Про всякое и порт 8080 | |
---|---|
po2 Автор Сообщений: 2864 Откуда: Иркутск Дата регистрации: 22.12.2001 |
На обслуге у меня, в том числе, два музея. В них система КАМИС. Её современный вариант в качестве клиента использует WEB-интерфейс, доступ соответственно, можно получить по адресу вида http://ххх.ххх.252.146:8080/kms при условии, что открыт соответствующий порт.
Персонал уверен, что работать теперь смогут откуда захотят и с любого девайса. Как правильно такой доступ организовывать с точки зрения безопасности? |
Re: Про всякое и порт 8080 | |
---|---|
dos32 Сообщений: 1017 Откуда: Ленинград Дата регистрации: 15.01.2008 |
добавь к отурытому порту port knocking , а сотрудникам или батничек перед доступом илив самоу проге.
у меня к себе удаленка так работает. порт на файрволе изначально закрыт. при доступе на порт с ноером условно 1, он заносится в список1 на 5 мин., потом если есть доступ на порт 2 и адрес занесен в список1, то он заносится с список2 ... и по аналогии после 3го порта в список, откуда разрешен доступ. итого по дефолту порт закрыт, адрес, с которого перебрали несколько нужных портов в нужной последовательности заноситс с писок, кому порт открыт на заданное время. чтобы не нужен был батник с телнетом или перебор портов руками, port knocking можно в софтине реализовать, если своя. |
Re: Про всякое и порт 8080 | |
---|---|
Igor Korolyov Сообщений: 34580 Дата регистрации: 28.05.2002 |
А какие требования к этой самой "безопасности" предъявляются? И реализует ли сама система хоть какую-то авторизацию и разграничение прав? Можно, к примеру, настроить VPN с авторизацией, и "внутрь" сети, а значит и к её внутреннему ресурсу смогут подключаться лишь те кому дано такое право. Для некоторых простых случаев достаточно лишь ssh-туннелей (т.е. выставить "наружу"/пробросить ssh-ный порт - на гейте или просто на одной из внутренних машин работающий, настроить авторизацию - лучше через RSA ключи, а не логин/пароль и разрешить проброс портов для sshd). В конце концов можно даже замутить свой собственный сервер-редиректор (веб-сайт) с блекджеком и ... требуемой по ТЗ "защитой и безопасностью", и "наружу" уже его выставить, а не оригинальный сервер ------------------ WBR, Igor |
© 2000-2024 Fox Club  |