Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | |
а насколько все серьезно 07.08.03 09:18 Число просмотров: 1379
Автор: Flaidermouse Статус: Незарегистрированный пользователь
|
сколько денег фирма может потратить(т.е. насколько серьезная должна быть защита)?
или ты все будешь делать на базе операционки и программных фаерволов
|
|
<networking>
|
VPN, proxy или? 06.08.03 09:55
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
Есть: Win2k с IIS внутри сети. На нем крутится програма с веб интерфейсом (база данных).
Надо: удаленный доступ к этой программе с домашних компьюторов.
Условия: весь внешний трафик должен быть зашифрован; полный контроль доступа (кому зя, кому не зя); доступ только к тому IIS-у и не чего больше; простота администрирования (добавления/удиления пользователей); возможность интеграции с LDAP (для более навороченной авторизации).
Идеи:
1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще какой сойдет?
2) Reverse proxy с идентификацией пользователей (Squid с SSL - через интернет, внутри - не важно).
Можно ли это дело сделать как-то по другому, если да, то как?
Заранее спасибо.
|
|
VPN + статический NAT и фильтрация 07.08.03 08:30
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Идеи:
> 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще
> какой сойдет?
Да любой.
> 2) Reverse proxy с идентификацией пользователей (Squid с
> SSL - через интернет, внутри - не важно).
Бр-р. Зачем так сложно? Просто статический NAT на определенный порт. А аутентификацию лучше по ключу сделать в рамках VPN.
|
| |
WinXP + HP4050 07.08.03 10:11
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
> > Идеи:
> > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож
> еще
> > какой сойдет?
> Да любой.
>
> > 2) Reverse proxy с идентификацией пользователей (Squid
> с
> > SSL - через интернет, внутри - не важно).
> Бр-р. Зачем так сложно? Просто статический NAT на
Зачем сложно? squid 2.5 это делать умеет. И настройки на 5 минут.
> определенный порт. А аутентификацию лучше по ключу сделать
> в рамках VPN.
VPN менее интересен - больше настроек - больше проблем. Я на работе постоянно с PPTP воюю, то это отвалится, то то работать перестанет. Да и полный VPN не нужен. Только http.
|
| | |
чертовый мозила - не тот субж запомнил :-Е 07.08.03 10:13
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
|
|
|
Не совсем понятно, но... 06.08.03 10:31
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Есть: Win2k с IIS внутри сети. На нем крутится програма с
> веб интерфейсом (база данных).
> Надо: удаленный доступ к этой программе с домашних
> компьюторов.
По модему устроит или через интернет?
Файрвол поставить, разумеется, надо будет.
> Условия: весь внешний трафик должен быть зашифрован; полный
> контроль доступа (кому зя, кому не зя); доступ только к
> тому IIS-у и не чего больше; простота администрирования
> (добавления/удиления пользователей); возможность интеграции
> с LDAP (для более навороченной авторизации).
Если по модему, то и шифровать не обязательно. Если по интернету, можно https. Авторизация в RASе. На доступ к базе - пароли при доступе через интерфейс в самом интерфейсе.
> Идеи:
> 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще
> какой сойдет?
> 2) Reverse proxy с идентификацией пользователей (Squid с
> SSL - через интернет, внутри - не важно).
>
> Можно ли это дело сделать как-то по другому, если да, то
> как?
>
> Заранее спасибо.
Может что не так понял, но приблизительно такая задача была. И приблизительно таким образом решена. Надо Интернет-Банк-Клиент было запустить. И доступ через интернет и по модему. Та же база, тот же интерфейс. Тот же доступ.
|
| |
Уточнение: Доступ через и-нет. 06.08.03 18:40
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
|
|
| | |
а насколько все серьезно 07.08.03 09:18
Автор: Flaidermouse Статус: Незарегистрированный пользователь
|
сколько денег фирма может потратить(т.е. насколько серьезная должна быть защита)?
или ты все будешь делать на базе операционки и программных фаерволов
|
| | | |
очень серьезно 07.08.03 10:08
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
> сколько денег фирма может потратить(т.е. насколько
> серьезная должна быть защита)?
Очень серьезная (на том сервере стоит БД с полной инфой о пациентах клиники). К тому же клиникаобязанапринять все меры по защите подобной информации.
И на эти дела денег не жалеют.
> или ты все будешь делать на базе операционки и программных
> фаерволов
На данный момент рабочий вариант выглядет так:
Клиент---->{inet}---->Сервер/гейт(reverse proxy с SSL + авторизация)--->внутренняя сеть--->Win2k(IIS + повторная авторизация)
Посже клиет (клиника) хочет использовать RSA SecureID - брелок с постоянно меняющимся кодом и внутренний сервер, идентифицирующий каждый брелок и генерирующий новый пароль каждую минуту. Плюс еще один сервер/гейт работающий с этим брелком. Всумме - тройная авторизация 8-[ ]
|
| | | | |
ИМХО 08.08.03 02:52
Автор: Flaidermouse Статус: Незарегистрированный пользователь
|
тогда посмотри на Иформзащите инфу про Континент-К
это если готовый продукт брать
Ежели сам будешь делать, то лучший вариант : на PIX-ах сделать
програмно не советую, аппаратно надежнее
|
|
|
подробно о проекте
Анализ криптографических сетевых...
