Mejores prácticas para acceder al puerto de administración del firewall

Navega tus respuestas
1

Estoy en el proceso de configurar un grupo de servidores en el otro extremo del mundo (bueno, 8 horas de viaje) en un lugar de ubicación conjunta.

Todos los servidores y el firewall tienen un puerto de administración remota (KVM, DRAC, lo que sea). Me pregunto cuál es la mejor práctica sobre cómo acceder a & asegúrate de que.

Obviamente, podría poner todos esos en una VLAN separada y poner algunas reglas de filtrado en el firewall (una caja de Linux). Pero luego, la accesibilidad de la administración remota del cortafuegos depende del propio cortafuegos. No creo que esta sea una idea brillante. One ifdown y estás fuera.

También podría colocar los puertos de administración de los servidores en una red separada y dejar el puerto de administración del firewall abierto en Internet, pero esto no parece ser muy elegante.

También podría dejar todo en Internet público, por supuesto.

¿Cuáles son sus mejores prácticas recomendadas?

    
pregunta Alexander 03.12.2013 - 08:37
fuente

3 respuestas

2

Le sugiero que use la arquitectura de bastidor de puerta trasera

.

  1. Instale una máquina reforzada dentro de su red remota que será se utiliza como punto de entrada uniq para acceder al interior de su red remota. Para la claridad de esta descripción textual, la llamaré bastion . Como regla general, cualquier protocolo que no se utilice en bastion deberá estar desactivado. Se registrarán todos los protocolos permitidos (si es posible en un servidor syslog dentro de su red remota).

  2. Coloque todas sus interfaces de administración en una VLAN cerrada dedicada: managment . managment no será accesible desde la WAN o desde la LAN remota. Solo será accesible desde bastion .

  3. Bloquee cualquier acceso directo de WAN hacia su firewall. Solo se podrá acceder a su firewall desde bastion y a través de un conjunto muy limitado de protocolos (IPsec, ssh).

bastion será un punto potencial de falla. En caso de problemas en este sistema, su red remota no será accesible. Si un ataque a bastion se vuelve exitoso, el atacante tendrá control sobre su firewall y sobre todo su servidor administrado. Por lo tanto, se debe hacer todo el endurecimiento de su sistema operativo para hacer esto. bastion como resistente al ataque y a prueba de fallas como sea posible. Le aconsejo que lo construya sobre cualquier Unix que tenga una buena reputación para permitir la construcción de sistemas operativos reforzados.

    
respondido por el daniel Azuelos 03.12.2013 - 09:54
fuente
0

Esta es una compensación entre usabilidad y seguridad. Nunca coloque sus módulos KVM o DRAC en la WAN, no hace mucho se lanzó un buen exploit que apunta a BMC como DRAC .

  

Los controladores de administración de la placa base (BMC) son un tipo de incrustado   Computadora utilizada para proporcionar monitoreo fuera de banda para computadoras de escritorio y   servidores Estos productos se venden bajo muchas marcas, incluyendo HP   iLO, Dell DRAC, Sun ILOM, Fujitsu iRMC, IBM IMM y Supermicro IPMI.   Los BMC a menudo se implementan como sistemas ARM incorporados, ejecutando Linux y   conectado directamente al puente sur del sistema host   tarjeta madre. El acceso a la red se obtiene a través del acceso de 'banda lateral'   a una tarjeta de red existente oa través de una interfaz dedicada. En   Además de estar integrado en varias placas base, los BMC también se venden   Como módulos enchufables y tarjetas PCI. Casi todos los servidores y   las estaciones de trabajo se envían con o admiten algún tipo de BMC.

Considerar el acceso a DRAC es lo mismo que tener acceso físico a la máquina:

  

Si puedo acceder físicamente a tu dispositivo, ya no es tu dispositivo

Simplemente haría que solo se pudiera acceder al firewall desde la WAN y también protegería su interfaz de inicio de sesión con filtrado de IP (su oficina solo por ejemplo) y le agregaría una autenticación de dos factores.

El problema aquí es que introdujo un único punto de falla. Normalmente, al menos debería haber hecho que el firewall sea redundante (lo que probablemente no sea posible con Linux). Por lo tanto, consideraría obtener un mejor hardware que pueda colocarse en modo activo-pasivo (o activo-activo si desea cargar el saldo).

    
respondido por el Lucas Kauffman 03.12.2013 - 09:36
fuente
0

Una LAN de administración bloqueada y aislada es el camino a seguir. Para acceso OOB (acceso fuera de banda, o para ingresar a la red de administración cuando el firewall está inactivo) un servidor VPN orientado a WAN configurado configurado para ignorar todo lo que no sea una conexión VPN segura de una IP conocida (preferiblemente el colo de recuperación de desastres) - usted tiene uno de esos, ¿verdad?) se usa para conectarse al firewall muerto y otra infraestructura en la red de administración.

Por ejemplo: sus administradores usarían un concentrador de VPN para conectarse al sitio de DR y luego accederían a la LAN de administración del sitio principal a través de una conexión VPN de sitio a sitio. Dependiendo de su presupuesto, un circuito privado o MPLS sería incluso más seguro que el acceso VPN a la WAN.

Sin un sitio de DR, el acceso directo al servidor VPN de respaldo, como los administradores en el camino con una conexión LTE o en casa con un módem por cable, es probablemente seguro suficiente - para la mayoría de los propósitos - con un esquema de autenticación paranoide adecuado.

    
respondido por el RI Swamp Yankee 02.01.2014 - 16:11
fuente

Lea otras preguntas en las etiquetas

NAT transversal para el protocolo IPsec AH Falta el atributo seguro en la sesión cifrada (SSL) Revisión de la cookie