Pokaż wyniki 1 do 8 z 8

Temat: Zabezpieczenie bazy

Hybrid View

Previous Post Previous Post   Next Post Next Post
  1. #1

    Domyślnie Zabezpieczenie bazy

    Witam drodzy forumowicze,
    ze względu na fakt, że czytając wasze posty dochodzę do wniosku, że prawie nic nie rozumiem, co oznacza, że najprawdopodobniej znacie się na rzeczy, proszę o wskazanie rozwiązania następującego, nurtującego mnie pytania. Jak zabezpieczyć sieć?

    Zacznijmy od tego, że mam bazę danych z którą mają się łączyć poszczególne komputery. Jednak jak zrobić to bezpiecznie to już większy problem. Oczywiście naczytałem się już wielokrotnie na temat tunelowania jednak mało z tego rozumiem. Dodam, że właśnie zamówiłem router TP-LINK TD-W8970 z możliwością ustawienia do 10 tuneli na raz jednak jeszcze nie wiem jak to zrobić... Mam możliwość wzięcia do tego zadania informatyka, jednak podciągnięcie się w zakresie praktycznej wiedzy i wykazanie się w pracy jest wg mnie lepszym wyjściem

    Poniżej jak ma wyglądać ta sieć:
    pytanie.jpg

    Do rzeczy:

    Na serwerze będzie baza. Do bazy mają mieć dostęp komputery w obrębie sieci LAN serwera - to nie problem ponieważ router "swoich przepuści" jeśli ustawię port forwarding 8080 do serwera, jednak przepuści również wszystkich innych.

    Do bazy mają mieć dostęp pozostałe komputery z innych lokalizacji (poza LANem serwera). I teraz meritum:

    Jak ustawić router/serwer aby kazać mu identyfikować i przepuszczać tylko pakiety pochodzące z komputerów firmowych, a resztę blokować? Wiem, że tunele pełnią właśnie taką rolę tzn. mają określone współdzielone hasło, które dany komputer aby się połączyć musi znać. Nie chodzi mi o jakiś dostęp do danych, czyli wykorzystanie VPN do stworzenia sieci LAN stworzonej z wszystkich komputerów firmowych, chodzi mi tylko i wyłącznie o bezpieczne połączenie z bazą danych.

    Z góry przepraszam za niektóre pojęcia, starałem się wytłumaczyć jak najlepiej potrafię.

  2. #2
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    Tuneli VPN masz kilka rodzajow i ich konfiguracja jest rozna. Jak nic nie rozumiesz proponuje zatrudnic kogos kto ma o tym pojecie aby to zrobic dobrze. Ja osobiscie odradzam na tym sprzecie stawiac server VPN z prostego powodu, takie sprzety sa do zastosowan domowych i maja raczej kiepska wydajnosc.

    Teraz zalezy co to za serwer z baza danych, ale jak nie masz innej maszyny mimo wszystko proponowal bym na nim odpalis serwer VPN... a na routerku zrobic tylko forward portu dla VPN-ow.

    Teraz jak serwer z baza stoi na linux-e to openVPN, jak na windows to najlepiej zainstalowac Windows Server i skorzystac z NAP (Network Policy and Access Services). Ewentualnie majac Windows Server 2012 i klientow z Windows 7 Ultimate mozna pokusic sie o odpalenie DirectAccess.

    A jak to wszystko poustawiac to niestety musisz poczytac bo to nie jest ot tak by to na forum wyjasniac
    --
    ToM's Super Fix IT "No Fucking Problem"

  3. #3

    Domyślnie

    Poczytałem trochę o tym OpenVPN i może napisze co zrozumiałem i co mogę zrobić a ktoś mnie naprostuje, naprowadzi.

    Wchodzę sobie na stronkę OpenVPN.net i wykupuje tam licencję na usługę. Na serwerze instaluje aplikację przeznaczoną do serwera i włączam usługę, co zmienia adres IP serwera widoczny w sieci (internecie) na ten ustalony przez openvpn. Ustawiam hasło które komputery będą musiały posiadać żeby się połączyć z serwerem.

    Następnie instaluje aplikację klienta na pozostałych maszynach i ustawiam tam właśnie hasło, które będzie kluczem dostępu do przydzielonego adresu IP serwera.

    Na routerze otwieram port 8080 dla adresu IP serwera.

    Zyskuje to że, router puszcza wszystkie pakiety na serwer ale serwer weryfikuje poszczególne komputery z włączonym klientem VPN i puszcza tylko te które mają poprawny klucz dostępu. Reszta połączeń jest blokowana.

    Proszę o sprostowanie?

  4. #4
    Zarejestrowany
    Jul 2008
    Skąd
    /dev/random
    Postów
    556

    Domyślnie

    Generalnie nic nie trzeba wykupywac. Po prsotu stawiasz serwer VPN i forwardujesz jego port. Potem do niego podlaczaja sie klienci. Mozna to tak zrobic ze kazda stacja ma sowjego klienta, a mozna tak zrobic ze cale biura sa polaczone stale VPN-em z "centrala".

    Do tego nie wiem co sobie z tym portem 8080 ubzdurales bo to nie ten port... nawet bo to ani standardowy port dla VPN, ani dla bazy danych

    Zreszta OpenVPN podalem tylko jako przyklad, mozna pokombinowac inaczej i zestawic np. tunel zgodny z IPSec, L2TP, PPTP, SSTP. Jak widac mozliwosci jest sporo Tak samo warto sie zapoznac jakie standardowo obsluguje windows tunele bo mozna sprawe ulatwic i u klientow korzystac z wbudowanego w Windows klienta VPN.


    Osobiscie to ja bym ta siec przeorganizowal i na sztywno polaczyl siedziby firmy z centrala - takie rozwiazanie jest praktyczne bo pracownik nie musi miec pojecia i pamietac aby laczyc sie z VPN-em.

    Co do tego co trzeba wpisac itp. to jest z tym roznie np. PPTP umozliwia logowanie sie za pomoca indywidualnego loginu i hasla (i nic wiecej nie potrzeba). Do tego konfiguracje jest na tyle prosta ze uzytkownik za pomoca kreatora sam skonfiguruje sobie polaczenie VPN na komputerze za pomoca kreatora w windows.

    Ale to wszystko trzeba sobie dokladnie przemyslec jak bedzie wygodniej. Na razie proponuje dokladnie poczytac o roznych rozwiazaniach VPN, bo widze ze jednak sam sie za to bedziesz bral. Akurat ida swieta wiec bedzie na to troche czasu
    Ostatnio edytowane przez tom : 04-18-2014 - 14:51
    --
    ToM's Super Fix IT "No Fucking Problem"

  5. #5

    Domyślnie

    Wczytam się w to co odpisałeś. Port 8080 jest wymyślony na specyfikację co i jak będę czekał od dostawcy. Ale konfiguracja wszystkiego to albo samemu albo informatyk. Dzięki wielkie. Spróbuje poczytać

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    +1 dla tego modelu mikrotika... dziala super!
    Co do VPN to lata temu opisalem na forum podstawy http://hack.pl/forum/tutoriale/702-t...ym-sie-je.html
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj