доступ в Интернет более иллюзорен, чем что-либо еще.
-
1+1 - Если there' s на самом деле воздушный зазор между " core" и остальная часть сети (который, казалось бы, побеждал бы цель наличия сети во-первых), " core" " подключенный к Internet". такой connecection должен быть вынесен решение брандмауэрами, списками доступа, и т.д., но это " подключенный к Internet". Однако реальное обсуждение здесь должно быть о вынесении решения доступа к тем серверам и механизмам используемыми и эмпирическими правилами, связанными с конфигурированием тех механизмов. – Evan Anderson 24 August 2009 в 17:35
-
2
-
3Компания является параноидальной о безопасности. На самом деле, существует фактический физический разрыв между базовой сетью и остальной частью офиса. Машины в базовой сети смехотворно разъединяются к Интернету. У некоторых людей даже есть 2 компьютера их столы; 1 для регулярного использования, другого с соединением с базовой системой. – Ludwi 25 August 2009 в 04:42
Мы делаем большое обслуживание на клиентских серверах, которые не имеют никакого доступа к Интернету. Мы должны взять все обновления/патчи/программное обеспечение, в которых мы нуждаемся для того посещения на CD / Карта с интерфейсом USB. (Разрешающий третьим сторонам ввести ПАЛКИ/CD USB угроза безопасности в своем собственном),
-
1Отмеченный! Поэтому мы делаем офлайновые сканирования сторонних медиа, прежде чем мы позволим им быть включенными в базовую среду. – Ludwi 25 August 2009 в 04:53
Можно всегда использовать iptables для конфигурирования точного источника/места назначения пары IP:Port, что Вы хотите сохранить открытыми.
Тот путь, даже когда сервер является explosed по WAN, можно удостовериться, что только доверяемый дюйм/с + корректные учетные данные получит доступ к нему.
Кроме того, можно использовать частную общественность ssh пара ключей также, которая может быть совместно использована только среди двух из Вас.
Все Ваши серверы должны быть или в демилитаризованной зоне или по крайней мере позади брандмауэра. Примерно любой брандмауэр может быть настроен для разрешения исходящих соединений с любого из этих серверов (так, чтобы они могли проверить на и загрузить патчи безопасности и другие обновления самостоятельно). И затем это до Ваших системных администраторов для конфигурирования брандмауэра, таким образом, что некоторые, очень определенные входящие соединения позволяются. Если они только необходимы для случайного обслуживания, они могут быть отключены, после того как обслуживание закончено.
Мы используем шлюзы Linux для этого задания с iptables для брандмауэра. Однако Ваши брандмауэры стандартного оборудования сделают точно то же.
Доступ VPN является Вашим лучшим выбором!
Даже если Вы позволяете интернет-соединение для некоторых серверов, которым позволяют, они используют OpenDNS в качестве своего сервера DNS.
-
1
-
2
-
3Shouldnt они используют внутренние серверы DNS, кто мог бы в свою очередь использовать openDNS серверы? Тем путем Вы не должны присваивать все соединения между Вами базовые серверы с адресами IP и можете использовать имена DNS вместо этого. – MrTimpi 25 August 2009 в 13:33
-
4
Вопрос - там риск в разрешении рабочих серверов иметь соединения HTTP/S, исходящие к Интернету. Короткий ответ НЕТ. Более длинный ответ, что угроза безопасности так минимальна, что это перевешивает стоимость (с точки зрения времени) для управления теми серверами.
Рассмотрите риски предоставления доступа:
- Администратор загружает вредоносное программное обеспечение с Интернета на сервере
- Поставленный под угрозу сервер загружает дополнительный вирусный код или загружает конфиденциальную информацию к Интернету
Первая точка смягченный, ограничивая доступ в Интернет известными сайтами и идеально не позволяя просмотр веб-страниц вообще. Кроме того, существует определенное доверие Вашим администраторам для не действия злонамеренным способом.
На второй точке полагая то, что сервер был уже поставлен под угрозу некоторым способом, доступен ли доступ в Интернет, является спорным вопросом. Взломщик уже нашел способ надеть код к Вашим системам, что означает, что они могут получить дополнительный код к той системе или получить данные из него.
Очевидно, это может все зависеть от определенных обстоятельств (как встреча определенного клиента или нормативных требований).
ответ № 1 является лучшим в условиях теории - уровень безопасности сети равен уровню безопасности самого слабого компьютера, подключенного к той сети
руки на подход были бы в моей точке зрения:
- внутренняя сеть разделяется в dot1q подсетях
- шлюз Linux-> весь трафик между подсетями проходит через него, и им можно управлять легко (и на самом деле, с доступом к базовым серверам только для необходимых портов приложения и клиентов),
- вне связи, установленной только через зашифрованный vpn (pptp с mschap или openvpn)
- базовые серверы имеют доступ к Интернету только на "потребности к" основанию (maintenante, загрузите обновления, и т.д.) - также доступ к ним является contrilled через шлюз - с политикой ОТБРАСЫВАНИЯ