মূল সিস্টেম সার্ভারগুলি রক্ষণাবেক্ষণ / সহায়তার জন্য ইন্টারনেটের সাথে সংযোগ রাখতে সক্ষম হওয়া উচিত?


18

আমাদের বেশ কয়েকটি সার্ভারের ওরাকল রক্ষণাবেক্ষণের লাইসেন্স রয়েছে। আমাদের হার্ডওয়্যার বিক্রেতা জিজ্ঞাসা করেছেন সার্ভার রুমে ইন্টারনেট সংযোগ রয়েছে। আমাদের নীতি হ'ল সুরক্ষার কারণে সেই কক্ষের সমস্ত মেশিনই ইন্টারনেট থেকে বিচ্ছিন্ন। তবে রক্ষণাবেক্ষণ লোকটি জিজ্ঞাসা করেছিল "তাহলে আমরা কীভাবে আপনার সার্ভারগুলিতে রক্ষণাবেক্ষণের কাজ করতে সক্ষম হব?"

আমার প্রশ্নটি হল, লাইসেন্স যাচাই সিস্টেমের মতো রক্ষণাবেক্ষণের জন্য আমাদের সার্ভারগুলির ইন্টারনেট সংযোগের প্রয়োজন কি? নাকি সে অফলাইনে করতে পারবে? আমাদের প্রোডাকশন সার্ভারের সাথে ইন্টারনেট সংযোগ থাকলে এটি কি নিজেই ঝুঁকিপূর্ণ নয়?


বাহ, সত্যিই ভাল প্রশ্ন! +1
l0c0b0x

উত্তর:


9

আপনার সাধারণত ইন্টারনেট থেকে প্যাচগুলি ডাউনলোড করতে হবে তবে সেগুলি সার্ভারে প্রয়োগ করুন। তবে ইন্টারনেট এবং ডাটাবেস সার্ভারের মধ্যে যাওয়ার জন্য প্যাচগুলি একটি মধ্যবর্তী স্থানে (এমনকি একটি ডিভিডি) অনুলিপি করার একটি মধ্যবর্তী পদক্ষেপ নেওয়া যুক্তিসঙ্গত।

যদি তারা কেবল সার্ভার রুমে একটি পৃথক মেশিন চান যা ইন্টারনেটের সাথে সংযোগ করতে পারে (যেমন প্যাচ নোট পড়ার জন্য), তবে এটি অন্য একটি বিকল্প।

পরিশেষে, সার্ভারে একটি ব্রাউজার চলমান যা ইন্টারনেটের সাথে সংযোগ স্থাপন করতে পারে এবং সার্ভারটি ইন্টারনেট থেকে একটি সার্ভার হিসাবে প্রকৃতপক্ষে অ্যাক্সেসযোগ্য between

এটি আপনার কতটা সুরক্ষিত থাকতে / প্রয়োজন তা নির্ভর করে।


11

আপনার সার্ভারগুলি এমন কোনও নেটওয়ার্কের সাথে সংযুক্ত রয়েছে যার ইন্টারনেট অ্যাক্সেস সহ অন্যান্য ডিভাইস রয়েছে। সঠিক? আমি নিশ্চিত যে অন্যরা তাতে দ্বিমত পোষণ করবে তবে আমি বিশ্বাস করি যে এই সার্ভারগুলিকে সরাসরি ইন্টারনেট অ্যাক্সেস না দেওয়ার মাধ্যমে দেওয়া সুরক্ষাটি অন্য যে কোনও কিছুর চেয়ে মায়াজাল।


7
+1 টি - আছে যদি না আসলে "কোর" এবং নেটওয়ার্ক বাকি (যা প্রথম স্থানে একটি নেটওয়ার্ক না থাকার উদ্দেশ্য সর্বনাশ মনে হবে) "কোর" এর মাঝে একটি বায়ু-ফাঁক করা হয় "ইন্টারনেটের সাথে সংযুক্ত"। যেমন একটি connecection ফায়ারওয়াল, এক্সেস তালিকা, ইত্যাদি দ্বারা arbitrated করা উচিত, কিন্তু এটা হয় "ইন্টারনেটের সাথে সংযুক্ত"। এই কথাটি বলে, এখানে আসল আলোচনাটি সেই সার্ভারগুলিতে অ্যাক্সেস সালিসেটেটিং এবং ব্যবহৃত ব্যবস্থাগুলি এবং সেই পদ্ধতিগুলি কনফিগার করার সাথে সম্পর্কিত নিয়মের-থাম্ব সম্পর্কে হওয়া দরকার।
ইভান অ্যান্ডারসন

সুন্দর উত্তর :-)
এমএন

3
সংস্থাটি সুরক্ষা সম্পর্কে ভৌতিক। প্রকৃতপক্ষে, মূল নেটওয়ার্ক এবং অফিসের বাকী অংশগুলির মধ্যে একটি প্রকৃত শারীরিক ফাঁক রয়েছে। মূল নেটওয়ার্কের মেশিনগুলি হাস্যকরভাবে ইন্টারনেটে সংযোগ বিচ্ছিন্ন। কিছু লোকের ডেস্কে 2 টি কম্পিউটার থাকে; 1 নিয়মিত ব্যবহারের জন্য, অন্যটি মূল সিস্টেমের সাথে সংযোগযুক্ত।
লুডভি

3

আমরা গ্রাহক সার্ভারগুলিতে প্রচুর রক্ষণাবেক্ষণ করি যা ইন্টারনেটে অ্যাক্সেস নেই। সিডি / ইউএসবি স্টিকের সেই সফরের জন্য আমাদের প্রয়োজনীয় আপডেট / প্যাচগুলি / সফ্টওয়্যারগুলি আমাদের নিতে হবে। (তৃতীয় পক্ষকে ইউএসবি স্টিক / সিডি আনার অনুমতি দেওয়া এটির নিজস্ব একটি সুরক্ষা ঝুঁকি)


উল্লেখযোগ্য! এ কারণেই আমরা তৃতীয় পক্ষের মিডিয়াগুলিকে মূল পরিবেশে প্লাগ ইন করার অনুমতি দেওয়ার আগে অফলাইন স্ক্যান করি।
লুডভি

3

সঠিক উত্স / গন্তব্য আইপি কনফিগার করতে আপনি সর্বদা আইপটিবল ব্যবহার করতে পারেন : পোর্ট জোড়া আপনি খোলার জন্য চান।

এইভাবে, সার্ভারটি ডাব্লুএএন-এর মাধ্যমে ব্যবহার করা হলেও আপনি নিশ্চিত করতে পারেন যে কেবলমাত্র বিশ্বস্ত আইপি + সঠিক শংসাপত্রগুলি এতে অ্যাক্সেস অর্জন করবে।

এছাড়াও আপনি একটি বেসরকারী-পাবলিক এসএসএস কীটিও ব্যবহার করতে পারেন , যা কেবল আপনার দুজনের মধ্যেই ভাগ করা যায়।


2

আপনার সমস্ত সার্ভারগুলি ডিএমজেডে থাকতে হবে বা কমপক্ষে একটি ফায়ারওয়ালের পিছনে থাকা উচিত। এই সার্ভারগুলির যে কোনও থেকে আউটগোয়িং সংযোগগুলির মঞ্জুরি দেওয়ার জন্য কোনও ফায়ারওয়ালকে কনফিগার করা যেতে পারে (যাতে তারা নিজেরাই সুরক্ষা প্যাচগুলি এবং অন্যান্য আপডেটগুলি চেক করতে এবং ডাউনলোড করতে পারে)। এবং তারপরে আপনার সিস্টেম অ্যাডমিনদের উপর ফায়ারওয়ালটি এমনভাবে কনফিগার করা যায় যে কয়েকটি, খুব নির্দিষ্ট নির্দিষ্ট ইনগোয়িং সংযোগের অনুমতি দেওয়া হয়। যদি কেবলমাত্র তাদের মাঝে মাঝে রক্ষণাবেক্ষণের প্রয়োজন হয় তবে রক্ষণাবেক্ষণ শেষ হলে এগুলি অক্ষম করা যেতে পারে।

আমরা ফায়ারওয়ালের জন্য iptables সহ এই কাজের জন্য লিনাক্স গেটওয়ে ব্যবহার করি। তবে, আপনার স্ট্যান্ডার্ড হার্ডওয়্যার ফায়ারওয়ালগুলি ঠিক একই কাজ করবে।


2

প্রশ্নটি হল - প্রোডাকশন সার্ভারগুলিকে ইন্টারনেটে বহির্মুখী এইচটিটিপি / এস সংযোগ স্থাপনের কি ঝুঁকি রয়েছে? সংক্ষিপ্ত উত্তর হলো 'না. সুরক্ষা ঝুঁকি এত দীর্ঘ যে উত্তরটি এত ন্যূনতম যে এই সার্ভারগুলি পরিচালনা করতে ব্যয়কে (সময়ের নিরিখে) ছাড়িয়ে যায়।

অ্যাক্সেসের অনুমতি দেওয়ার ঝুঁকিগুলি বিবেচনা করুন:

  1. কোনও প্রশাসক সার্ভারে ইন্টারনেট থেকে দূষিত সফ্টওয়্যার ডাউনলোড করে
  2. একটি আপোস করা সার্ভার অতিরিক্ত ভাইরাস কোড ডাউনলোড করে বা গোপনীয় তথ্য ইন্টারনেটে আপলোড করে

এটি প্রথমে পরিচিত সাইটগুলিতে ইন্টারনেট অ্যাক্সেসকে সীমাবদ্ধ করে এবং আদর্শভাবে ওয়েব ব্রাউজিংকে মঞ্জুর না করে প্রথম পয়েন্টটি হ্রাস করেছে। অতিরিক্তভাবে, দূষিত পদ্ধতিতে কাজ না করার জন্য আপনার প্রশাসকদের একটি নির্দিষ্ট বিশ্বাস রয়েছে certain

দ্বিতীয় পয়েন্টে, সার্ভারটি ইতিমধ্যে কিছু ফ্যাশনে আপস করা হয়েছে কিনা তা বিবেচনা করেই ইন্টারনেট অ্যাক্সেস পাওয়া যায় কি না তা একটি পয়েন্ট পয়েন্ট। আক্রমণকারী ইতিমধ্যে আপনার সিস্টেমে কোড আনার জন্য একটি উপায় খুঁজে পেয়েছে যার অর্থ তারা সেই সিস্টেমে অতিরিক্ত কোড পেতে পারে বা এটি থেকে ডেটা পুনরুদ্ধার করতে পারে।

স্পষ্টতই, এটি সব নির্দিষ্ট পরিস্থিতিতে (নির্দিষ্ট গ্রাহক বা নিয়ন্ত্রকের প্রয়োজনীয়তার সাথে মিলিত হওয়ার) উপর নির্ভর করে।


0

এই সার্ভারগুলির কোন ধরণের সংযোগের প্রয়োজন?

যদি এটি কেবল ওরাকল ওয়েবসাইটের সাথে এইচটিটিপি সংযোগ হয় তবে আপনি কেন তাদের ওয়েব-প্রক্সি ব্যবহার করবেন না?



0

উত্তর # 1 তত্ত্বের দিক থেকে সেরা - নেটওয়ার্কের সুরক্ষা স্তরটি সেই নেটওয়ার্কের সাথে সংযুক্ত দুর্বলতম কম্পিউটারের সুরক্ষা স্তরের সমান

আমার দৃষ্টিভঙ্গিতে যোগাযোগের হাত হবে:

  • ডট 1 কিউ সাবনেটগুলিতে অভ্যন্তরীণ নেটওয়ার্ক বিভক্ত
  • লিনাক্স গেটওয়ে -> সাবনেটগুলির মধ্যে সমস্ত ট্র্যাফিক এর মধ্য দিয়ে যায় এবং এটি সহজেই নিয়ন্ত্রণ করা যায় (এবং এটি কেবলমাত্র প্রয়োজনীয় অ্যাপ্লিকেশন পোর্ট এবং ক্লায়েন্টদের জন্য মূল সার্ভারগুলিতে অ্যাক্সেস সহ)
  • বাইরের সংযোগটি কেবল এনক্রিপ্ট করা ভিপিএন (এমএসচ্যাপ বা ওপেনভিপিএন সহ পিটিপিপি) এর মাধ্যমে তৈরি
  • মূল সার্ভারগুলির কেবলমাত্র "দরকার" ভিত্তিতে ইন্টারনেটে অ্যাক্সেস রয়েছে (মেনটেন্যান্ট, ডাউনলোড আপগ্রেড ইত্যাদি) - এছাড়াও এটিকে অ্যাক্সেস দিয়ে গেটওয়ে দিয়ে সংক্রামিত করা হয় - একটি ডিআরপি নীতি সহ

-4

এমনকি যদি আপনি কিছু সার্ভারের জন্য ইন্টারনেট সংযোগের অনুমতি দেন তবে তাদের ওপেনডিএনএসকে তাদের ডিএনএস সার্ভার হিসাবে ব্যবহার করতে দিন ।


2
ডব্লিউটিএফ? এটি কীভাবে প্রাসঙ্গিক?
ceejayoz


তাদের কি অভ্যন্তরীণ ডিএনএস সার্ভারগুলি ব্যবহার করা উচিত নয় যারা ওপেনডিএনএস সার্ভারগুলি ব্যবহার করতে পারেন? এইভাবে আপনাকে আইপি অ্যাড্রেসগুলির সাথে আপনার মূল সার্ভারগুলির মধ্যে সমস্ত সংযোগ নির্ধারণ করতে হবে না এবং পরিবর্তে ডিএনএস নাম ব্যবহার করতে পারবেন।
মিঃ টিম্পি

হ্যাঁ তাদের যদি অভ্যন্তরীণ ডিএনএস থাকে
25:58
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.