Назад | Перейти на главную страницу

Каков наилучший вариант отказоустойчивого резервного копирования для доступа к брандмауэру на случай, если сеть станет недоступной?

Мы размещаем 12 серверов на стойке в центре обработки данных с минимально достаточными административными навыками для выполнения работы прямо сейчас.

У нас есть VPN для межсетевого экрана, DMZ и внутренняя сеть.

Но что происходит в первый день, когда я не могу подключиться к брандмауэру, мы оказываемся заблокированы или неправильная конфигурация закрывает доступ к VPN и интерфейсу администратора?

У нас есть варианты резервного копирования, верно? 3G, модемы? Каков обычный, простой и дешевый подход к защите от неправильной конфигурации или изменения сети, из-за которых наша сеть становится недоступной?

Межсетевой экран - это SonicWall 3500.

Предполагая, что кластерный брандмауэр с независимыми конфигурациями невозможен или нежелателен, я бы настроил маломощный хост в качестве вторичного, избыточного брандмауэр (но без живого трафика).

НОТА: Я не называл это бэкдором и не рекомендовал его настраивать. Бэкдор в брандмауэре кричит об опасности. Лучше задать этот вопрос, каков безопасный резервный план доступа к брандмауэру в случае неправильной конфигурации.

На этом хосте я бы:

  • Подключите его к Интернету и внутренней сети (или сети DMZ), убедившись, что он НЕ проходит через основной брандмауэр.
    • Если у вас есть дополнительные модемы со статическими IP-адресами, вы можете использовать это подключение к Интернету.
  • Он ДОЛЖЕН быть настроен таким же безопасным (или даже более безопасным), как ваш основной брандмауэр. Например:
    • Используйте обновленный, усиленный дистрибутив Linux
    • Иметь только одну службу прослушивания: SSH
    • Принимать только аутентификацию с парой ключей SSH для пользователя без полномочий root (sudo, если потребуется позже)
    • Ограничьте, какие сети могут получить доступ к этому узлу (например, если в вашем офисе есть статическая подсеть)
    • Вы даже можете придумать и еще больше запутать хост с помощью таких вещей, как нестандартный номер порта для SSH или стук порта (хотя, вероятно, излишний, а запутывание НЕ является безопасностью)

После входа в систему через SSH вы сможете подключиться к SSH или SSH-туннелю куда угодно в вашей внутренней сети.

Это все еще не 100% защита от ошибок, потому что есть несколько редких случаев, когда это не удается. Например, если ваш интернет-провайдер испортил свою собственную конфигурацию сети (если у вас нет вторичного модема / интернет-провайдера).

Это более старое решение, но оно все еще работает. Методы и протоколы просты и надежны.

  1. Удаленные руки в центре обработки данных. Вам нужно будет направить человека в центр обработки данных для подключения некоторых кабелей. Если удаленные руки недоступны, вы можете изменить другие элементы, указанные ниже.
  2. Телефон (в любом случае полезно иметь стационарный телефон в центре обработки данных, если вас не устраивает качество звука мобильного телефона в окружении тысяч компьютерных фанатов).
  3. Модем 56K - убедитесь, что все кабели готовы и четко помечены места их подключения. Предположим, что технический специалист центра обработки данных может быть отвлечен, неопытен или некомпетентен или действительно очень устал в 3 часа ночи - надейтесь на лучшее, планируйте худшее. Оставьте модем выключенным и оставьте кабели отключенными для защиты от "воздушного зазора" на случай, если модем случайно включится. Вы же не хотите, чтобы модем был доступен, если его обнаружит какой-нибудь дознаватель.
  4. Последовательный консольный сервер, подключенный к вашим наиболее важным системам, включая брандмауэр. Некоторые сайты регулярно используют последовательную консоль, поэтому она хорошо протестирована.

Когда вам это понадобится, позвоните в центр обработки данных и попросите подключить модем и включить его. Затем позвоните, подключитесь к брандмауэру и устраните проблему.

Использовать консольный сервер и любые возможности подключения, которые вы можете получить на сайте (3G / DSL / телефонная линия) для подключения к нему. Некоторые имеют встроенную возможность VPN.

Производителей много, так что можно потратить много или выберите тот, который соответствует вашему бюджету.

Тогда, даже если брандмауэр застрял в ПЗУ после неудачного обновления без подключения к сети, вы все равно сможете получить к нему удаленный доступ.