মূল সিস্টেম সার্ভারগুলি রক্ষণাবেক্ষণ / সহায়তার জন্য ইন্টারনেটের সাথে সংযোগ রাখতে সক্ষম হওয়া উচিত?

আমাদের বেশ কয়েকটি সার্ভারের ওরাকল রক্ষণাবেক্ষণের লাইসেন্স রয়েছে। আমাদের হার্ডওয়্যার বিক্রেতা জিজ্ঞাসা করেছেন সার্ভার রুমে ইন্টারনেট সংযোগ রয়েছে। আমাদের নীতি হ'ল সুরক্ষার কারণে সেই কক্ষের সমস্ত মেশিনই ইন্টারনেট থেকে বিচ্ছিন্ন। তবে রক্ষণাবেক্ষণ লোকটি জিজ্ঞাসা করেছিল "তাহলে আমরা কীভাবে আপনার সার্ভারগুলিতে রক্ষণাবেক্ষণের কাজ করতে সক্ষম হব?"

আমার প্রশ্নটি হল, লাইসেন্স যাচাই সিস্টেমের মতো রক্ষণাবেক্ষণের জন্য আমাদের সার্ভারগুলির ইন্টারনেট সংযোগের প্রয়োজন কি? নাকি সে অফলাইনে করতে পারবে? আমাদের প্রোডাকশন সার্ভারের সাথে ইন্টারনেট সংযোগ থাকলে এটি কি নিজেই ঝুঁকিপূর্ণ নয়?

আপনার সাধারণত ইন্টারনেট থেকে প্যাচগুলি ডাউনলোড করতে হবে তবে সেগুলি সার্ভারে প্রয়োগ করুন। তবে ইন্টারনেট এবং ডাটাবেস সার্ভারের মধ্যে যাওয়ার জন্য প্যাচগুলি একটি মধ্যবর্তী স্থানে (এমনকি একটি ডিভিডি) অনুলিপি করার একটি মধ্যবর্তী পদক্ষেপ নেওয়া যুক্তিসঙ্গত।

যদি তারা কেবল সার্ভার রুমে একটি পৃথক মেশিন চান যা ইন্টারনেটের সাথে সংযোগ করতে পারে (যেমন প্যাচ নোট পড়ার জন্য), তবে এটি অন্য একটি বিকল্প।

পরিশেষে, সার্ভারে একটি ব্রাউজার চলমান যা ইন্টারনেটের সাথে সংযোগ স্থাপন করতে পারে এবং সার্ভারটি ইন্টারনেট থেকে একটি সার্ভার হিসাবে প্রকৃতপক্ষে অ্যাক্সেসযোগ্য between

এটি আপনার কতটা সুরক্ষিত থাকতে / প্রয়োজন তা নির্ভর করে।

আপনার সার্ভারগুলি এমন কোনও নেটওয়ার্কের সাথে সংযুক্ত রয়েছে যার ইন্টারনেট অ্যাক্সেস সহ অন্যান্য ডিভাইস রয়েছে। সঠিক? আমি নিশ্চিত যে অন্যরা তাতে দ্বিমত পোষণ করবে তবে আমি বিশ্বাস করি যে এই সার্ভারগুলিকে সরাসরি ইন্টারনেট অ্যাক্সেস না দেওয়ার মাধ্যমে দেওয়া সুরক্ষাটি অন্য যে কোনও কিছুর চেয়ে মায়াজাল।

আমরা গ্রাহক সার্ভারগুলিতে প্রচুর রক্ষণাবেক্ষণ করি যা ইন্টারনেটে অ্যাক্সেস নেই। সিডি / ইউএসবি স্টিকের সেই সফরের জন্য আমাদের প্রয়োজনীয় আপডেট / প্যাচগুলি / সফ্টওয়্যারগুলি আমাদের নিতে হবে। (তৃতীয় পক্ষকে ইউএসবি স্টিক / সিডি আনার অনুমতি দেওয়া এটির নিজস্ব একটি সুরক্ষা ঝুঁকি)

সঠিক উত্স / গন্তব্য আইপি কনফিগার করতে আপনি সর্বদা আইপটিবল ব্যবহার করতে পারেন : পোর্ট জোড়া আপনি খোলার জন্য চান।

এইভাবে, সার্ভারটি ডাব্লুএএন-এর মাধ্যমে ব্যবহার করা হলেও আপনি নিশ্চিত করতে পারেন যে কেবলমাত্র বিশ্বস্ত আইপি + সঠিক শংসাপত্রগুলি এতে অ্যাক্সেস অর্জন করবে।

এছাড়াও আপনি একটি বেসরকারী-পাবলিক এসএসএস কীটিও ব্যবহার করতে পারেন , যা কেবল আপনার দুজনের মধ্যেই ভাগ করা যায়।

আপনার সমস্ত সার্ভারগুলি ডিএমজেডে থাকতে হবে বা কমপক্ষে একটি ফায়ারওয়ালের পিছনে থাকা উচিত। এই সার্ভারগুলির যে কোনও থেকে আউটগোয়িং সংযোগগুলির মঞ্জুরি দেওয়ার জন্য কোনও ফায়ারওয়ালকে কনফিগার করা যেতে পারে (যাতে তারা নিজেরাই সুরক্ষা প্যাচগুলি এবং অন্যান্য আপডেটগুলি চেক করতে এবং ডাউনলোড করতে পারে)। এবং তারপরে আপনার সিস্টেম অ্যাডমিনদের উপর ফায়ারওয়ালটি এমনভাবে কনফিগার করা যায় যে কয়েকটি, খুব নির্দিষ্ট নির্দিষ্ট ইনগোয়িং সংযোগের অনুমতি দেওয়া হয়। যদি কেবলমাত্র তাদের মাঝে মাঝে রক্ষণাবেক্ষণের প্রয়োজন হয় তবে রক্ষণাবেক্ষণ শেষ হলে এগুলি অক্ষম করা যেতে পারে।

আমরা ফায়ারওয়ালের জন্য iptables সহ এই কাজের জন্য লিনাক্স গেটওয়ে ব্যবহার করি। তবে, আপনার স্ট্যান্ডার্ড হার্ডওয়্যার ফায়ারওয়ালগুলি ঠিক একই কাজ করবে।

প্রশ্নটি হল - প্রোডাকশন সার্ভারগুলিকে ইন্টারনেটে বহির্মুখী এইচটিটিপি / এস সংযোগ স্থাপনের কি ঝুঁকি রয়েছে? সংক্ষিপ্ত উত্তর হলো 'না. সুরক্ষা ঝুঁকি এত দীর্ঘ যে উত্তরটি এত ন্যূনতম যে এই সার্ভারগুলি পরিচালনা করতে ব্যয়কে (সময়ের নিরিখে) ছাড়িয়ে যায়।

অ্যাক্সেসের অনুমতি দেওয়ার ঝুঁকিগুলি বিবেচনা করুন:

1. কোনও প্রশাসক সার্ভারে ইন্টারনেট থেকে দূষিত সফ্টওয়্যার ডাউনলোড করে
2. একটি আপোস করা সার্ভার অতিরিক্ত ভাইরাস কোড ডাউনলোড করে বা গোপনীয় তথ্য ইন্টারনেটে আপলোড করে

এটি প্রথমে পরিচিত সাইটগুলিতে ইন্টারনেট অ্যাক্সেসকে সীমাবদ্ধ করে এবং আদর্শভাবে ওয়েব ব্রাউজিংকে মঞ্জুর না করে প্রথম পয়েন্টটি হ্রাস করেছে। অতিরিক্তভাবে, দূষিত পদ্ধতিতে কাজ না করার জন্য আপনার প্রশাসকদের একটি নির্দিষ্ট বিশ্বাস রয়েছে certain

দ্বিতীয় পয়েন্টে, সার্ভারটি ইতিমধ্যে কিছু ফ্যাশনে আপস করা হয়েছে কিনা তা বিবেচনা করেই ইন্টারনেট অ্যাক্সেস পাওয়া যায় কি না তা একটি পয়েন্ট পয়েন্ট। আক্রমণকারী ইতিমধ্যে আপনার সিস্টেমে কোড আনার জন্য একটি উপায় খুঁজে পেয়েছে যার অর্থ তারা সেই সিস্টেমে অতিরিক্ত কোড পেতে পারে বা এটি থেকে ডেটা পুনরুদ্ধার করতে পারে।

স্পষ্টতই, এটি সব নির্দিষ্ট পরিস্থিতিতে (নির্দিষ্ট গ্রাহক বা নিয়ন্ত্রকের প্রয়োজনীয়তার সাথে মিলিত হওয়ার) উপর নির্ভর করে।

এই সার্ভারগুলির কোন ধরণের সংযোগের প্রয়োজন?

যদি এটি কেবল ওরাকল ওয়েবসাইটের সাথে এইচটিটিপি সংযোগ হয় তবে আপনি কেন তাদের ওয়েব-প্রক্সি ব্যবহার করবেন না?

ভিপিএন অ্যাক্সেস আপনার সেরা বাজি!

উত্তর # 1 তত্ত্বের দিক থেকে সেরা - নেটওয়ার্কের সুরক্ষা স্তরটি সেই নেটওয়ার্কের সাথে সংযুক্ত দুর্বলতম কম্পিউটারের সুরক্ষা স্তরের সমান

আমার দৃষ্টিভঙ্গিতে যোগাযোগের হাত হবে:

• ডট 1 কিউ সাবনেটগুলিতে অভ্যন্তরীণ নেটওয়ার্ক বিভক্ত
• লিনাক্স গেটওয়ে -> সাবনেটগুলির মধ্যে সমস্ত ট্র্যাফিক এর মধ্য দিয়ে যায় এবং এটি সহজেই নিয়ন্ত্রণ করা যায় (এবং এটি কেবলমাত্র প্রয়োজনীয় অ্যাপ্লিকেশন পোর্ট এবং ক্লায়েন্টদের জন্য মূল সার্ভারগুলিতে অ্যাক্সেস সহ)
• বাইরের সংযোগটি কেবল এনক্রিপ্ট করা ভিপিএন (এমএসচ্যাপ বা ওপেনভিপিএন সহ পিটিপিপি) এর মাধ্যমে তৈরি
• মূল সার্ভারগুলির কেবলমাত্র "দরকার" ভিত্তিতে ইন্টারনেটে অ্যাক্সেস রয়েছে (মেনটেন্যান্ট, ডাউনলোড আপগ্রেড ইত্যাদি) - এছাড়াও এটিকে অ্যাক্সেস দিয়ে গেটওয়ে দিয়ে সংক্রামিত করা হয় - একটি ডিআরপি নীতি সহ

এমনকি যদি আপনি কিছু সার্ভারের জন্য ইন্টারনেট সংযোগের অনুমতি দেন তবে তাদের ওপেনডিএনএসকে তাদের ডিএনএস সার্ভার হিসাবে ব্যবহার করতে দিন ।