¿Deberían los servidores centrales del sistema poder conectarse a Internet para mantenimiento / soporte?

Algunos de nuestros servidores tienen licencias de mantenimiento de Oracle. Nuestro proveedor de hardware preguntó si había conexión a Internet en la sala de servidores. Nuestra política es que todas las máquinas en esa sala están aisladas de Internet por razones de seguridad. Pero el encargado de mantenimiento preguntó "entonces, ¿cómo vamos a poder realizar trabajos de mantenimiento en sus servidores?"

Mi pregunta es si nuestros servidores necesitan conexión a Internet para que el mantenimiento se realice como un sistema de verificación de licencia. ¿O puede hacerlo fuera de línea? ¿No es un riesgo en sí mismo si hubiera una conexión a Internet en nuestro servidor de producción?

En general, deberá descargar parches de Internet y luego aplicarlos al servidor. Sin embargo, es razonable tener un paso intermedio de copiar los parches en una ubicación intermedia (incluso un DVD) para ir entre Internet y los servidores de bases de datos.

Si solo quieren una máquina separada en la sala de servidores que pueda conectarse a Internet (por ejemplo, para leer notas de parches), esa es otra opción.

Finalmente, hay una diferencia entre tener un navegador ejecutándose en el servidor que puede conectarse a Internet y tener el servidor realmente accesible como servidor desde Internet.

Todo depende de qué tan seguro quiera / necesite estar.

Sus servidores están conectados a una red que tiene otros dispositivos con acceso a Internet. ¿Correcto? Estoy seguro de que otros no estarán de acuerdo, pero creo que la seguridad ofrecida al no permitir que esos servidores tengan acceso directo a Internet es más ilusoria que cualquier otra cosa.

Hacemos mucho mantenimiento en los servidores de los clientes que no tienen acceso a Internet. Tenemos que llevar todas las actualizaciones / parches / software que necesitamos para esa visita en CD / USB Stick. (Permitir que terceros traigan memorias USB / CD es un riesgo de seguridad en sí mismo)

Siempre puede usar iptables para configurar la fuente / destino IP exacta: pares de puertos que desea mantener abiertos.

De esa manera, incluso cuando el servidor se explota a través de la WAN, puede asegurarse de que solo las IP confiables + las credenciales correctas tengan acceso a él.

Además, también puede usar un par de claves ssh público-privadas , que solo se pueden compartir entre ustedes dos.

Todos sus servidores deben estar en una DMZ o al menos detrás de un firewall. Casi cualquier firewall se puede configurar para permitir conexiones salientes desde cualquiera de estos servidores (para que puedan verificar y descargar parches de seguridad y otras actualizaciones por su cuenta). Y luego depende de los administradores de su sistema configurar el firewall de modo que se permitan algunas conexiones entrantes muy específicas. Si solo se necesitan para un mantenimiento ocasional, se pueden desactivar una vez que finaliza el mantenimiento.

Utilizamos puertas de enlace de Linux para este trabajo, con iptables para el firewall. Sin embargo, sus firewalls de hardware estándar harán exactamente lo mismo.

La pregunta es: ¿existe el riesgo de permitir que los servidores de producción tengan conexiones HTTP / S salientes a Internet? La respuesta corta es no. La respuesta más larga es que el riesgo de seguridad es tan mínimo que supera el costo (en términos de tiempo) para administrar esos servidores.

Considere los riesgos de permitir el acceso:

1. Un administrador descarga software malicioso de Internet al servidor
2. Un servidor comprometido descarga un código de virus adicional o carga información confidencial en Internet

El primer punto se mitigó al restringir el acceso a Internet a sitios conocidos e, idealmente, no permitir la navegación web. Además, existe una cierta confianza en sus administradores para no actuar de manera maliciosa.

En el segundo punto, considerando que el servidor ya estaba comprometido de alguna manera, si el acceso a Internet está disponible o no es un punto discutible. El atacante ya ha encontrado una manera de obtener código en sus sistemas, lo que significa que puede obtener código adicional a ese sistema o recuperar datos de él.

Obviamente, todo esto puede depender de circunstancias específicas (como cumplir con ciertos requisitos del cliente o reglamentarios).

¿Qué tipo de conexión necesitan esos servidores?

Si solo se trata de una conexión HTTP al sitio web de Oracle, ¿por qué no hace que usen proxies web?

¡El acceso VPN es tu mejor apuesta!

la respuesta n. ° 1 es la mejor en términos teóricos: el nivel de seguridad de la red es igual al nivel de seguridad de la computadora más débil conectada a esa red

un enfoque práctico sería, en mi punto de vista:

• red interna dividida en subredes dot1q
• linux gateway -> todo el tráfico entre subredes pasa a través de él y puede controlarse fácilmente (y en realidad lo es, con acceso a los servidores centrales solo para los puertos y clientes de aplicaciones necesarios)
• conexión externa realizada solo a través de vpn cifrado (pptp con mschap u openvpn)
• los servidores centrales tienen acceso a Internet solo en función de la necesidad (mantenimiento, actualizaciones de descarga, etc.), también el acceso a ellos se controla a través de la puerta de enlace, con una política DROP

Incluso si permite la conexión a Internet para algunos servidores, deje que usen OpenDNS como su servidor DNS.