Каков наилучший вариант резервного копирования для доступа к брандмауэру, если сеть становится недоступной?

Мы размещаем 12 серверов в стойке в центре обработки данных с минимально достаточными административными навыками, чтобы выполнять работу прямо сейчас.

У нас есть VPN к брандмауэру и DMZ и настроена внутренняя сеть.

Но что произойдет в первый день, когда я не смогу подключиться к брандмауэру, мы заблокированы, или из-за неправильной конфигурации отключается доступ к VPN и интерфейсу администратора?

У нас есть варианты резервного копирования, верно? 3G, модемы? Каков типичный, простой и дешевый подход к защите от неправильной конфигурации или изменения сети, из-за которых наша сеть недоступна?

Брандмауэр - SonicWall 3500.

3 ответа

Предполагая, что кластерный межсетевой экран с независимыми конфигурациями невозможен или нежелателен, я бы настроил хост с низким энергопотреблением в качестве вторичного избыточного межсетевого экрана (но без трафика в реальном времени).

ПРИМЕЧАНИЕ: я не назвал это бэкдором или рекомендовал создать его. Бэкдор к брандмауэру кричит об опасности. Лучший способ задать этот вопрос - каков безопасный запасной план доступа к брандмауэру в случае неправильной конфигурации.

На этом хосте я бы:

  • Подключите его к Интернету и внутренней сети (или сети DMZ), убедившись, что он НЕ проходит через главный брандмауэр
    • Если у вас есть дополнительные модемы со статическими IP-адресами, вы можете использовать это подключение к Интернету вместо
  • Он ДОЛЖЕН быть настроен так же безопасно, как (или даже более безопасно, чем) ваш главный брандмауэр. Например:
    • Используйте обновленный защищенный дистрибутив Linux
    • Есть только одна служба прослушивания: SSH
    • Принимать только SSH-аутентификацию по ключевой паре для пользователя без полномочий root (sudo, если необходимо позже)
    • Ограничьте, какие сети могут получить доступ к этому хосту (например, если ваш офис имеет статическую подсеть)
    • Вы даже можете получить фантазию и еще больше запутать хост с такими вещами, как нестандартный номер порта для SSH или стук порта (хотя, возможно, это излишнее, а запутывание НЕ является безопасностью)

После входа в систему через SSH вы сможете подключиться к SSH или туннелю SSH, где вам нужно во внутренней сети.

Это все еще не 100% -ная защита от дурака, потому что есть несколько редких случаев, когда это не удастся. Например, если ваш провайдер испортил собственную конфигурацию сети (если у вас нет вторичного модема / провайдера).

Это более старое решение, но оно все еще работает. Методы и протоколы просты и надежны.

  1. Удаленные руки в ЦОД. Вам нужно будет направить человека в центр обработки данных, чтобы подключить некоторые кабели. Если нет доступных дистанционных рук, вы можете изменить другие пункты ниже.
  2. Телефон (в любом случае полезно иметь стационарный телефон в центре обработки данных, если вы не согласны с качеством звука мобильного телефона, когда вас окружают тысячи компьютерных фанатов).
  3. Модем 56K - Убедитесь, что все кабели готовы и четко обозначены, куда они идут. Предположим, что технология центра обработки данных может быть отвлечена, неопытна или некомпетентна, или действительно очень устала в 3 часа ночи - надежда на лучшее, план на худшее. Оставьте модем выключенным и не подключайте кабели в качестве защиты от воздушного зазора в случае случайного включения модема. Вы не хотите, чтобы модем был доступен в случае, если какой-то Wardialer обнаружит его.
  4. Сервер последовательной консоли, подключенный к вашим наиболее важным системам, включая ваш брандмауэр. Некоторые сайты используют последовательную консоль на регулярной основе, поэтому она хорошо протестирована.

Когда вам это нужно, позвоните в центр обработки данных и попросите его подключить модем и включить его. Затем наберите номер, подключитесь к брандмауэру и устраните проблему.

Используйте консольный сервер и все соединения, которые вы можете получить на сайте (3G/DSL/ телефонная линия), чтобы подключиться к нему. Некоторые из них имеют встроенную функцию VPN.

Есть много производителей, так что вы можете потратить много или выбрать тот, который соответствует вашему бюджету.

Тогда даже если брандмауэр застрял в ПЗУ после неудачного обновления без возможности использования сети, вы все равно сможете получить к нему доступ удаленно.

Другие вопросы по тегам