Forum Debian Users Gang

Novi-cjusz · 2018-03-07 16:51:54

Zakladam ze mam serwer baze danych, serwer dedykowanny ze strona www w LAN.
Chce miec bezpieczny dostep w celu korzystania i modyfikacji/edycji danych.
Jak sie najbezpieczniej polaczyc, zeby nikt inny nie byl w stanie zdemolowac moich danych ?
Naczytalem sie o: brama, tunele VPN.
Czytam i widze, ze jest wiele sposobow, ktos podpowie najbezpieczniejsze rozwiazanie ?
Pozdro.

Ostatnio edytowany przez Novi-cjusz (2018-03-07 16:52:36)

urbinek · 2018-03-07 18:44:59

Brama? Możesz rozwinąć?

Ja bym stawiał na niestandardowe porty i trudne hasła i klucze/certyfikaty

Novi-cjusz · 2018-03-07 19:11:20

Nie mam co rozwijac, bo to jest tylko szukanie najbezpieczniejszego rozwiazania.
Czytam i czytam ale materialu jest nie do przerobienia, dlatego pytam ludzi z doswiadczeniem.
Powtarzam pytanie, jezeli masz w LAN:
- dane np bazy danych
- aplikacje
- komputery
- serwer www
jak najbezpieczniej polaczyc sie z zewnatrz z LAN-em aby miec dostep do wszystkiego i co najwazniejsze zeby nikt inny bez mojej akredytacji nie mogl wejsc do LAN ?
Na poziomie korpo.

Ps. Nie oczekuje szczegolowego tutoriala tylko wskazania kierunku, a dalej bede sam.

urbinek · 2018-03-07 20:42:15

No to jest zupełnie inne pytanie niż na początku.

IPsec jest rozwiązaniem twojego problemu.

Oczywiście cały dostęp z zewnątrz ograniczasz do niezbędnego minimum.

Jacekalex · 2018-03-07 20:55:46

[quote=urbinek]No to jest zupełnie inne pytanie niż na początku.

IPsec jest rozwiązaniem twojego problemu.

Oczywiście cały dostęp z zewnątrz ograniczasz do niezbędnego minimum.[/quote]
Żarty się Waćpana trzymają.

Ipsec, zwłaszcza za NAT...

Faktycznie sprawa wygląda następująco:
1. OpenSSH - z kluczami autoryzacji.
2. OpenVPN - klucze x509+klucz statyczny.
3...
4...
5...
Szkoda czasu kombinować dalej.

urbinek · 2018-03-07 21:03:53

I czemu żarty?

OpenSSH do bazy danych?

OpenVPN ssie bo jest bardzo niewydajny

[quote=Jacekalex]Ipsec, zwłaszcza za NAT...[/quote]
Skąd wiesz, że ma nat ? Zresztą o NAT-T słyszał ?

Ostatnio edytowany przez urbinek (2018-03-07 21:07:28)

Jacekalex · 2018-03-07 21:09:45

[quote=urbinek]I czemu żarty?

OpenSSH do bazy danych?

OpenVPN ssie bo jest bardzo niewydajny[/quote]
Oczywiście, ze OpenSSH do DB.

Jak nie wierzysz, to zajrzyj do dokumentacji Mysqla i Postgresa w kontekście "secure connections" dla połączeń czy replikacji.

No chyba że osobiście usunąłeś z OpenSSH opcję przekierowania portu czy tunele.

Co do "czemu żarty" to wystaw sobie serwer Ipsec i połącz się do niego z sieci LTE np Playa czy Orange, zamiast się dziwić.

I wiem o NAT-T i ipsec-passthrough, ale wiem, jaka z tym jest gimnastyka, i jakie to jest "stabilne" w rożnych dziwnych sieciach.

OpenVPN ssie? pewnie dlatego, ze sterownik TUN w Linuxie pozwala ustawić tylko 10Mbit, żeby przestawić go na 100Mbit potrzebna jest specjalna łatka na kernel po obu stronach tunelu.

W każdym razie do połączenia z bazą Mysqla czy Postgresa 10Mbit spokojne wystarczy.

Ostatnio edytowany przez Jacekalex (2018-03-07 21:17:01)

urbinek · 2018-03-07 21:20:30

Robiłem to nie raz i nie dwa, konfiguracja nazywa się RoadWarrior i działa jak marzenie. Może masz za małe doświadczenie w tym temacie, że tak agresywnie do tego podchodzisz?

Jacekalex · 2018-03-07 21:34:54

[quote=urbinek]Robiłem to nie raz i nie dwa, konfiguracja nazywa się RoadWarrior i działa jak marzenie. Może masz za małe doświadczenie w tym temacie, że tak agresywnie do tego podchodzisz?[/quote]
Oczywiście ze działa, nić inne go nie twierdzę.

Ale jeszcze nie widziałem serwera, do którego ponad SSH coś byłoby jeszcze potrzebne.

urbinek · 2018-03-07 22:00:36

A jeśli masz wiele maszyn, aplikacji, usług... ?[quote=Novi-cjusz]- dane np bazy danych
- aplikacje
- komputery
- serwer www[/quote]
Nie wyobrażam sobie zestawiania pierdyliona tuneli SSH do każdej maszyny osobno. I tak wiem, jedna maszyna może forwardować pakiety dalej znów jest to klepanie konfiguracji per port, per maszyna, per połączenie...

Co więcej jeśli łączysz się per nazwy domenowe
[quote=Novi-cjusz]Na poziomie korpo.[/quote]
to ciężko o zrobienie dwóch profili w klientach do baz czy innych aplikacji dla połączeń z LAN i WAN, no chyba, że da się to ogarnąć inaczej niż rzeźbieniem polityk na FW :) tylko po to, zeby mieć minimalistyczny tunel OpenSSH, w IPsec łączysz się jak lokalnie.

Jeśli już miałbym robić cos innego to OpenVPN ale jak piszesz - znowu rzeźbienie w kernelu z obu stron i już nie jest tak różowo. Na IPsec zamykam interfejsy...

IPsec jest bardziej elegancki i ihmo prostszy w obsłudze. IKE v2 masz wbudowanego w systemy Windows, Mac

hi · 2018-03-07 22:08:04

[quote="urbinek"]OpenVPN ssie bo jest bardzo niewydajny[/quote]
hmm... mógłbyś to rozwinąć?

urbinek · 2018-03-07 22:22:07

[quote=Jacekalex]OpenVPN ssie? pewnie dlatego, ze sterownik TUN w Linuxie pozwala ustawić tylko 10Mbit, żeby przestawić go na 100Mbit potrzebna jest specjalna łatka na kernel po obu stronach tunelu.[/quote]
Mniej więcej to.

Do tego
[quote=Jacekalex]W każdym razie do połączenia z bazą Mysqla czy Postgresa 10Mbit spokojne wystarczy.[/quote]
Do backupu offsite też :)? (W rozsądnym czasie)

JEŚLI mówimy o 2 maszynach linuksowych, gdzie MOŻEMY sobie pozwolić na łatanie kernela to nie widzę problemu.

Ale w przypadku kombinacji klienta (czy klientów) na windows/linux/mac z jakimiś pudełkami typu mikrotik, fortigate, stormshield, palo alto czy cisco zaczynają się schody.

Najwydajniejsze, najbardziej uniwersalne rozwiązanie jakie znam to IPsec client-2-stie i szczerze mówiąc - biorąc pod uwagę założenia z 3 postu było by najprostsze.

Jacekalex · 2018-03-07 22:54:01

Miedzy systemami wolnymi na licencjach BSD czy GNU, a systemami różnych kopro zawsze są schody.
Każda korpo marzy o monopolu, każda chce panować na światem.
Dlatego Qualcomm czy Mediatek robią stery na poszczególne wersje Andka ale NIE NA LINUXA, dlatego zawsze są gimnastyki, żeby Outlook gadał z Dovecotem,
i dlatego ciężkie miliony zawsze będą szyły na różne "integracje systemów".

W każdym razie jeżeli masz jeden port otwarty na serwerze i połączenie klient-serwer, to jest dużo prostsze połączenie, aniżeli strony lewej i prawej, jak w Ipsec.

urbinek · 2018-03-07 23:34:15

Chyba, że używasz mode-conf. Wtedy w kliencie podajesz IP serwera, się autoryzujesz i bangla.

No i fakt, IPsec wymaga 2 portów i protokół esp to juz mniej minimalistycznie niz OpenSSH/VPN ;)

Time (s)	Query
0.00013	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00101	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.139.235.177' WHERE u.id=1
0.00081	UPDATE punbb_online SET logged=1732215246 WHERE ident='3.139.235.177'
0.00044	SELECT * FROM punbb_online WHERE logged<1732214946
0.00078	DELETE FROM punbb_online WHERE ident='185.191.171.6'
0.00061	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30344 AND t.moved_to IS NULL
0.00006	SELECT search_for, replace_with FROM punbb_censoring
0.00155	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30344 ORDER BY p.id LIMIT 0,25
0.00080	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30344
Total query time: 0.00623 s

Forum Debian Users Gang

Ogłoszenie

#1 2018-03-07 16:51:54

Novi-cjusz - Użytkownik

Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#2 2018-03-07 18:44:59

urbinek - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#3 2018-03-07 19:11:20

Novi-cjusz - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#4 2018-03-07 20:42:15

urbinek - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#5 2018-03-07 20:55:46

Jacekalex - Podobno człowiek...;)

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#6 2018-03-07 21:03:53

urbinek - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#7 2018-03-07 21:09:45

Jacekalex - Podobno człowiek...;)

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#8 2018-03-07 21:20:30

urbinek - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#9 2018-03-07 21:34:54

Jacekalex - Podobno człowiek...;)

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#10 2018-03-07 22:00:36

urbinek - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#11 2018-03-07 22:08:04

hi - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#12 2018-03-07 22:22:07

urbinek - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#13 2018-03-07 22:54:01

Jacekalex - Podobno człowiek...;)

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

#14 2018-03-07 23:34:15

urbinek - Użytkownik

Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?

Stopka forum

Informacje debugowania