Security Teams



:::
Страницы: (2) [1] 2  ( Перейти к первому непрочитанному сообщению ) Ответ в темуСоздание новой темыСоздание опроса

> VPN yf на сайт, организация защищённого канала доступа
NabaT
  Дата 21.10.2007 - 15:00
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5556
Регистрация: 21.10.2007



Рейтинг:
(0%) -----


Здравствуйте вот такая проблема …

Нужно организовать VPN доступ к сайту … проблема для меня новая , по этому не знаю с чего начать

Подскажите возможные варианты решения и возможные пути начала решения данной проблемы.

Сайт хостится у среднестатистического хостера на nix серваке …

Заранее спасибо за любую информацию!



--------------------
jid : nabat[a]bryansktel.ru
PMПисьмо на e-mail пользователюСайт пользователяICQ
Top
nameless
Дата 21.10.2007 - 15:25
Цитировать сообщение
Offline



.:Тень:.
******

Профиль
Группа: -experts-
Сообщений: 1745
Пользователь №: 18
Регистрация: 19.02.2005



Рейтинг:
(90%) XXXXX


Что нужно организовать - VPN или SSL? Потому что на сколько я понял, требуется именно SSL


--------------------
Мы расправим крылья
PM
Top
elf
Дата 21.10.2007 - 16:40
Цитировать сообщение
Offline



.:Вечный:.
****

Профиль
Группа: -root-
Сообщений: 829
Пользователь №: 37
Регистрация: 25.02.2005



Рейтинг:
(60%) XXX--


похоже надо организовать ssl доступ или есть возможность поставить софт на стервак и через него (непосредственно) получать инет?
к примеру - через ssl можно его обновлять (получать доступ к админке и т. д.)
а vpn - виртуальная приватная сеть - как правило применяется для доступа к приватным ресурсам либо для проброса траффика через гейты в инет...
если все-таки нужен vpn, то нужно установить определенное программное обеспечение непосредственно на сервер...
либо более точно опишите поставленную задачу...


--------------------
наша работа во тьме... (с) Лукьяненко
"Слово - не воробей. Вылетит неосторожное... вернется трехэтажное..." @ народная примета
PMСайт пользователяICQ
Top
NabaT
Дата 21.10.2007 - 17:59
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5556
Регистрация: 21.10.2007



Рейтинг:
(0%) -----


Требуется организовать именно vpn сеть между ресурсами сайта и пользователем …
Работу с софтом я так понимаю можно осуществить по ssh … клиенты скорее win юзеры.
В данный момент это конечно спорный вопрос vpn или ssl , но в связи с развитием ресурса ( его структурой и доступам к приватным ресурсам ) было решено строить систему доступа на основе vpn .

Хотелось бы услышать, что-нибудь о программных продуктах типа :

Remote access VPN

Данная реализация пришла на смену dial-in доступу, что позволило значительно повысить как качество доступа к корпоративным ресурсам извне, так и защитить передаваемую информацию. Такое решение не требует значительных вычислительных ресурсов, хотя все зависит от конкретной ситуации, точнее от количества клиентов. Ясно, что мобильный пользователь, подключающийся к VPN-серверу компании, находясь в командировке, вряд ли создаст трафик, сравнимый с тем объемом информации, который передается при случае организации туннеля LAN-to-LAN. Такой вариант реализации VPN легче делать программным, нет сильной нагрузки на шлюз, и к тому же настройка такой конфигурации не представляется накладной. Рынок аппаратных решений тоже пестрит предложениями, к тому же для такой задачи он дополняется еще и технологией SSL VPN, которая работает на уровне приложений модели OSI.


--------------------
jid : nabat[a]bryansktel.ru
PMПисьмо на e-mail пользователюСайт пользователяICQ
Top
marshall
Дата 21.10.2007 - 18:29
Цитировать сообщение
Offline



=Expert=
***

Профиль
Группа: -experts-
Сообщений: 150
Пользователь №: 4433
Регистрация: 5.09.2006



Рейтинг:
(40%) XX---


Проще арендовать сервер у провайдера, или поставить собственный сервер.
Если позволяет канал и у вас безлимитный доступ, поставьте сервер в офисе.

Далее инструкция под сервер на базе FreeBSD/Linux
Поднять на нем vpn-сервис (openvpn/poptop/mpd) на свое усмотрение.
Затем установить веб-сервер,например apache.
Создать алиас, и присвоить ему адрес локальных сетей (10.0.0.0/8; 172.16.0.0/16; 192.168.0.0/16) на ваше усмотрение.
Задать IP-адреса для VPN-клиентов, которые будут принадлежать выбранной вами сети (см выше).
Таким образом получилась виртуальная сеть с клиентами и внутренним ресурсом.

А может проще SSL+авторизация через radius?
=================================================
# cat /usr/ports/www/mod_auth_xradius/pkg-descr
Provides basic Radius auth services for Apache.

WWW: https://www.outoforder.cc/projects/apache/mod_auth_xradius/
=================================================
В вашем случае тоже что и VPN :-)

Или к примеру еще можно использовать mod_auth_mysql для ведения клиентской базы доступа к сайту:
=================================================
# cat /usr/ports/www/mod_auth_mysql/pkg-descr
This add-on module allows the apache web server to use a MySQL database for user and/or group authentication. For large user lists this can offer a significate speed up over apache's standard flat file format.

WWW: https://www.diegonet.com/support/mod_auth_mysql.shtml

- Jim
jim@thehousleys.net
=================================================

А это что касается модулей авторизации на сервере apache:
==============================================================
mod_auth_any:
mod_auth_cookie_mysql:
mod_auth_cookie_mysql2:
mod_auth_external:
mod_auth_external2:
mod_auth_imap:
mod_auth_imap2:
mod_auth_kerb:
mod_auth_mysql:
mod_auth_mysql2:
mod_auth_mysql41_ap2:
mod_auth_mysql_another:
mod_auth_pam:
mod_auth_pam2:
mod_auth_pgsql:
mod_auth_pgsql2:
mod_auth_pwcheck:
mod_auth_remote:
mod_auth_useragent:
mod_auth_xradius:
mod_authenticache:
mod_authnz_external:
mod_authz_unixgroup:
==============================================================
PMСайт пользователяICQ
Top
NabaT
Дата 21.10.2007 - 20:21
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5556
Регистрация: 21.10.2007



Рейтинг:
(0%) -----


marshall спасибо за исчерпывающий ответ!

Это сообщение отредактировал NabaT - 21.10.2007 - 20:21


--------------------
jid : nabat[a]bryansktel.ru
PMПисьмо на e-mail пользователюСайт пользователяICQ
Top
mt6561
Дата 21.10.2007 - 21:07
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 105
Пользователь №: 2007
Регистрация: 2.11.2005



Рейтинг:
(30%) XX---


Цитата (NabaT @ 21.10.2007 - 15:00)
Здравствуйте вот такая проблема …

Нужно организовать VPN доступ к сайту … проблема для меня новая , по этому не знаю с чего начать

Подскажите возможные варианты решения и возможные пути начала решения данной проблемы.

Сайт хостится у среднестатистического хостера на nix серваке …

Заранее спасибо за любую информацию!

А что, еще нынче есть идиотыхостеры, которые позволяют это делать? smile.gif
PM
Top
NabaT
Дата 22.10.2007 - 09:31
Цитировать сообщение
Offline



Junior
*

Профиль
Группа: -users-
Сообщений: 5
Пользователь №: 5556
Регистрация: 21.10.2007



Рейтинг:
(0%) -----


mt6561

что вы имели ввиду?

продажей ресурсов на ряду с физическим местом занимаются многие компании ... если я правильно понял ваш комментарий


--------------------
jid : nabat[a]bryansktel.ru
PMПисьмо на e-mail пользователюСайт пользователяICQ
Top
Slacker
Дата 22.10.2007 - 16:41
Цитировать сообщение
Offline



.:Флудер в законе:.
***

Профиль
Группа: -users-
Сообщений: 349
Пользователь №: 64
Регистрация: 8.03.2005



Рейтинг:
(100%) XXXXX


NabaT

Видимо он имел ввиду про разрешение на VPN доступ


--------------------
Он хамил так, как будто у него в кармане лежала запасная челюсть... =)
PM
Top
marshall
Дата 23.10.2007 - 09:42
Цитировать сообщение
Offline



=Expert=
***

Профиль
Группа: -experts-
Сообщений: 150
Пользователь №: 4433
Регистрация: 5.09.2006



Рейтинг:
(40%) XX---


Кстати.
Если для вас важна безопасность вашего веб-рессурса, как вы пишете выше, то _однозначно_ лучше поставить собственный сервер.

Цитата
продажей ресурсов на ряду с физическим местом занимаются многие компании


Да не проблема реализовать подобную схему, кстати в свое время думал о том чтобы запустить ее на продажу. Проблемма в том что по условию требуется секретность доступа.
Хм..... Напоминает: "А вы просматривали когда-нибудь коды сайтов, или базы данных, лежащих у вас на хостинге?"
:-)
PMСайт пользователяICQ
Top

Опции темы Страницы: (2) [1] 2  Ответ в темуСоздание новой темыСоздание опроса