> > Идеи: > > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож > еще > > какой сойдет? > Да любой. > > > 2) Reverse proxy с идентификацией пользователей (Squid > с > > SSL - через интернет, внутри - не важно). > Бр-р. Зачем так сложно? Просто статический NAT на Зачем сложно? squid 2.5 это делать умеет. И настройки на 5 минут.
> определенный порт. А аутентификацию лучше по ключу сделать > в рамках VPN. VPN менее интересен - больше настроек - больше проблем. Я на работе постоянно с PPTP воюю, то это отвалится, то то работать перестанет. Да и полный VPN не нужен. Только http.
Есть: Win2k с IIS внутри сети. На нем крутится програма с веб интерфейсом (база данных).
Надо: удаленный доступ к этой программе с домашних компьюторов.
Условия: весь внешний трафик должен быть зашифрован; полный контроль доступа (кому зя, кому не зя); доступ только к тому IIS-у и не чего больше; простота администрирования (добавления/удиления пользователей); возможность интеграции с LDAP (для более навороченной авторизации).
Идеи:
1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще какой сойдет?
2) Reverse proxy с идентификацией пользователей (Squid с SSL - через интернет, внутри - не важно).
Можно ли это дело сделать как-то по другому, если да, то как?
> Идеи: > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще > какой сойдет? Да любой.
> 2) Reverse proxy с идентификацией пользователей (Squid с > SSL - через интернет, внутри - не важно). Бр-р. Зачем так сложно? Просто статический NAT на определенный порт. А аутентификацию лучше по ключу сделать в рамках VPN.
> > Идеи: > > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож > еще > > какой сойдет? > Да любой. > > > 2) Reverse proxy с идентификацией пользователей (Squid > с > > SSL - через интернет, внутри - не важно). > Бр-р. Зачем так сложно? Просто статический NAT на Зачем сложно? squid 2.5 это делать умеет. И настройки на 5 минут.
> определенный порт. А аутентификацию лучше по ключу сделать > в рамках VPN. VPN менее интересен - больше настроек - больше проблем. Я на работе постоянно с PPTP воюю, то это отвалится, то то работать перестанет. Да и полный VPN не нужен. Только http.
чертовый мозила - не тот субж запомнил :-Е07.08.03 10:13 Автор: vitaliy_m Статус: Незарегистрированный пользователь
> Есть: Win2k с IIS внутри сети. На нем крутится програма с > веб интерфейсом (база данных). > Надо: удаленный доступ к этой программе с домашних > компьюторов.
По модему устроит или через интернет?
Файрвол поставить, разумеется, надо будет.
> Условия: весь внешний трафик должен быть зашифрован; полный > контроль доступа (кому зя, кому не зя); доступ только к > тому IIS-у и не чего больше; простота администрирования > (добавления/удиления пользователей); возможность интеграции > с LDAP (для более навороченной авторизации).
Если по модему, то и шифровать не обязательно. Если по интернету, можно https. Авторизация в RASе. На доступ к базе - пароли при доступе через интерфейс в самом интерфейсе.
> Идеи: > 1) VPN (наверное PPTP - IPSec сложно настраивать). Мож еще > какой сойдет? > 2) Reverse proxy с идентификацией пользователей (Squid с > SSL - через интернет, внутри - не важно). > > Можно ли это дело сделать как-то по другому, если да, то > как? > > Заранее спасибо.
Может что не так понял, но приблизительно такая задача была. И приблизительно таким образом решена. Надо Интернет-Банк-Клиент было запустить. И доступ через интернет и по модему. Та же база, тот же интерфейс. Тот же доступ.
Уточнение: Доступ через и-нет.06.08.03 18:40 Автор: vitaliy_m Статус: Незарегистрированный пользователь
> сколько денег фирма может потратить(т.е. насколько > серьезная должна быть защита)? Очень серьезная (на том сервере стоит БД с полной инфой о пациентах клиники). К тому же клиникаобязанапринять все меры по защите подобной информации.
И на эти дела денег не жалеют.
> или ты все будешь делать на базе операционки и программных > фаерволов На данный момент рабочий вариант выглядет так:
Клиент---->{inet}---->Сервер/гейт(reverse proxy с SSL + авторизация)--->внутренняя сеть--->Win2k(IIS + повторная авторизация)
Посже клиет (клиника) хочет использовать RSA SecureID - брелок с постоянно меняющимся кодом и внутренний сервер, идентифицирующий каждый брелок и генерирующий новый пароль каждую минуту. Плюс еще один сервер/гейт работающий с этим брелком. Всумме - тройная авторизация 8-[ ]
тогда посмотри на Иформзащите инфу про Континент-К
это если готовый продукт брать
Ежели сам будешь делать, то лучший вариант : на PIX-ах сделать
програмно не советую, аппаратно надежнее
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
