terminal server, нужен ли vpn? - Безопасность

coolchevy · 13.03.2007, 20:06

Проэктирую сеть, которая будет представлять собой два офиса, задача такова, что нужно будет из офиса №1 ходить в базу 1С которая находится во офисе №2. Ставлю в офисе №2 Win2k3, поднимаю terminal server

вопрос таков: нужно ли в целях безопасности еще организовывать vpn тунель? Просто дело в том, что у офиса №1 динанический-ай пи, и как-бы полноценно вопрос безопасности я решить не смогу.

Cartman · 13.03.2007, 20:20

Вопрос скорее для раздела Безопасность, куда и переношу.
А так ответ однозначный. По шифрованному каналу с ключами (типа как в OpenVPN) вероятность несанкцианированного доступа понижается в разы. Конечно стоит организовать туннель.

pazdak · 14.03.2007, 09:58

Cartman
Правильно замечено, что понижает в разы, но не исключает !!!
Но то что от дураков спасет, это точно, поэтому желательно.

А по поводу динамического адреса, так есть сайты, где можно зарегистрировать DNS имя для динамики, а на вашем сервере поставить клиента, который будет перепрописывать новый IP в DNS. И нет проблем...

Cartman · 14.03.2007, 10:06

Цитата:

Сообщение от pazdak

А по поводу динамического адреса, так есть сайты, где можно зарегистрировать DNS имя для динамики

Ты немного не понял. В офисе 2 адрес постоянный, а в офисе 1 откуда будет подключение - динамический. Отсюда невозможность сделать доступ к терминалу только с этого адреса.

Sgt_Mitchel · 14.03.2007, 20:58

Цитата:

Сообщение от coolchevy

вопрос таков: нужно ли в целях безопасности еще организовывать vpn тунель? Просто дело в том, что у офиса №1 динанический-ай пи, и как-бы полноценно вопрос безопасности я решить не смогу.

Нужно именно в целях безопасности!

Даже если не динамический айпи.

23.03.2007, 12:18

Цитата:

Сообщение от Cartman

Ты немного не понял. В офисе 2 адрес постоянный, а в офисе 1 откуда будет подключение - динамический. Отсюда невозможность сделать доступ к терминалу только с этого адреса.

Ну и что? Это не позволит тебе настроить правило на firewall для этого аддресса и кстати проверка IP аддресса не слишком надежный способ защиты. И если тебя всерьез интересует безопасность, то имеет полный смысл сразу забыть об PPTP+MPPE и всяческих pre-shared keys, а использовать IPSec и сертификаты. Все вышеперечисленное (легко) достигается _встроенными_ в вин2к3 средствами.

PS. у меня например народ вообще к VPN подключается через модем/gprs/etc и все отлично работает

coolchevy · 24.03.2007, 19:36

Цитата:

Сообщение от pazdak

Cartman
Правильно замечено, что понижает в разы, но не исключает !!!
Но то что от дураков спасет, это точно, поэтому желательно.

А по поводу динамического адреса, так есть сайты, где можно зарегистрировать DNS имя для динамики, а на вашем сервере поставить клиента, который будет перепрописывать новый IP в DNS. И нет проблем...

Идея хорошая, только вот я не уверен на 100% в сервисе этих компаний, видел их несколько.

Вопрос, можно ли организовать это своими средствами, допустим у меня есть своя зона, которой я могу управлять, можно ли какими-то скриптами организовать автомтическую перезапись ай-пи в зоне?
софт: есть FreeBSD or Win2k3

минимал, я могу написать скрипт, который будет тянуть перл-сценарий на
freebsd, который просто будет переписывать в temp-файл ip той машини, что получила динамический ай-пи, а с другой машини будет доступ к этому же файлу, и там будет обновляться файрволл.

знаю что зона обновляется не быстро, но все же хотел услышать ваши варианты

кто знает проще вариаты?

CataclySM · 05.05.2007, 10:08

Быстрота обновления зоны - штука настраиваемая....

ShooTer · 05.05.2007, 20:55

CataclySM,

не надо оффтоп здесь.

13.03.2007, 20:06	# 1
coolchevy Junior Member Регистрация: 05.02.2006 Сообщения: 72	terminal server, нужен ли vpn? Проэктирую сеть, которая будет представлять собой два офиса, задача такова, что нужно будет из офиса №1 ходить в базу 1С которая находится во офисе №2. Ставлю в офисе №2 Win2k3, поднимаю terminal server вопрос таков: нужно ли в целях безопасности еще организовывать vpn тунель? Просто дело в том, что у офиса №1 динанический-ай пи, и как-бы полноценно вопрос безопасности я решить не смогу.

14.03.2007, 09:58	# 3
pazdak Advanced Member Регистрация: 21.06.2004 Сообщения: 403	Cartman Правильно замечено, что понижает в разы, но не исключает !!! Но то что от дураков спасет, это точно, поэтому желательно. А по поводу динамического адреса, так есть сайты, где можно зарегистрировать DNS имя для динамики, а на вашем сервере поставить клиента, который будет перепрописывать новый IP в DNS. И нет проблем... __________________ Из библии: И даны вам будут такие доказательства, что не поверить будет невозможно, но вы все равно не поверите

05.05.2007, 20:55	# 9
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	CataclySM, не надо оффтоп здесь. __________________ "That vulnerability is completely theoretical."

13.03.2007, 20:20	# 2
Cartman Migel Mod Volos Регистрация: 09.09.2003 Адрес: МПЛ-в почетной д Сообщения: 7 486	Вопрос скорее для раздела Безопасность, куда и переношу. А так ответ однозначный. По шифрованному каналу с ключами (типа как в OpenVPN) вероятность несанкцианированного доступа понижается в разы. Конечно стоит организовать туннель. __________________ Все "спасибы" - в приват и в репутацию! не засоряйте форум!!!! © Plague Небьющаяся игрушка - это игрушка, которой ребенок может разбить все свои остальные игрушки. IMHO - отдых в Анапе

05.05.2007, 10:08	# 8
CataclySM Newbie Регистрация: 02.03.2005 Сообщения: 9	Быстрота обновления зоны - штука настраиваемая....