Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
Zakladam ze mam serwer baze danych, serwer dedykowanny ze strona www w LAN.
Chce miec bezpieczny dostep w celu korzystania i modyfikacji/edycji danych.
Jak sie najbezpieczniej polaczyc, zeby nikt inny nie byl w stanie zdemolowac moich danych ?
Naczytalem sie o: brama, tunele VPN.
Czytam i widze, ze jest wiele sposobow, ktos podpowie najbezpieczniejsze rozwiazanie ?
Pozdro.
Ostatnio edytowany przez Novi-cjusz (2018-03-07 16:52:36)
Offline
Brama? Możesz rozwinąć?
Ja bym stawiał na niestandardowe porty i trudne hasła i klucze/certyfikaty
Offline
Nie mam co rozwijac, bo to jest tylko szukanie najbezpieczniejszego rozwiazania.
Czytam i czytam ale materialu jest nie do przerobienia, dlatego pytam ludzi z doswiadczeniem.
Powtarzam pytanie, jezeli masz w LAN:
- dane np bazy danych
- aplikacje
- komputery
- serwer www
jak najbezpieczniej polaczyc sie z zewnatrz z LAN-em aby miec dostep do wszystkiego i co najwazniejsze zeby nikt inny bez mojej akredytacji nie mogl wejsc do LAN ?
Na poziomie korpo.
Ps. Nie oczekuje szczegolowego tutoriala tylko wskazania kierunku, a dalej bede sam.
Offline
No to jest zupełnie inne pytanie niż na początku.
IPsec jest rozwiązaniem twojego problemu.
Oczywiście cały dostęp z zewnątrz ograniczasz do niezbędnego minimum.
Offline
[quote=urbinek]No to jest zupełnie inne pytanie niż na początku.
IPsec jest rozwiązaniem twojego problemu.
Oczywiście cały dostęp z zewnątrz ograniczasz do niezbędnego minimum.[/quote]
Żarty się Waćpana trzymają.
Ipsec, zwłaszcza za NAT...
Faktycznie sprawa wygląda następująco:
1. OpenSSH - z kluczami autoryzacji.
2. OpenVPN - klucze x509+klucz statyczny.
3...
4...
5...
Szkoda czasu kombinować dalej.
Offline
I czemu żarty?
OpenSSH do bazy danych?
OpenVPN ssie bo jest bardzo niewydajny
[quote=Jacekalex]Ipsec, zwłaszcza za NAT...[/quote]
Skąd wiesz, że ma nat ? Zresztą o NAT-T słyszał ?
Ostatnio edytowany przez urbinek (2018-03-07 21:07:28)
Offline
[quote=urbinek]I czemu żarty?
OpenSSH do bazy danych?
OpenVPN ssie bo jest bardzo niewydajny[/quote]
Oczywiście, ze OpenSSH do DB.
Jak nie wierzysz, to zajrzyj do dokumentacji Mysqla i Postgresa w kontekście "secure connections" dla połączeń czy replikacji.
No chyba że osobiście usunąłeś z OpenSSH opcję przekierowania portu czy tunele.
Co do "czemu żarty" to wystaw sobie serwer Ipsec i połącz się do niego z sieci LTE np Playa czy Orange, zamiast się dziwić.
I wiem o NAT-T i ipsec-passthrough, ale wiem, jaka z tym jest gimnastyka, i jakie to jest "stabilne" w rożnych dziwnych sieciach.
OpenVPN ssie? pewnie dlatego, ze sterownik TUN w Linuxie pozwala ustawić tylko 10Mbit, żeby przestawić go na 100Mbit potrzebna jest specjalna łatka na kernel po obu stronach tunelu.
W każdym razie do połączenia z bazą Mysqla czy Postgresa 10Mbit spokojne wystarczy.
Ostatnio edytowany przez Jacekalex (2018-03-07 21:17:01)
Offline
Robiłem to nie raz i nie dwa, konfiguracja nazywa się RoadWarrior i działa jak marzenie. Może masz za małe doświadczenie w tym temacie, że tak agresywnie do tego podchodzisz?
Offline
[quote=urbinek]Robiłem to nie raz i nie dwa, konfiguracja nazywa się RoadWarrior i działa jak marzenie. Może masz za małe doświadczenie w tym temacie, że tak agresywnie do tego podchodzisz?[/quote]
Oczywiście ze działa, nić inne go nie twierdzę.
Ale jeszcze nie widziałem serwera, do którego ponad SSH coś byłoby jeszcze potrzebne.
Offline
A jeśli masz wiele maszyn, aplikacji, usług... ?[quote=Novi-cjusz]- dane np bazy danych
- aplikacje
- komputery
- serwer www[/quote]
Nie wyobrażam sobie zestawiania pierdyliona tuneli SSH do każdej maszyny osobno. I tak wiem, jedna maszyna może forwardować pakiety dalej znów jest to klepanie konfiguracji per port, per maszyna, per połączenie...
Co więcej jeśli łączysz się per nazwy domenowe
[quote=Novi-cjusz]Na poziomie korpo.[/quote]
to ciężko o zrobienie dwóch profili w klientach do baz czy innych aplikacji dla połączeń z LAN i WAN, no chyba, że da się to ogarnąć inaczej niż rzeźbieniem polityk na FW :) tylko po to, zeby mieć minimalistyczny tunel OpenSSH, w IPsec łączysz się jak lokalnie.
Jeśli już miałbym robić cos innego to OpenVPN ale jak piszesz - znowu rzeźbienie w kernelu z obu stron i już nie jest tak różowo. Na IPsec zamykam interfejsy...
IPsec jest bardziej elegancki i ihmo prostszy w obsłudze. IKE v2 masz wbudowanego w systemy Windows, Mac
Offline
[quote="urbinek"]OpenVPN ssie bo jest bardzo niewydajny[/quote]
hmm... mógłbyś to rozwinąć?
Offline
[quote=Jacekalex]OpenVPN ssie? pewnie dlatego, ze sterownik TUN w Linuxie pozwala ustawić tylko 10Mbit, żeby przestawić go na 100Mbit potrzebna jest specjalna łatka na kernel po obu stronach tunelu.[/quote]
Mniej więcej to.
Do tego
[quote=Jacekalex]W każdym razie do połączenia z bazą Mysqla czy Postgresa 10Mbit spokojne wystarczy.[/quote]
Do backupu offsite też :)? (W rozsądnym czasie)
JEŚLI mówimy o 2 maszynach linuksowych, gdzie MOŻEMY sobie pozwolić na łatanie kernela to nie widzę problemu.
Ale w przypadku kombinacji klienta (czy klientów) na windows/linux/mac z jakimiś pudełkami typu mikrotik, fortigate, stormshield, palo alto czy cisco zaczynają się schody.
Najwydajniejsze, najbardziej uniwersalne rozwiązanie jakie znam to IPsec client-2-stie i szczerze mówiąc - biorąc pod uwagę założenia z 3 postu było by najprostsze.
Offline
Miedzy systemami wolnymi na licencjach BSD czy GNU, a systemami różnych kopro zawsze są schody.
Każda korpo marzy o monopolu, każda chce panować na światem.
Dlatego Qualcomm czy Mediatek robią stery na poszczególne wersje Andka ale NIE NA LINUXA, dlatego zawsze są gimnastyki, żeby Outlook gadał z Dovecotem,
i dlatego ciężkie miliony zawsze będą szyły na różne "integracje systemów".
W każdym razie jeżeli masz jeden port otwarty na serwerze i połączenie klient-serwer, to jest dużo prostsze połączenie, aniżeli strony lewej i prawej, jak w Ipsec.
Offline
Chyba, że używasz mode-conf. Wtedy w kliencie podajesz IP serwera, się autoryzujesz i bangla.
No i fakt, IPsec wymaga 2 portów i protokół esp to juz mniej minimalistycznie niz OpenSSH/VPN ;)
Offline
Strony: 1
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00063 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.138.37.43' WHERE u.id=1 |
0.00123 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.138.37.43', 1732475655) |
0.00051 | SELECT * FROM punbb_online WHERE logged<1732475355 |
0.00218 | SELECT topic_id FROM punbb_posts WHERE id=318231 |
0.00136 | SELECT id FROM punbb_posts WHERE topic_id=30344 ORDER BY posted |
0.00126 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=30344 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00211 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=30344 ORDER BY p.id LIMIT 0,25 |
0.00084 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=30344 |
Total query time: 0.01031 s |