コアシステムサーバーは、メンテナンス/サポートのためにインターネットに接続できる必要がありますか?


18

いくつかのサーバーにはOracleメンテナンスライセンスがあります。私たちのハードウェアベンダーは、サーバールームにインターネット接続があったと尋ねました。セキュリティ上の理由から、その部屋のすべてのマシンはインターネットから隔離されています。しかし、メンテナンス担当者は「それでは、どのようにしてサーバーのメンテナンス作業を行うことができるのでしょうか?」と尋ねました。

私の質問は、ライセンス認証システムのようにメンテナンスを実行するために、サーバーにインターネット接続が必要かどうかです。または、彼はそれをオフラインで行うことができますか?本番サーバーへのインターネット接続があった場合、それ自体リスクではありませんか?


いい質問ですね +1
l0c0b0x 09

回答:


9

通常、インターネットからパッチをダウンロードして、サーバーに適用する必要があります。ただし、インターネットとデータベースサーバー間を移動するために、中間の場所(DVDを含む)にパッチをコピーする中間ステップを設けることは合理的です。

インターネットに接続できるサーバールームに別のマシンが必要な場合(パッチノートを読む場合など)は、別のオプションです。

最後に、インターネットに接続できるサーバー上でブラウザを実行することと、実際にサーバーをインターネットからサーバーとしてアクセスできるようにすることには違いがあります。

それは、あなたがどれだけ安全であるか/必要であるかにかかっています。


11

サーバーは、インターネットにアクセスできる他のデバイスがあるネットワークに接続されています。正しい?他の人も同意しないだろうと確信していますが、これらのサーバーに直接インターネットアクセスを許可しないことで得られるセキュリティは、他の何よりも幻想的です。


7
+1-「コア」とネットワークの残りの部分との間に実際にエアギャップがない限り(そもそもネットワークを持つという目的に反すると思われる)、「コア」「インターネットに接続されている」。このようなconnecectionは、ファイアウォール、アクセスリストなどによって調停されなければならないが、それはIS「インターネットに接続します」。そうは言っても、ここでの実際の議論は、これらのサーバーへのアクセスの調停、使用されるメカニズム、およびそれらのメカニズムの構成に関連する経験則についてである必要があります。
エヴァンアンダーソン

いい答え:
MN

3
同社はセキュリティについて偏執的です。実際のところ、コアネットワークと他のオフィスとの間には実際の物理的なギャップがあります。コアネットワークのマシンは、途方もなくインターネットに接続されていません。一部の人々は、自分の机に2台のコンピューターさえ持っています。1は通常の使用、もう1つはコアシステムに接続されています。
ルートウィー09

3

インターネットにアクセスできないお客様のサーバーで多くのメンテナンスを行っています。その訪問に必要なすべてのアップデート/パッチ/ソフトウェアをCD / USBスティックで取得する必要があります。(サードパーティにUSBスティック/ CDの持ち込みを許可することは、それ自体のセキュリティリスクです)


注目!そのため、サードパーティのメディアをコア環境にプラグインできるようにする前に、サードパーティのメディアのオフラインスキャンを実行します。
ルートウィー09

3

常にiptablesを使用して、開いたままにする正確な送信元/宛先IP:Portのペアを構成できます。

そうすれば、サーバーがWAN経由で爆発した場合でも、信頼できるIPと正しい資格情報のみがサーバーにアクセスできるようにすることができます。

さらに、プライベートとパブリックのsshキーペアも使用できます。このペアは、2人の間でのみ共有できます。


2

すべてのサーバーはDMZ内にあるか、少なくともファイアウォールの内側にある必要があります。これらのサーバーからの発信接続を許可するように、ほぼすべてのファイアウォールを構成できます(そのため、セキュリティパッチやその他の更新を独自に確認してダウンロードできます)。そして、非常に具体的ないくつかの着信接続が許可されるようにファイアウォールを設定するのはシステム管理者次第です。定期的なメンテナンスにのみ必要な場合は、メンテナンスが終了したら無効にすることができます。

このジョブには、ファイアウォール用のiptablesとともにLinuxゲートウェイを使用します。ただし、標準のハードウェアファイアウォールはまったく同じことを行います。


2

問題は、実稼働サーバーがインターネットへのアウトバウンドHTTP / S接続を許可することにリスクがあるかどうかです。短い答えはNOです。セキュリティリスクが非常に小さいため、これらのサーバーを管理するためのコスト(時間の面)を上回るという長い回答。

アクセスを許可するリスクを考慮してください。

  1. 管理者がインターネットからサーバーに悪意のあるソフトウェアをダウンロードする
  2. 侵害されたサーバーは、追加のウイルスコードをダウンロードするか、機密情報をインターネットにアップロードします

最初のポイントは、既知のサイトへのインターネットアクセスを制限し、理想的にはWebブラウジングをまったく許可しないことで軽減しました。さらに、悪意のある方法で行動しないという特定の信頼が管理者にあります。

2番目の点では、サーバーが何らかの方法で既に侵害されていることを考えると、インターネットアクセスが利用可能かどうかが重要なポイントです。攻撃者は既にシステムにコードを取得する方法を発見しています。つまり、システムに追加のコードを取得したり、システムからデータを取得したりできます。

明らかに、これはすべて特定の状況(特定の顧客や規制要件を満たすなど)に依存する場合があります。


0

それらのサーバーにはどのような種類の接続が必要ですか?

Oracle WebサイトへのHTTP接続のみである場合、それらにWebプロキシを使用させないのはなぜですか?



0

答え#1は理論的には最高です-ネットワークのセキュリティレベルは、そのネットワークに接続されている最も弱いコンピューターのセキュリティレベルと同じです

私の観点では、実践的なアプローチがあります:

  • dot1qサブネットで分割された内部ネットワーク
  • linuxゲートウェイ->サブネット間のすべてのトラフィックが通過し、簡単に制御できます(実際、必要なアプリケーションポートとクライアントのコアサーバーのみにアクセスできます)
  • 暗号化されたvpn(mschapまたはopenvpnを使用したpptp)経由でのみ行われる外部接続
  • コアサーバーは、「必要」ベース(メンテナンス、アップグレードのダウンロードなど)でのみインターネットにアクセスします-また、ゲートウェイを介してアクセスすることは、DROPポリシーを使用して行われます

-4

一部のサーバーでインターネット接続を許可している場合でも、OpenDNSをDNSサーバーとして使用できるようにします。


2
WTF?これはどのように関連していますか?
ceejayoz 09

このた内容に応じて、@ceejayoz serverfault.com/questions/6569/...
adopilot

彼らはopenDNSサーバーを使用する可能性のある内部DNSサーバーを使用すべきではありませんか?そうすれば、IPアドレスを使用してコアサーバー間のすべての接続を割り当てる必要がなくなり、代わりにDNS名を使用できます。
MrTimpi 2009

はい内部DNSがある場合
アドパイロット09
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.