for flooders
:: Главная :: Решения :: Статьи :: Сайт М. Дроздова :: Файловый архив :: Книга по VFP 9 :: Русский Help Online :: OFF-LINE Форум
   Л и с о в о д ы   в с е х   с т р а н,  о б ъ е д и н я й т е с ь !!!  

Список Форумов  :: Курилка
   :: Помощь сайту :: 

Про всякое и порт 8080
po2
Автор

Сообщений: 2347
Откуда: Иркутск
Дата: 13.02.18 04:45:23ОтветитьЦитировать
На обслуге у меня, в том числе, два музея. В них система КАМИС. Её современный вариант в качестве клиента использует WEB-интерфейс, доступ соответственно, можно получить по адресу вида http://ххх.ххх.252.146:8080/kms при условии, что открыт соответствующий порт.
Персонал уверен, что работать теперь смогут откуда захотят и с любого девайса. Как правильно такой доступ организовывать с точки зрения безопасности?
Ratings: 0 negative/0 positive

Re: Про всякое и порт 8080
dos32

Сообщений: 931
Откуда: Ленинград
Дата: 13.02.18 10:23:52ОтветитьЦитировать
добавь к отурытому порту port knocking , а сотрудникам или батничек перед доступом илив самоу проге.

у меня к себе удаленка так работает. порт на файрволе изначально закрыт. при доступе на порт с ноером условно 1, он заносится в список1 на 5 мин., потом если есть доступ на порт 2 и адрес занесен в список1, то он заносится с список2 ... и по аналогии после 3го порта в список, откуда разрешен доступ.

итого по дефолту порт закрыт, адрес, с которого перебрали несколько нужных портов в нужной последовательности заноситс с писок, кому порт открыт на заданное время.

чтобы не нужен был батник с телнетом или перебор портов руками, port knocking можно в софтине реализовать, если своя.
Ratings: 0 negative/0 positive

Re: Про всякое и порт 8080
Igor Korolyov

Сообщений: 31833
Дата: 13.02.18 13:52:47ОтветитьЦитировать
po2
Как правильно такой доступ организовывать с точки зрения безопасности?
А какие требования к этой самой "безопасности" предъявляются? И реализует ли сама система хоть какую-то авторизацию и разграничение прав?
Можно, к примеру, настроить VPN с авторизацией, и "внутрь" сети, а значит и к её внутреннему ресурсу смогут подключаться лишь те кому дано такое право. Для некоторых простых случаев достаточно лишь ssh-туннелей (т.е. выставить "наружу"/пробросить ssh-ный порт - на гейте или просто на одной из внутренних машин работающий, настроить авторизацию - лучше через RSA ключи, а не логин/пароль и разрешить проброс портов для sshd).
В конце концов можно даже замутить свой собственный сервер-редиректор (веб-сайт) с блекджеком и ... требуемой по ТЗ "защитой и безопасностью", и "наружу" уже его выставить, а не оригинальный сервер


------------------
WBR, Igor
Ratings: 0 negative/0 positive



Извините, только зарегистрированные пользователи могут писать в этом форуме.

On-line: 69 ssa  and Guests: 68


© 2000-2018 Fox Club 
Яндекс.Метрика