| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
|
| Вернуться к началу |
|
 |
Алекс
Зарегистрирован: 25.06.2003
Сообщения: 2206
Откуда: Москва
|
 Добавлено: Чт Июн 24 2004 10:17 Заголовок сообщения: Re: VPN-соединение через IPSec |
 |
|
| Dmitry.Karpov писал(а): | | Есть FreeBSD-машина, через которую сеть 192.168.*.* выходит в Internet. В этой сетИ есть MS-SQL сервер, к которому нужен доступ извне. Ввставлять что-либо M$явное наружу без прикрытия я опасаюсь. |
А зачем наружу-то?
| Цитата: | | Думаю огранизовать VPN-соединение между Windows-клиентами извне и FreeBSD-сервером, имитируя DialUp (парольный вход по соединению "точка-точка"). |
А почему именно ВПН?
Может роутинг на ФРЕ настроить во внутрь (к серверу), наподобии организации демилитаризованной зоны, но без второго брандмауэра, т.к. он, скорее всего, тебе не нужен?
_________________
Удачи! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Чт Июн 24 2004 17:06 Заголовок сообщения: Re: VPN-соединение через IPSec |
|
|
| Алекс писал(а): | | А зачем наружу-то? |
Чтобы клиенты извне (но только кому положено) могли подсоединиться к M$-SQL серверу. Именно это ты и предлагаешь, говоря о поднятии роутинга.
| Алекс писал(а): | А почему именно ВПН?
Может роутинг на ФРЕ настроить во внутрь (к серверу), наподобии организации демилитаризованной зоны, но без второго брандмауэра, т.к. он, скорее всего, тебе не нужен? |
Проблема в том, что ряд атак (в т.ч. переполнение буферов) можно провести ещё до ввода пароля. Поэтому я бы хотел, чтобы ещё до получения доступа клиенты авторизовались на этапе установки VPN-соединения. Ну и заодно пароль при авторизации на M$-SQL сервере будет пересылаться по защищённому от прослушивания каналу.
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003
Сообщения: 2206
Откуда: Москва
|
| Добавлено: Пт Июн 25 2004 11:11 Заголовок сообщения: Re: VPN-соединение через IPSec |
|
|
| Dmitry.Karpov писал(а): | | Чтобы клиенты извне (но только кому положено) могли подсоединиться к M$-SQL серверу. Именно это ты и предлагаешь, говоря о поднятии роутинга. |
Дим, ты же у нас спец-юниксоид! Разве нельзя настроить на соединение только для тех, кому можно? Никсы ж это один бААльшой файервол! 
| Цитата: | | Проблема в том, что ряд атак (в т.ч. переполнение буферов) можно провести ещё до ввода пароля. Поэтому я бы хотел, чтобы ещё до получения доступа клиенты авторизовались на этапе установки VPN-соединения. Ну и заодно пароль при авторизации на M$-SQL сервере будет пересылаться по защищённому от прослушивания каналу. |
Вот в для защиты ВПН конечно хорошо. А роутить ВПН в ДМЗ нельзя? Или ты хочешь именно "2 степени защиты" - ФРЮ и сам СКуЛ?
_________________
Удачи! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov
Зарегистрирован: 30.11.2003
Сообщения: 415
Откуда: Moscow
|
| Добавлено: Пт Июн 25 2004 13:35 Заголовок сообщения: Re: VPN-соединение через IPSec |
|
|
| Алекс писал(а): | | Дим, ты же у нас спец-юниксоид! Разве нельзя настроить на соединение только для тех, кому можно? Никсы ж это один бААльшой файервол! ;) |
Для этого я должен заранее прописАть все IP-номера, с которых возможно соединениес M$-SQL; а могут появиться новые места; есть места, где много юзеров выходят из-под маскарадинга (хотя тут и VPN может не заработать, особенно если он не UDP-based); есть динамически назначаемые IP-номера на DialUp.[/quote]
| Алекс писал(а): | | Вот в для защиты ВПН конечно хорошо. А роутить ВПН в ДМЗ нельзя? Или ты хочешь именно "2 степени защиты" - ФРЮ и сам СКуЛ? |
Есть варианс с пробросом внутрь только VPN-пакетов - тогда клиент сначала установит VPN-соединение с Windows-сервером, а потом по этому VPN-соединению законтачит с M$-SQL; но через FreeBSD мне кажется надёжнее.
_________________
Благословен Бог, сотворивший меня сисадмином! |
|
| Вернуться к началу |
|
|
Алекс
Зарегистрирован: 25.06.2003
Сообщения: 2206
Откуда: Москва
|
| Добавлено: Пт Июн 25 2004 14:03 Заголовок сообщения: Re: VPN-соединение через IPSec |
|
|
| Dmitry.Karpov писал(а): | | Для этого я должен заранее прописАть все IP-номера, с которых возможно соединениес M$-SQL; а могут появиться новые места; есть места, где много юзеров выходят из-под маскарадинга (хотя тут и VPN может не заработать, особенно если он не UDP-based); есть динамически назначаемые IP-номера на DialUp. |
Понимаю. Но можно диапазоны прописать. Наврядли кто-то будет ломиться именно из него. Хотя, конечно, вероятность есть...
| Цитата: | | Есть варианс с пробросом внутрь только VPN-пакетов - тогда клиент сначала установит VPN-соединение с Windows-сервером, а потом по этому VPN-соединению законтачит с M$-SQL; но через FreeBSD мне кажется надёжнее. |
Да, я именно это и имел в виду. Оно-то, конечно, надежнее, но и сложнее.
_________________
Удачи! |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
