Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
#1 2018-03-07 16:51:54
Novi-cjusz - 
Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
Zakladam ze mam serwer baze danych, serwer dedykowanny ze strona www w LAN.
Chce miec bezpieczny dostep w celu korzystania i modyfikacji/edycji danych.
Jak sie najbezpieczniej polaczyc, zeby nikt inny nie byl w stanie zdemolowac moich danych ?
Naczytalem sie o: brama, tunele VPN.
Czytam i widze, ze jest wiele sposobow, ktos podpowie najbezpieczniejsze rozwiazanie ?
Pozdro.
Ostatnio edytowany przez Novi-cjusz (2018-03-07 16:52:36)
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#2 2018-03-07 18:44:59
urbinek - Dzban Naczelny
#3 2018-03-07 19:11:20
Novi-cjusz - Użytkownik
- Novi-cjusz
- Użytkownik
- Zarejestrowany: 2013-03-05
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
Nie mam co rozwijac, bo to jest tylko szukanie najbezpieczniejszego rozwiazania.
Czytam i czytam ale materialu jest nie do przerobienia, dlatego pytam ludzi z doswiadczeniem.
Powtarzam pytanie, jezeli masz w LAN:
- dane np bazy danych
- aplikacje
- komputery
- serwer www
jak najbezpieczniej polaczyc sie z zewnatrz z LAN-em aby miec dostep do wszystkiego i co najwazniejsze zeby nikt inny bez mojej akredytacji nie mogl wejsc do LAN ?
Na poziomie korpo.
Ps. Nie oczekuje szczegolowego tutoriala tylko wskazania kierunku, a dalej bede sam.
------------------------------------------------------------------------------------
"Inveniam viam aut faciam" : I will either find a way, or I shall make one
"Złoto to pieniądz królów, srebro to pieniądz dżentelmenów, barter to pieniądz chłopów ale dług to pieniądz niewolników."
Offline
#4 2018-03-07 20:42:15
urbinek - Dzban Naczelny
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
No to jest zupełnie inne pytanie niż na początku.
IPsec jest rozwiązaniem twojego problemu.
Oczywiście cały dostęp z zewnątrz ograniczasz do niezbędnego minimum.
A w wolnym czasie, robię noże :)
Offline
#5 2018-03-07 20:55:46
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
urbinek napisał(-a):
No to jest zupełnie inne pytanie niż na początku.
IPsec jest rozwiązaniem twojego problemu.
Oczywiście cały dostęp z zewnątrz ograniczasz do niezbędnego minimum.
Żarty się Waćpana trzymają.
Ipsec, zwłaszcza za NAT...
Faktycznie sprawa wygląda następująco:
1. OpenSSH - z kluczami autoryzacji.
2. OpenVPN - klucze x509+klucz statyczny.
3...
4...
5...
Szkoda czasu kombinować dalej.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#6 2018-03-07 21:03:53
urbinek - Dzban Naczelny
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
I czemu żarty?
OpenSSH do bazy danych?
OpenVPN ssie bo jest bardzo niewydajny
Jacekalex napisał(-a):
Ipsec, zwłaszcza za NAT...
Skąd wiesz, że ma nat ? Zresztą o NAT-T słyszał ?
Ostatnio edytowany przez urbinek (2018-03-07 21:07:28)
A w wolnym czasie, robię noże :)
Offline
#7 2018-03-07 21:09:45
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
urbinek napisał(-a):
I czemu żarty?
OpenSSH do bazy danych?
OpenVPN ssie bo jest bardzo niewydajny
Oczywiście, ze OpenSSH do DB.
Jak nie wierzysz, to zajrzyj do dokumentacji Mysqla i Postgresa w kontekście "secure connections" dla połączeń czy replikacji.
No chyba że osobiście usunąłeś z OpenSSH opcję przekierowania portu czy tunele.
Co do "czemu żarty" to wystaw sobie serwer Ipsec i połącz się do niego z sieci LTE np Playa czy Orange, zamiast się dziwić.
I wiem o NAT-T i ipsec-passthrough, ale wiem, jaka z tym jest gimnastyka, i jakie to jest "stabilne" w rożnych dziwnych sieciach.
OpenVPN ssie? pewnie dlatego, ze sterownik TUN w Linuxie pozwala ustawić tylko 10Mbit, żeby przestawić go na 100Mbit potrzebna jest specjalna łatka na kernel po obu stronach tunelu.
W każdym razie do połączenia z bazą Mysqla czy Postgresa 10Mbit spokojne wystarczy.
Ostatnio edytowany przez Jacekalex (2018-03-07 21:17:01)
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#8 2018-03-07 21:20:30
urbinek - Dzban Naczelny
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
Robiłem to nie raz i nie dwa, konfiguracja nazywa się RoadWarrior i działa jak marzenie. Może masz za małe doświadczenie w tym temacie, że tak agresywnie do tego podchodzisz?
A w wolnym czasie, robię noże :)
Offline
#9 2018-03-07 21:34:54
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
urbinek napisał(-a):
Robiłem to nie raz i nie dwa, konfiguracja nazywa się RoadWarrior i działa jak marzenie. Może masz za małe doświadczenie w tym temacie, że tak agresywnie do tego podchodzisz?
Oczywiście ze działa, nić inne go nie twierdzę.
Ale jeszcze nie widziałem serwera, do którego ponad SSH coś byłoby jeszcze potrzebne.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#10 2018-03-07 22:00:36
urbinek - Dzban Naczelny
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
A jeśli masz wiele maszyn, aplikacji, usług... ?
Novi-cjusz napisał(-a):
- dane np bazy danych
- aplikacje
- komputery
- serwer www
Nie wyobrażam sobie zestawiania pierdyliona tuneli SSH do każdej maszyny osobno. I tak wiem, jedna maszyna może forwardować pakiety dalej znów jest to klepanie konfiguracji per port, per maszyna, per połączenie...
Co więcej jeśli łączysz się per nazwy domenowe
Novi-cjusz napisał(-a):
Na poziomie korpo.
to ciężko o zrobienie dwóch profili w klientach do baz czy innych aplikacji dla połączeń z LAN i WAN, no chyba, że da się to ogarnąć inaczej niż rzeźbieniem polityk na FW :) tylko po to, zeby mieć minimalistyczny tunel OpenSSH, w IPsec łączysz się jak lokalnie.
Jeśli już miałbym robić cos innego to OpenVPN ale jak piszesz - znowu rzeźbienie w kernelu z obu stron i już nie jest tak różowo. Na IPsec zamykam interfejsy...
IPsec jest bardziej elegancki i ihmo prostszy w obsłudze. IKE v2 masz wbudowanego w systemy Windows, Mac
A w wolnym czasie, robię noże :)
Offline
#11 2018-03-07 22:08:04
hi - Zbanowany
- hi
- Zbanowany
- Zarejestrowany: 2016-03-24
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
urbinek napisał(-a):
OpenVPN ssie bo jest bardzo niewydajny
hmm... mógłbyś to rozwinąć?
"Są drogi, którymi nie należy podążać, armie, których nie należy atakować, fortece, których nie należy oblegać, terytoria, o które nie należy walczyć, zarządzenia, których nie należy wykonywać" Sun Tzu
Offline
#12 2018-03-07 22:22:07
urbinek - Dzban Naczelny
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
Jacekalex napisał(-a):
OpenVPN ssie? pewnie dlatego, ze sterownik TUN w Linuxie pozwala ustawić tylko 10Mbit, żeby przestawić go na 100Mbit potrzebna jest specjalna łatka na kernel po obu stronach tunelu.
Mniej więcej to.
Do tego
Jacekalex napisał(-a):
W każdym razie do połączenia z bazą Mysqla czy Postgresa 10Mbit spokojne wystarczy.
Do backupu offsite też :)? (W rozsądnym czasie)
JEŚLI mówimy o 2 maszynach linuksowych, gdzie MOŻEMY sobie pozwolić na łatanie kernela to nie widzę problemu.
Ale w przypadku kombinacji klienta (czy klientów) na windows/linux/mac z jakimiś pudełkami typu mikrotik, fortigate, stormshield, palo alto czy cisco zaczynają się schody.
Najwydajniejsze, najbardziej uniwersalne rozwiązanie jakie znam to IPsec client-2-stie i szczerze mówiąc - biorąc pod uwagę założenia z 3 postu było by najprostsze.
A w wolnym czasie, robię noże :)
Offline
#13 2018-03-07 22:54:01
Jacekalex - Podobno człowiek...;)
- Jacekalex
- Podobno człowiek...;)
- Skąd: /dev/random
- Zarejestrowany: 2008-01-07
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
Miedzy systemami wolnymi na licencjach BSD czy GNU, a systemami różnych kopro zawsze są schody.
Każda korpo marzy o monopolu, każda chce panować na światem.
Dlatego Qualcomm czy Mediatek robią stery na poszczególne wersje Andka ale NIE NA LINUXA, dlatego zawsze są gimnastyki, żeby Outlook gadał z Dovecotem,
i dlatego ciężkie miliony zawsze będą szyły na różne "integracje systemów".
W każdym razie jeżeli masz jeden port otwarty na serwerze i połączenie klient-serwer, to jest dużo prostsze połączenie, aniżeli strony lewej i prawej, jak w Ipsec.
W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem para bellum ;) | Pozdrawiam :)
Offline
#14 2018-03-07 23:34:15
urbinek - Dzban Naczelny
Re: Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?
Chyba, że używasz mode-conf. Wtedy w kliencie podajesz IP serwera, się autoryzujesz i bangla.
No i fakt, IPsec wymaga 2 portów i protokół esp to juz mniej minimalistycznie niz OpenSSH/VPN ;)
A w wolnym czasie, robię noże :)
Offline
Strony: 1
- Forum Debian Users Gang
- » Instalacja i podstawowa konfiguracja
- » Najbezpieczniejszy sposob dostepu do LAN z zewnatrz ?