Best practice per l'accesso alla porta di gestione del firewall

Naviga le tue risposte
1

Sono in procinto di creare un gruppo di server all'altro capo del mondo (beh, 8 ore di viaggio) in un luogo di co-locazione.

I server e il firewall hanno tutti una porta di gestione remota (KVM, DRAC, tu lo chiami). Mi chiedo quale sia la procedura migliore per accedere a & sicuro.

Ovviamente potrei semplicemente mettere tutti quelli in una VLAN separata e mettere alcune regole di filtraggio sul firewall (una scatola Linux). Ma poi l'accessibilità della gestione remota del firewall dipende dal firewall stesso - non penso che sia un'idea geniale. Uno ifdown e sei fuori.

Potrei anche mettere le porte di gestione dei server in una rete separata e lasciare aperta la porta di gestione del firewall su Internet, ma questo non sembra molto elegante.

Potrei anche lasciare tutto su internet, naturalmente.

Quali sono le migliori pratiche consigliate?

    
posta Alexander 03.12.2013 - 08:37
fonte

3 risposte

2

Ti suggerisco di utilizzare l'architettura backdoor bastion

  1. Installa una macchina hardened all'interno della tua rete remota che sarà utilizzato come punto di accesso uniq per accedere all'interno della rete remota. Per la chiarezza di questa descrizione testuale, la chiamerò bastion . Come regola generale, qualsiasi protocollo non utilizzato su bastion dovrà essere disattivato. Tutti i protocolli consentiti verranno registrati (se possibile su un server syslog all'interno della rete remota).

  2. Metti tutte le tue interfacce di gestione in una VLAN chiusa dedicata: managment . managment non sarà accessibile dalla WAN o dalla LAN remota. Sarà accessibile solo da bastion .

  3. Blocca qualsiasi accesso diretto WAN al tuo firewall. Il tuo firewall sarà accessibile solo da bastion e attraverso un insieme molto limitato di protocals (IPsec, ssh).

bastion sarà un potenziale punto di errore. In caso di problemi su questo sistema, la tua rete remota non sarà accessibile. Se un attacco su bastion ha successo, l'attaccante avrà il controllo sul tuo firewall e su tutto il tuo server gestito. Quindi è necessario fare tutto il tuo hardening del sistema operativo per farlo bastion come resistente agli attacchi e a prova di fallimento il più possibile. Ti consiglio di costruirlo sopra qualsiasi Unix che abbia una buona reputazione per consentire la creazione di sistemi operativi consolidati.

    
risposta data 03.12.2013 - 09:54
fonte
0

Questo è un compromesso tra usabilità e sicurezza. Non inserire mai i moduli KVM o DRAC sulla WAN, non molto tempo fa è stato rilasciato un bel exploit che ha come target BMC come DRAC .

Baseboard Management Controllers (BMCs) are a type of embedded computer used to provide out-of-band monitoring for desktops and servers. These products are sold under many brand names, including HP iLO, Dell DRAC, Sun ILOM, Fujitsu iRMC, IBM IMM, and Supermicro IPMI. BMCs are often implemented as embedded ARM systems, running Linux and connected directly to the southbridge of the host system's motherboard. Network access is obtained either via 'sideband' access to an existing network card or through a dedicated interface. In addition to being built-in to various motherboards, BMCs are also sold as pluggable modules and PCI cards. Nearly all servers and workstations ship with or support some form of BMC.

Considerare l'accesso al DRAC equivale ad avere un accesso fisico alla macchina:

If I can physically access your device, it's not your device anymore

Vorrei solo realizzare solo il firewall accessibile dalla WAN e proteggere la sua interfaccia di accesso con il filtro IP (solo il tuo ufficio, per esempio) e aggiungere all'autenticazione a due fattori.

Il problema qui è che hai introdotto un singolo punto di errore. Normalmente dovresti almeno rendere il firewall ridondante (che probabilmente non è possibile con Linux). Quindi prenderei in considerazione l'acquisto di hardware migliore che può essere inserito in modalità passivo attivo (o attivo-attivo se si desidera bilanciare il carico).

    
risposta data 03.12.2013 - 09:36
fonte
0

Una LAN di gestione bloccata e isolata è la strada da percorrere. Per l'accesso OOB (accesso fuori banda o entrare nella rete dell'amministratore quando il firewall non funziona) un server VPN con connessione WAN temprato configurato per ignorare tutto ciò che non è una connessione VPN sicura da un IP noto (preferibilmente il colo Disaster Recovery - tu fai hai uno di questi, giusto?) viene utilizzato per connettersi al firewall guasto e ad altra infrastruttura sulla rete di gestione.

Ad esempio: i tuoi amministratori utilizzano un concentratore VPN per connettersi al sito DR e quindi accedere alla LAN di gestione dei siti primari tramite una connessione VPN site-to-site. A seconda del budget, un circuito privato o MPLS sarebbe ancora più sicuro rispetto all'accesso WAN VPN.

Senza un sito DR, l'accesso diretto al server VPN di backup, come gli amministratori in viaggio con una connessione LTE oa casa su un modem via cavo, è probabilmente sicuro sufficiente - per più - con uno schema di autenticazione adeguatamente paranoico.

    
risposta data 02.01.2014 - 16:11
fonte

Leggi altre domande sui tag

In che modo i servizi di localizzazione del telefono ottengono le loro informazioni? Associare gli ordini degli ospiti con l'account se le e-mail corrispondono?