Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Nac
Зарегистрирован: 07.04.2005 Сообщения: 7
|
Добавлено: Чт Апр 07 2005 09:21 Заголовок сообщения: Решение вопроса безопасности при доступе из Internet. |
|
|
Задача такова. Есть мобильные пользователи со своими ноутбуками. Путешевствуют они по матушке России. При этом периодически соединяются с нашим офисом через интренет. Их задача присоединиться к терминальной сессии и сделать заказ продукта.
Каким образом можно решить проблему безопасности
Говорю сразу ,что имя пользователя и пароль -это не защита.
Ограниение по IP и MAC адресам то же не годится. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Апр 07 2005 13:03 Заголовок сообщения: |
|
|
Я третьего дня сделал VPN-сервер.
Ходят через него москвичи и буржуи всякие.
Использовал протокол PPTP. Почему? Настраивается на виндузе (клиент) за 5 секунд. Сервер на Линуксе крутится.
Рекомендую.
Правильное решение IPSec. Но настройки могут убить любое желание делать какие-либо защищенные соединения... |
|
Вернуться к началу |
|
|
bary
Зарегистрирован: 22.05.2002 Сообщения: 453 Откуда: Moscow
|
Добавлено: Чт Апр 07 2005 13:25 Заголовок сообщения: |
|
|
А если еще раздать Токены или смарт карты то вообще секьюритно! |
|
Вернуться к началу |
|
|
Nac
Зарегистрирован: 07.04.2005 Сообщения: 7
|
Добавлено: Чт Апр 07 2005 15:18 Заголовок сообщения: |
|
|
У меня то же стоит PPTP сервер. На своем роутере поднял.
Штука хорошая но единственная авторизация ,которую трубует сервер -имя пользователя и пароль.
Авторизоровался и вперет в локалку. Делай что хочешь.
Что касается шифрование -тут все в поряде. Стоит MPPE 128 bit encription mode, MsCHAP auth. На windows клиенте настройка -"требовать безопасность". Все работает.
IP адрес выдается автоматически.
Не долго думая можно по открытому порту 1723 TCP догодаться кто его открыл и приконектиться. Все что нужно: username+password.
Мне кажется это слишком просто.
Что касается IPSec то за NAT динамическим это работать не будет в "чистом виде", а если через тунель -убъешся с настройками ,причем "простым смертным" это объяснить ,как правило по телефону, это трындец... |
|
Вернуться к началу |
|
|
Nac
Зарегистрирован: 07.04.2005 Сообщения: 7
|
Добавлено: Чт Апр 07 2005 15:21 Заголовок сообщения: |
|
|
На счет Токенов. Идея хорошая. Как раз сейчас изучаю подробности работы и уровень безопасности. Если есть где что по подробнее почитать -буду благодарен. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Чт Апр 07 2005 21:39 Заголовок сообщения: |
|
|
У меня еще на основании юзверь/пароль динамически назначаются свои правила. Куда он может ходить, а куда нет.
Во время сессии на сервере ведется лог-файл в который пишется кто и куда ходил. |
|
Вернуться к началу |
|
|
Nac
Зарегистрирован: 07.04.2005 Сообщения: 7
|
Добавлено: Пт Апр 08 2005 08:51 Заголовок сообщения: |
|
|
Каким образом Вы ограничили доступ пользователя?
Т.е. учетная запись при доступе к PPTP одна ,а после авторизации используется та ,в которой работает текущий пользователь. И на нее Вы накладываете ограничения на контролеере домена. Если я не правильно понял по правьте меня пожалуйста.
Что касается лога ,то у меня он тоже есть. |
|
Вернуться к началу |
|
|
bary
Зарегистрирован: 22.05.2002 Сообщения: 453 Откуда: Moscow
|
|
Вернуться к началу |
|
|
Nac
Зарегистрирован: 07.04.2005 Сообщения: 7
|
Добавлено: Пт Апр 08 2005 08:59 Заголовок сообщения: |
|
|
Спасибо за ссылку. |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Пт Апр 08 2005 20:35 Заголовок сообщения: |
|
|
Учетная запись только на вход.
Контроллер домена тут вообще никаким местом. Не нужен инженеру тех.суппорта Erisson никакой домен. |
|
Вернуться к началу |
|
|
|