IMHO.WS

IMHO.WS (http://www.imho.ws/index.php)
-   Безопасность (http://www.imho.ws/forumdisplay.php?f=19)
-   -   terminal server, нужен ли vpn? (http://www.imho.ws/showthread.php?t=116510)

coolchevy 13.03.2007 20:06
terminal server, нужен ли vpn?
 
Проэктирую сеть, которая будет представлять собой два офиса, задача такова, что нужно будет из офиса №1 ходить в базу 1С которая находится во офисе №2. Ставлю в офисе №2 Win2k3, поднимаю terminal server

вопрос таков: нужно ли в целях безопасности еще организовывать vpn тунель? Просто дело в том, что у офиса №1 динанический-ай пи, и как-бы полноценно вопрос безопасности я решить не смогу.

Cartman 13.03.2007 20:20
Вопрос скорее для раздела Безопасность, куда и переношу.
А так ответ однозначный. По шифрованному каналу с ключами (типа как в OpenVPN) вероятность несанкцианированного доступа понижается в разы. Конечно стоит организовать туннель.

pazdak 14.03.2007 09:58
Cartman
Правильно замечено, что понижает в разы, но не исключает !!!
Но то что от дураков спасет, это точно, поэтому желательно.

А по поводу динамического адреса, так есть сайты, где можно зарегистрировать DNS имя для динамики, а на вашем сервере поставить клиента, который будет перепрописывать новый IP в DNS. И нет проблем...

Cartman 14.03.2007 10:06
Цитата:
Сообщение от pazdak (Сообщение 1373464)
А по поводу динамического адреса, так есть сайты, где можно зарегистрировать DNS имя для динамики
Ты немного не понял. В офисе 2 адрес постоянный, а в офисе 1 откуда будет подключение - динамический. Отсюда невозможность сделать доступ к терминалу только с этого адреса.

Sgt_Mitchel 14.03.2007 20:58
Цитата:
Сообщение от coolchevy (Сообщение 1373233)

вопрос таков: нужно ли в целях безопасности еще организовывать vpn тунель? Просто дело в том, что у офиса №1 динанический-ай пи, и как-бы полноценно вопрос безопасности я решить не смогу.
Нужно именно в целях безопасности! ;)
Даже если не динамический айпи.

jackbauer 23.03.2007 12:18
Цитата:
Сообщение от Cartman (Сообщение 1373467)
Ты немного не понял. В офисе 2 адрес постоянный, а в офисе 1 откуда будет подключение - динамический. Отсюда невозможность сделать доступ к терминалу только с этого адреса.
Ну и что? Это не позволит тебе настроить правило на firewall для этого аддресса и кстати проверка IP аддресса не слишком надежный способ защиты. И если тебя всерьез интересует безопасность, то имеет полный смысл сразу забыть об PPTP+MPPE и всяческих pre-shared keys, а использовать IPSec и сертификаты. Все вышеперечисленное (легко) достигается _встроенными_ в вин2к3 средствами.

PS. у меня например народ вообще к VPN подключается через модем/gprs/etc и все отлично работает

coolchevy 24.03.2007 19:36
Цитата:
Сообщение от pazdak (Сообщение 1373464)
Cartman
Правильно замечено, что понижает в разы, но не исключает !!!
Но то что от дураков спасет, это точно, поэтому желательно.

А по поводу динамического адреса, так есть сайты, где можно зарегистрировать DNS имя для динамики, а на вашем сервере поставить клиента, который будет перепрописывать новый IP в DNS. И нет проблем...
Идея хорошая, только вот я не уверен на 100% в сервисе этих компаний, видел их несколько.

Вопрос, можно ли организовать это своими средствами, допустим у меня есть своя зона, которой я могу управлять, можно ли какими-то скриптами организовать автомтическую перезапись ай-пи в зоне?
софт: есть FreeBSD or Win2k3

минимал, я могу написать скрипт, который будет тянуть перл-сценарий на
freebsd, который просто будет переписывать в temp-файл ip той машини, что получила динамический ай-пи, а с другой машини будет доступ к этому же файлу, и там будет обновляться файрволл.

знаю что зона обновляется не быстро, но все же хотел услышать ваши варианты

кто знает проще вариаты?:rolleyes:

CataclySM 05.05.2007 10:08
Быстрота обновления зоны - штука настраиваемая....

ShooTer 05.05.2007 20:55
CataclySM,

не надо оффтоп здесь.


Часовой пояс GMT +4, время: 05:32.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.