Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
WinXP + HP4050 07.08.03 10:11 Число просмотров: 1549
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
> > Идеи: > > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож > еще > > какой сойдет? > Да любой. > > > 2) Reverse proxy с идентификацией пользователей (Squid > с > > SSL - через интернет, внутри - не важно). > Бр-р. Зачем так сложно? Просто статический NAT на Зачем сложно? squid 2.5 это делать умеет. И настройки на 5 минут.
> определенный порт. А аутентификацию лучше по ключу сделать > в рамках VPN. VPN менее интересен - больше настроек - больше проблем. Я на работе постоянно с PPTP воюю, то это отвалится, то то работать перестанет. Да и полный VPN не нужен. Только http.
|
<networking>
|
VPN, proxy или? 06.08.03 09:55
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
Есть: Win2k с IIS внутри сети. На нем крутится програма с веб интерфейсом (база данных).
Надо: удаленный доступ к этой программе с домашних компьюторов.
Условия: весь внешний трафик должен быть зашифрован; полный контроль доступа (кому зя, кому не зя); доступ только к тому IIS-у и не чего больше; простота администрирования (добавления/удиления пользователей); возможность интеграции с LDAP (для более навороченной авторизации).
Идеи:
1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще какой сойдет?
2) Reverse proxy с идентификацией пользователей (Squid с SSL - через интернет, внутри - не важно).
Можно ли это дело сделать как-то по другому, если да, то как?
Заранее спасибо.
|
|
VPN + статический NAT и фильтрация 07.08.03 08:30
Автор: cybervlad <cybervlad> Статус: Elderman
|
> Идеи: > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще > какой сойдет? Да любой.
> 2) Reverse proxy с идентификацией пользователей (Squid с > SSL - через интернет, внутри - не важно). Бр-р. Зачем так сложно? Просто статический NAT на определенный порт. А аутентификацию лучше по ключу сделать в рамках VPN.
|
| |
WinXP + HP4050 07.08.03 10:11
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
> > Идеи: > > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож > еще > > какой сойдет? > Да любой. > > > 2) Reverse proxy с идентификацией пользователей (Squid > с > > SSL - через интернет, внутри - не важно). > Бр-р. Зачем так сложно? Просто статический NAT на Зачем сложно? squid 2.5 это делать умеет. И настройки на 5 минут.
> определенный порт. А аутентификацию лучше по ключу сделать > в рамках VPN. VPN менее интересен - больше настроек - больше проблем. Я на работе постоянно с PPTP воюю, то это отвалится, то то работать перестанет. Да и полный VPN не нужен. Только http.
|
| | |
чертовый мозила - не тот субж запомнил :-Е 07.08.03 10:13
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
|
|
Не совсем понятно, но... 06.08.03 10:31
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> Есть: Win2k с IIS внутри сети. На нем крутится програма с > веб интерфейсом (база данных). > Надо: удаленный доступ к этой программе с домашних > компьюторов.
По модему устроит или через интернет?
Файрвол поставить, разумеется, надо будет.
> Условия: весь внешний трафик должен быть зашифрован; полный > контроль доступа (кому зя, кому не зя); доступ только к > тому IIS-у и не чего больше; простота администрирования > (добавления/удиления пользователей); возможность интеграции > с LDAP (для более навороченной авторизации).
Если по модему, то и шифровать не обязательно. Если по интернету, можно https. Авторизация в RASе. На доступ к базе - пароли при доступе через интерфейс в самом интерфейсе.
> Идеи: > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще > какой сойдет? > 2) Reverse proxy с идентификацией пользователей (Squid с > SSL - через интернет, внутри - не важно). > > Можно ли это дело сделать как-то по другому, если да, то > как? > > Заранее спасибо.
Может что не так понял, но приблизительно такая задача была. И приблизительно таким образом решена. Надо Интернет-Банк-Клиент было запустить. И доступ через интернет и по модему. Та же база, тот же интерфейс. Тот же доступ.
|
| |
Уточнение: Доступ через и-нет. 06.08.03 18:40
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
|
| | |
а насколько все серьезно 07.08.03 09:18
Автор: Flaidermouse Статус: Незарегистрированный пользователь
|
сколько денег фирма может потратить(т.е. насколько серьезная должна быть защита)?
или ты все будешь делать на базе операционки и программных фаерволов
|
| | | |
очень серьезно 07.08.03 10:08
Автор: vitaliy_m Статус: Незарегистрированный пользователь
|
> сколько денег фирма может потратить(т.е. насколько > серьезная должна быть защита)? Очень серьезная (на том сервере стоит БД с полной инфой о пациентах клиники). К тому же клиникаобязанапринять все меры по защите подобной информации.
И на эти дела денег не жалеют.
> или ты все будешь делать на базе операционки и программных > фаерволов На данный момент рабочий вариант выглядет так:
Клиент---->{inet}---->Сервер/гейт(reverse proxy с SSL + авторизация)--->внутренняя сеть--->Win2k(IIS + повторная авторизация)
Посже клиет (клиника) хочет использовать RSA SecureID - брелок с постоянно меняющимся кодом и внутренний сервер, идентифицирующий каждый брелок и генерирующий новый пароль каждую минуту. Плюс еще один сервер/гейт работающий с этим брелком. Всумме - тройная авторизация 8-[ ]
|
| | | | |
ИМХО 08.08.03 02:52
Автор: Flaidermouse Статус: Незарегистрированный пользователь
|
тогда посмотри на Иформзащите инфу про Континент-К
это если готовый продукт брать
Ежели сам будешь делать, то лучший вариант : на PIX-ах сделать
програмно не советую, аппаратно надежнее
|
|
|