The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Проброс соединения"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Firewall, Фильтрация пакетов / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Проброс соединения"  +/
Сообщение от asphinx on 01-Ноя-17, 16:47 
Добрый день!

Посоветуйте решение - возникла такая задача:
у одной конторы есть основной канал с серым динамическим IP, куда ходят 95% трафика. Для особых нужд, решаемых с личного одобрения руководителя отдела, есть белый IP в соседнем здании. Между зданиями линк есть. На границе в обоих точках - FreeBSD+ipfw (FreeBSD1 и FreeBSD2). В основном сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал portknocking и ремап порта 3389 на левый. Как бы передать с FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего мира?
Немного сумбурно получилось... В Интернете пока решения не нашёл.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Проброс соединения"  +1 +/
Сообщение от Andrey (??) on 01-Ноя-17, 17:17 
>[оверквотинг удален]
> есть белый IP в соседнем здании. Между зданиями линк есть. На
> границе в обоих точках - FreeBSD+ipfw (FreeBSD1 и FreeBSD2). В основном
> сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных
> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ
> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал
> portknocking и ремап порта 3389 на левый. Как бы передать с
> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет
> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего
> мира?
> Немного сумбурно получилось... В Интернете пока решения не нашёл.

Поднимите VPN. Не изобретайте велосипедов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Проброс соединения"  +/
Сообщение от asphinx on 01-Ноя-17, 17:36 
>[оверквотинг удален]
>> границе в обоих точках - FreeBSD+ipfw (FreeBSD1 и FreeBSD2). В основном
>> сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных
>> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ
>> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал
>> portknocking и ремап порта 3389 на левый. Как бы передать с
>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет
>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего
>> мира?
>> Немного сумбурно получилось... В Интернете пока решения не нашёл.
> Поднимите VPN. Не изобретайте велосипедов.

Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от сервера, openvpn требует установки tun/tap устройства, чего программер у себя не хочет. Думал про запуск скрипта через ssh - не хочу отрывать дырку с рутовым доступом. Сейчас читаю man nc...

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проброс соединения"  +/
Сообщение от Andrey Mitrofanov on 01-Ноя-17, 17:42 
>> Поднимите VPN. Не изобретайте велосипедов.
> Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от
> дырку с рутовым доступом. Сейчас читаю man nc...

По впечатлению, параграфы
  "сделал portknocking" и
  "бухгалтерский сервер открытым для всего мира"
противоречат.

Впрочем, я не вчитывался и желания нет. Продолжу наблюдать за разрастанием треда до 70+ постов со стороны.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Проброс соединения"  +/
Сообщение от asphinx on 01-Ноя-17, 18:09 
>>> Поднимите VPN. Не изобретайте велосипедов.
>> Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от
>> дырку с рутовым доступом. Сейчас читаю man nc...
> По впечатлению, параграфы
>   "сделал portknocking" и
>   "бухгалтерский сервер открытым для всего мира"
> противоречат.
> Впрочем, я не вчитывался и желания нет.

В том-то и беда, что "не вчитывался"... :) portknоcking работает на одном шлюзе - с белым IP. А бухгалтерский сервер стоит за другим сервером, у которого есть свой канал в тырнет. Нет никакой гарантии, что какой-нибудь ушлый кульхацкер просканирует адрес и возрадуется, найдя открытым rdp. Даже более - политикой безопасности предписано держать rdp открытым даже для внутренних пользователей только прошедших одобрение начальника отдела. В смысле есть список адресов, одобренных начальством, откуда юзеры могут заходить на сервер. А вот с программером шеф пока лоханулся... :(

Более того - есть в зданиях (читай - в сети) арендаторы, которых мы котролировать не можем. И вынести в отдельный физический сегмент пока не получается. Нет гарантии, что какой-нибудь школьник не попробует какой-нибудь новый инстрУмент, о котором ему друзья рассказали.

Вот потому и хочется решения, чтобы FreeBSD2, пропустив "своего", дал серверу FreeBSD2 команду "пропустить его дальше".

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Проброс соединения"  +/
Сообщение от reader (ok) on 01-Ноя-17, 20:24 
>[оверквотинг удален]
>>> границе в обоих точках - FreeBSD+ipfw (FreeBSD1 и FreeBSD2). В основном
>>> сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных
>>> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ
>>> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал
>>> portknocking и ремап порта 3389 на левый. Как бы передать с
>>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет
>>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего
>>> мира?
>>> Немного сумбурно получилось... В Интернете пока решения не нашёл.
>> Поднимите VPN. Не изобретайте велосипедов.

так сделайте SNAT для пакетов программера и стучите дальше на FreeBSD1

> Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от
> сервера, openvpn требует установки tun/tap устройства, чего программер у себя не
> хочет. Думал про запуск скрипта через ssh - не хочу отрывать
> дырку с рутовым доступом. Сейчас читаю man nc...

программер tun/tap не хочет, а стучать будет или он еще не знает, что вы ему готовите?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Проброс соединения"  +/
Сообщение от asphinx on 01-Ноя-17, 22:49 
>[оверквотинг удален]
>>>> сегменте несколько серверов, выделенных в отдельную подсеть и спрятанных от случайных
>>>> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ
>>>> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал
>>>> portknocking и ремап порта 3389 на левый. Как бы передать с
>>>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет
>>>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего
>>>> мира?
>>>> Немного сумбурно получилось... В Интернете пока решения не нашёл.
>>> Поднимите VPN. Не изобретайте велосипедов.
> так сделайте SNAT для пакетов программера и стучите дальше на FreeBSD1

Да как-то громоздко получается - проброс портов в нате для второго knocking-а, два раза запускать стучалку у клиента...

>> Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от
>> сервера, openvpn требует установки tun/tap устройства, чего программер у себя не
>> хочет. Думал про запуск скрипта через ssh - не хочу отрывать
>> дырку с рутовым доступом. Сейчас читаю man nc...
> программер tun/tap не хочет, а стучать будет или он еще не знает,
> что вы ему готовите?

Ну, нашёлся knock под cygwin, например - килобайт 200-300 с dll-кой cygwin-a. Установка не нужна, современные винды конвееризацию команд уже понимают. Возможно, найдётся ещё и статически собранный... Кстати, решение простое тоже нашлось - самому стыдно, как протупил: ssh+sudo. Скрипт с правом запуска без пароля запускаемый тем же knockd.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Проброс соединения"  +/
Сообщение от reader (ok) on 01-Ноя-17, 23:33 
>[оверквотинг удален]
>>>>> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал
>>>>> portknocking и ремап порта 3389 на левый. Как бы передать с
>>>>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет
>>>>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего
>>>>> мира?
>>>>> Немного сумбурно получилось... В Интернете пока решения не нашёл.
>>>> Поднимите VPN. Не изобретайте велосипедов.
>> так сделайте SNAT для пакетов программера и стучите дальше на FreeBSD1
> Да как-то громоздко получается - проброс портов в нате для второго knocking-а,
> два раза запускать стучалку у клиента...

второй стук - с FreeBSD2, скриптовый. Потом еще с ответными пакетами разбираться, у FreeBSD1 вить выход в инет свой.

Но все таки vpn.
Программер на FreeBSD2 (белый ip) подключается, раз уж маршрут передать не можете, то бух.сервер тоже подключаете (через локалку), и если vpn сервер их не сможет соединить, городить пробросы, маршрутизацию или бридж

про виртуалку на FreeBSD2 с которой программер будет работать с 1с я молчу

>[оверквотинг удален]
>>> сервера, openvpn требует установки tun/tap устройства, чего программер у себя не
>>> хочет. Думал про запуск скрипта через ssh - не хочу отрывать
>>> дырку с рутовым доступом. Сейчас читаю man nc...
>> программер tun/tap не хочет, а стучать будет или он еще не знает,
>> что вы ему готовите?
> Ну, нашёлся knock под cygwin, например - килобайт 200-300 с dll-кой cygwin-a.
> Установка не нужна, современные винды конвееризацию команд уже понимают. Возможно, найдётся
> ещё и статически собранный... Кстати, решение простое тоже нашлось - самому
> стыдно, как протупил: ssh+sudo. Скрипт с правом запуска без пароля запускаемый
> тем же knockd.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Проброс соединения"  –1 +/
Сообщение от Andrey (??) on 01-Ноя-17, 23:23 
>[оверквотинг удален]
>>> portknocking и ремап порта 3389 на левый. Как бы передать с
>>> FreeBSD2 на FreeBSD1 команду открыть порт для такого-то адреса, откуда полезет
>>> программер? Чтобы не держать rdp на бухгалтерский сервер открытым для всего
>>> мира?
>>> Немного сумбурно получилось... В Интернете пока решения не нашёл.
>> Поднимите VPN. Не изобретайте велосипедов.
> Пробовал - решения не понравились: pptp от M$ не принимает маршрутов от
> сервера, openvpn требует установки tun/tap устройства, чего программер у себя не
> хочет. Думал про запуск скрипта через ssh - не хочу отрывать
> дырку с рутовым доступом. Сейчас читаю man nc...

1. "Программер" работает за ваши деньги и должен подчиняться вашим правилам. Не хочет ставить tun/tap интерфейс - приезжает в офис и работает локально. Вам - искать программера, который будет более сговорчивым. "Вы" в данном случае обобщение непосредственно вас и вашей организации.
2. Кто мешает создать батник/shell скрипт, который будет добавлять маршрут и запускать его при установлении PPTP? Насколько помню, то скрипты и батники можно запускать и на клиенте и на сервере при установлении PPTP.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Проброс соединения"  +/
Сообщение от PavelR (??) on 02-Ноя-17, 08:07 
> 1. "Программер" работает за ваши деньги и должен подчиняться вашим правилам. Не
> хочет ставить tun/tap интерфейс - приезжает в офис и работает локально.

Также "программер" может поднапрячься и сам организовать себе фиксированный IP.


В качестве средства организации VPN можно также порекомендовать поднять IPSEC (L2TP)


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Проброс соединения"  +/
Сообщение от asphinx on 02-Ноя-17, 11:42 
>> 1. "Программер" работает за ваши деньги и должен подчиняться вашим правилам. Не
>> хочет ставить tun/tap интерфейс - приезжает в офис и работает локально.
> Также "программер" может поднапрячься и сам организовать себе фиксированный IP.

Ну, материальные и временнЫе вопросы сотрудничества с программером я не курирую... Это уж они как-то сами там с начальством (моим непосредственным или ещё каким) договариваются... Если он, например, блуждающий фрилансер, работающий из кафе - это сейчас считается его правом... Я portknocking и проброс порта протестировал - наш пров пропускает, у меня работает. Если в каком-то кафе рубят - это проблемы будут не мои, а программера: пусть идёт в другое кафе.

> В качестве средства организации VPN можно также порекомендовать поднять IPSEC (L2TP)

IPSEC, если я правильно помню, очень "не любит" маскарадинга и хочет заранее определиться с адресами на концах. Или я с чем-то другим путаю?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Проброс соединения"  +/
Сообщение от Andrey (??) on 02-Ноя-17, 17:54 
>[оверквотинг удален]
> Ну, материальные и временнЫе вопросы сотрудничества с программером я не курирую... Это
> уж они как-то сами там с начальством (моим непосредственным или ещё
> каким) договариваются... Если он, например, блуждающий фрилансер, работающий из кафе -
> это сейчас считается его правом... Я portknocking и проброс порта протестировал
> - наш пров пропускает, у меня работает. Если в каком-то кафе
> рубят - это проблемы будут не мои, а программера: пусть идёт
> в другое кафе.
>> В качестве средства организации VPN можно также порекомендовать поднять IPSEC (L2TP)
> IPSEC, если я правильно помню, очень "не любит" маскарадинга и хочет заранее
> определиться с адресами на концах. Или я с чем-то другим путаю?

Дался вам этот portknocking... У него изначально другие цели были.
На FreeBSD2 сделайте проброс GRE и TCP/1723 на FreeBSD1. На FreeBSD1 поднимите любой VPN. Поставьте fail2ban для кулхацкеров. Там-же на FreeBSD1 сделайте файрвол, который будет пускать только на ваш 1С сервер по RDP для этого vpn интерфейса.
Раздача маршрутов в pptp делается опциями DHCPINFORM. М$ работает с 249 опцией, остальной мир с 121 опцией. Туториалов по настройке PPTP+DHCP в сети достаточно.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Проброс соединения"  +1 +/
Сообщение от asphinx on 02-Ноя-17, 18:01 
> Дался вам этот portknocking... У него изначально другие цели были.
> На FreeBSD2 сделайте проброс GRE и TCP/1723 на FreeBSD1. На FreeBSD1 поднимите
> любой VPN. Поставьте fail2ban для кулхацкеров. Там-же на FreeBSD1 сделайте файрвол,
> который будет пускать только на ваш 1С сервер по RDP для
> этого vpn интерфейса.
> Раздача маршрутов в pptp делается опциями DHCPINFORM. М$ работает с 249 опцией,
> остальной мир с 121 опцией. Туториалов по настройке PPTP+DHCP в сети
> достаточно.

Спасибо, почитаю.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Проброс соединения"  +/
Сообщение от eRIC (ok) on 04-Ноя-17, 22:07 
> Поднимите VPN. Не изобретайте велосипедов.

это единственный правильный механизм, учитывая что 1С'ник тоже не на постоянном IP адресе, VPN'ом можно будет контролировать подключение этого работника и вслучае чего нагоняев...

а то что он не хочет ставить, это не отмазки. привыкли они у себя RDP запускать и работать белоручки


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Проброс соединения"  +/
Сообщение от ыы on 02-Ноя-17, 08:54 

> у одной конторы есть основной канал с серым динамическим IP, куда ходят

Либо вы что-то путаете, либо вы чего-то не договариваете :)

> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ
> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал

Вариант с VPN - правильный.
Еще есть такая вещь как динамический ДНС.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Проброс соединения"  +/
Сообщение от asphinx on 02-Ноя-17, 11:27 
>> у одной конторы есть основной канал с серым динамическим IP, куда ходят
> Либо вы что-то путаете, либо вы чего-то не договариваете :)

"Запомни - все врут!" (С) доктор Быков. :)
Что ж мне теперь надо всем рассказывать, что есть исторически сохранившийся ГосТЕЛЕКОМ, дающий исторический белый IP, но цены за хороший канал у него, мягко говоря, не вполне адекватные, и рядом - мелкий частник, дающий устойчивые 100 Мб/с, но с динамическими заморочками, адекватной ценой и абсолютно туманными перспективами на современном рынке? Думаю, это не очень интересно - "так сложилось". Хотя, конечно, простыня моих объяснений на полэкрана  дополнительно подсветила бы ситуацию и вопросов стало бы на один-два меньше... Ситуация есть, менять её пока считается не целесообразно, моё мнение выслушали. Как обычно, нужно встроить костыль, "чтобы сейчас работало".

>> кульхацкеров за FreeBSD1. Взяли удалённого программера 1С, шеф одобрил ему доступ
>> по rdp. У программера адрес тоже не постоянный. На FreeBSD2 сделал
> Вариант с VPN - правильный.
> Еще есть такая вещь как динамический ДНС.

Согласен. С VPN я уже расписывал отношения. А в серых сетях динДНС бесполезен. :(
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:1f:1f:5f:20:af
        inet 10.203.44.155 netmask 0xffffff00 broadcast 10.203.44.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

default            10.203.44.21     UGS         0 160953175    rl1

Почему оно сейчас сделано так у частника? - не сильно интересно, его право. Ему удобно, нам не мешает. Канал есть, пакеты бегают, пользователи счастливы, руководство довольно. RDP жрёт немного, передача файлов в современной версии встроена. Открыть порт на 3-5-10 секунд - для батника инициации соединения достаточно, а для школьника-крякера, думаю, не хватит времени на скан и внедрение, если он только специально не встанет в позу MITM и не будет непрерывно сканировать порт на предмет открытия. А это и выше - уже не школьный уровень.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Проброс соединения"  –1 +/
Сообщение от Сергей (??) on 02-Ноя-17, 11:45 
Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно это не unix-way... Зато проще юзать и контролировать...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Проброс соединения"  +/
Сообщение от asphinx on 02-Ноя-17, 17:58 
> Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно
> это не unix-way... Зато проще юзать и контролировать...

TeamViever у нас политикой разрешён только под присмотром админов, а программер получил "добро" работать не только в рабочее время.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Проброс соединения"  +/
Сообщение от Сергей (??) on 02-Ноя-17, 21:59 
>> Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно
>> это не unix-way... Зато проще юзать и контролировать...
> TeamViever у нас политикой разрешён только под присмотром админов, а программер получил
> "добро" работать не только в рабочее время.

уж очень сложно получается, там могут вылезти другие "прелести" по безопасности

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Проброс соединения"  +/
Сообщение от ыы on 03-Ноя-17, 13:28 
>>> Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно
>>> это не unix-way... Зато проще юзать и контролировать...
>> TeamViever у нас политикой разрешён только под присмотром админов, а программер получил
>> "добро" работать не только в рабочее время.
>  уж очень сложно получается, там могут вылезти другие "прелести" по безопасности

случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая там уж "безопасность" :)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Проброс соединения"  +/
Сообщение от asphinx on 03-Ноя-17, 14:30 
>>>> Не проще ли будет поставить машинку с teamviewer или нечто подобным, конечно
>>>> это не unix-way... Зато проще юзать и контролировать...
>>> TeamViever у нас политикой разрешён только под присмотром админов, а программер получил
>>> "добро" работать не только в рабочее время.
>>  уж очень сложно получается, там могут вылезти другие "прелести" по безопасности
> случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая
> там уж "безопасность" :)

Ну, это уже головняк руководства - кого они нанимают и какую степень ответственности они на него возлагают. Раз они ему доверяют - я человеку даю доступ. Искать компромат на новых сотрудников - это уже не моя компетенция.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Проброс соединения"  +/
Сообщение от ыы on 03-Ноя-17, 14:43 
>[оверквотинг удален]
>>>>> это не unix-way... Зато проще юзать и контролировать...
>>>> TeamViever у нас политикой разрешён только под присмотром админов, а программер получил
>>>> "добро" работать не только в рабочее время.
>>>  уж очень сложно получается, там могут вылезти другие "прелести" по безопасности
>> случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая
>> там уж "безопасность" :)
> Ну, это уже головняк руководства - кого они нанимают и какую степень
> ответственности они на него возлагают. Раз они ему доверяют - я
> человеку даю доступ. Искать компромат на новых сотрудников - это уже
> не моя компетенция.

Вы не можете организовать к нему VPN канал потому что он "нэ хочэт". При этом говорите что определение его компетентности и прав в вашей орагнизации не ваша компетенция...
Ну так откройте ему прокинутый порт 3389 и все.
К чему весь это геморр с открытием портов по стуку? ради безопасности? Она не в вашей комптенции. сами только что сказали.

Послушайте меня внимательно.

Вот как это должно быть:

сервер разработки находится в ДМЗ.
все действия логируются. никакого админского доступа.
На сервере лежат ОБФУСЦИРОВАННЫЕ данные
Доступ к серверу через VPN.
Контроль чего там чувак наработал- производится вашими специалистами, и ТОЛЬКО ТОГДА переносятся в тест на реальных данных и только после этого теста- идут на продуктовую систему.

Ничего этого у вас нет и это "не ваша область компетанции" а вы носитесть с порткноком... у вас дыра на всю ширину канала а вы латаете какие-то ручейки...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Проброс соединения"  +/
Сообщение от asphinx on 07-Ноя-17, 18:36 
>[оверквотинг удален]
>>> случайному постороннему человеку дают rdp доступ к консоли бухгалтерского сервера... какая
>>> там уж "безопасность" :)
>> Ну, это уже головняк руководства - кого они нанимают и какую степень
>> ответственности они на него возлагают. Раз они ему доверяют - я
>> человеку даю доступ. Искать компромат на новых сотрудников - это уже
>> не моя компетенция.
> Вы не можете организовать к нему VPN канал потому что он "нэ
> хочэт". При этом говорите что определение его компетентности и прав в
> вашей орагнизации не ваша компетенция...
> Ну так откройте ему прокинутый порт 3389 и все.

Как ему прокинуть, если у него динамический IP? Давайте будем читать исходную задачу полностью, а не через строчку.

> К чему весь это геморр с открытием портов по стуку? ради безопасности?
> Она не в вашей комптенции. сами только что сказали.

Вернёмся ещё раз к прочтению исходной задачи. В мою задачу входит обеспечение безопасности сети. Но я не должен устраивать квест-тест новому сотруднику для проверки его лояльности конторе. Его кто-то нашёл, начальство собеседовало, кадровую проверку он прошёл и приказом оформлен. Про этику и коммерческую тайну предприятия не я должен с ним инструктаж проводить. Поставленная передо мной задача теперь - предоставить ему доступ к 1С. Если ему чьим-то решением был предоставлен допуск к важной информации, то не мне запрещать ему доступ. Если он сольёт важные данные на сторону, я, конечно, свою часть неприятностей получу, но не я буду отвечать за то, что ему дали допуск к этим данным. В данном случае я исхожу из предположения, что программер, нанятый конторой, действует в интересах конторы. Проверка его лояльности - не моя задача. НОНД.

> Послушайте меня внимательно.
> Вот как это должно быть:
> сервер разработки находится в ДМЗ.
> все действия логируются. никакого админского доступа.
> На сервере лежат ОБФУСЦИРОВАННЫЕ данные
> Доступ к серверу через VPN.
> Контроль чего там чувак наработал- производится вашими специалистами, и ТОЛЬКО ТОГДА переносятся
> в тест на реальных данных и только после этого теста- идут
> на продуктовую систему.

Это всё правильно и здорово, особенно, когда про это рассказывают в институте на факультете защиты информации, или на соответствующих курсах повышения квалификации. А, ну ещё у проверяющих органов на бумаге тоже здорово расписано, как оно должно быть. И эту теорию я тоже хорошо знаю. Но в жизни бывает "немного по другому", увы. Можно написать какую угодно идеальную политику безопасности сети и даже долго пытаться пилить сеть, идеально подгоняя её под эту политику, защищая её ключами и токенами. А потом приходит хозяин фирмы, показывает тебе Nokia 9000 и, мягко говоря, настаивает сделать так, чтобы он мог в любой момент с этого, тогда ещё, шедевра получить доступ к сети конторы. А на твои слова про безопасность и политику, которую он сам же подписывал и до всех доводил на большом собрании, говорит - "ну мне же надо всегда быть в курсе положения дел на фирме. И я видел в Watcom, как у них это всё здорово работает!"... А когда ему приносишь раскладку по расчёту стоимости, он говорит, что столько денег нет и, вообще, надоело ему с этим брелочком (токеном) ходить - сделай ему так, чтобы у него всё работало без аутентификации. Вот тогда понимаешь, что на самом деле безопасность сети это как сферический конь в вакууме: где-то там оно есть, но его никто не видел (или видел в гробу), и все знают, какой он должен быть - один ты идиот.

> Ничего этого у вас нет и это "не ваша область компетанции" а
> вы носитесть с порткноком... у вас дыра на всю ширину канала
> а вы латаете какие-то ручейки...

Действительно нет... Чего это я?.. Приглашаю протестировать нашу сеть на предмет дыр.

PS: Дискуссия сваливается в непродуктивную, не соответствующую тематике. Предлагаю закончить её. Решение найдено, сделано, протестировано, работает. Всем, кто подтолкнул к решению - спасибо! Остальным - тоже спасибо за потраченное на чтение время.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor