Частая просьба руководителя компании. Хочу иметь доступ к базы из любой точки мира. Причем часто нужен не просто доступ к базе, а доступ к серверу. Хочется обсудить варианты удаленного доступа к серверу компании извне. В основном хочется обсудить вопросы безопасности. Чаще всего используется RDP соединение. Для верности на проксе прописывают адреса с которых можно зайти на сервер. Но часто бывает что "в любой точке света " ip-адрес динамический. Тогда приходится использовать различные довольно сомнительные способы.
Предлагаю обсудить различные варианты организации доступа из вне. В большей степени интересует защита от доступа третьих лиц.

openvpn

рдп + стуннел... и все...

JKLkbkG56vbOd457pNb6bFIIhg - вот такой пароль в башке предложи держать начайнику, разом пропадет желание выходить из любой точки мира

(3) а что рдп файл сохранить на рабочем столе с забитым паролем религия не позволяет?

вот openvpn как раз и спасает своими сертификатами ... хотя и виндовый впн можно на сертификаты перевести.

(5) кстати, зачастую впн неудобен, особенно для руководства...

у нас в конторе был впн, после коннекта к которому инет на ноуте у гендира пропадал, а ему регулярно надо было смотреть фин. отчетность, разговаривая по скайпу...

(6) openvpnservice не предлагать?

Ну господа. VPN это уже классика жанра. Хочется чего-то новенького.

+(6) Если тырнет отваливался при подключении впн - маршруты надо смотреть.

(7) я же говорю, моя тема - RDP + Stunnel

(8) Так тебе чего хочется? Поипаццо или шобы работало, как требования в (0)?:)

(4) дык не дать сохранять пароли! религия об этом подумать не позволяет?

(12) вот упертые тупые админы/одинэсники и прочий ИТ-сброд...

не гендир работает для вас, а вы для него...

(6) Нужно снимать флажок в свойствах "Использовать основной шлюз в удаленной сети".

token

(13) это ты, чудо, работаешь на гендира - я свободный человек, сам себе хозяин. Объясни гендиру все возможные варианты взлома - сам откажется, да еще прикажет, чтобы в сеть сервак никаким боком не смотрел.

(6) Циско ВПН?

RDP тоже использует шифрование и стойкость его не хуже чем PPTP VPN, поэтому можно смело использовать просто VPN. Другое дело, что через один шлюз я например не смог опубликовать больше 1 TS, т.к. не нашел как клиент может указать нестандартный порт для подключения

+(18) Похоже порт можно указать как обычно, после двоеточия

Что-то мне подсказывает, что ТС не освоить даже провайдерский впн.

(14) +100

(18) 192.168.1.112:3391?

direct access (есть в windows 2008 r2) попробуй, если есть домен

(22) да вроде в (19) уже поправился

(16)Одно другому не мешает, я тоже свободный человек.
Но моя работа заключается в том что я за деньги консультирую и выполняю  определенные работы требующие IT квалификации, и если заказчик просит что-то неправильное с моей точки зрения, то я естественно объясняю ему что решение не самое лучшее, и предлагаю другие варианты, однако если он настаивает, то я естественно сделаю то что ему нужно, если это технически возможно, и не противоречит закону и морали.

(0)Способов много.
Вот тебе один достаточно секьюрный.
Итак:
Ставим сервер с базой за NAT, т.е  серый айпишник и полная невозможность достучаться извне.
Арендуем на облаке амазона самый дешевый VDS, стоить будет копейки ибо ресурсов ему нужно совсем каплю.
Его задача пробрасывать трафик.
Сервер с базой, из за ната сам инициирует и поддерживает шифрованный VPN до  VDS в облаке.
Т.е  у нас есть сервер с белым адресом с которого можно достучаться на RDP порт нашего сервака, на самом VDS закрыты все порты кроме 22, и настроен SSH с авторизацией по ключам.
На флешке у шефа лежит Putty, CMD скрипт, и ярлычок RDP, в ярлыке прописан адрес localhost и порт, к примеру 5555
Шеф жмет скрипт, который заставляет Putty организовать шифрованный  SSH тоннель до нашего VDS, и пробрасывать все что идет на порт 5555 локалхоста на VDS, а тот в свою очередь транслирует это на наш серевер с базой, после чего спокойно жмет на ярлык RDP и попадает на сервер.

+(26)Т.е шефу нужно сделать минимум телодвижений щелкнуть по скрипту, и по ярлычку RDP.
Если боишься что шеф потеряет флешку, и кто-то получить доступ, сделай еще локальное шифрование файлов на флешке, просто добавится еще один шаг - Ввести пароль криптоконтейнера, запустить скрипт, и ярлык RDP.

как вариант - wiki:Virtual_Network_Computing

(28)А причем тут это? VNC это аналог RDP, который на винде во первых работает медленнее чем родной RDP, во вторых его шифрование из коробки еще слабее чем у RDP.

(29) с начало надо определиться - что со стороны сервера - под него и подбирать клиента. а вообще то - ответ уже раньше прозвучал в (10) для виндового сервака. а VNC или RDP - кто к чему привык...

(26) Вот это паранойя

(31)Ну собственно в (0) просили паранойи я ее и выдал.

Хотя в большинстве случаев хватит простого SSH тоннеля и ярлычка RDP.
Достаточно секьюрно, учитывая то, что при ключевой авторизации SSH ничего в открытую не передается.
Небезопасным может быть только то что сам сервак торчит на белом айпишнике, и его можно пытаться ломать всем кому не лень, используя стандартные эксплойты.

(0) а не проще обяъснить ГенДиру, что все самое сложное очень быстро становится простым и доступным при использовании такой "палочки-выручалочки" - http://s017.radikal.ru/i422/1111/14/fac0798b4ed4.jpg

Сервак за натом, на нате впн. That is it

Радиопередача «В рабочий полдень». Диктор: - Нам пишет слесарь Иванов. Он просит поставить его любимую песню «Валенки». Товарищ Иванов! С удовольствием исполняем вашу просьбу: в эфире – песня «Валенки»!

Через какое-то время... – А вот ещё одно письмо, тоже от слесаря Иванова. Он просит поставить его любимую песню «Валенки». Пожалуйста, товарищ Иванов: «Валенки»...

Еще через некоторое время: - Нам снова пишет слесарь Иванов. Он просит поставить... чего-чего? «Рондо-Каприччиозо»?.. Товарищ Иванов, не выёбывайтесь! Слушайте свои «Валенки»!

Это я к чему.

"Руководителю компании" - интересующие отчеты с по требуемым показателям с требуемым интервалом.

А доступ к базе - перетопчется.

(34)Чаще всего смысл кражи информации есть только тогда когда утечка незаметна.
Как ты думаешь реально применить твой инструмент к шефу так, чтобы тот этого не заметил?

(37)Руководителю компании - то что ему требуется.
Надо отчет, значит отчет, надо доступ к базе, значит доступ к базе.
Если ты не можешь сделать этого, он наймет другого специалиста, который больше делает, и меньше задает умных вопросов.

(38) все гораздо проще - самое слабое звено - человек. и не надо брать ГенДира - проще сисадмина поймать. не обязательно применять "палочку-выручалочку" - достаточно просто включить в розетку - пока она нагревается у сисадмина есть время написать "чистосердечное признание"! обычная психология и ни каких замутов на тему IT.

(40) Глупости это всё. Просто персонал должен быть грамотный в вопросах безопасности. В особенности ит-персонал. Или набирать вумных, или самим учить. Грамотный админ, понимая, что ничего ему не будет, всегда в нужный момент включит дурку и прикинется туповатым эникеем без доступа, который только клавы узерам чистит и картриджи в принтере меняет.

(40)И что тебе сисадмин скажет? Ты думаешь админ под жесткими пытками вспомнит 2048битный RSA ключ?
Разве что админ сделал только видимость защиты, и оставил кучу черных ходов для себя.

(41)любая сложная задача имеет несколько очень-очень простых решений, которые лежат не всегда в одной плоскости, что и сама задача!
(42) опять все просто - приходят домой к админу и берут его комп - там удаленный доступ уже как правило настроен.

(43)Ну таких вот админов вообще надо расстреливать, которые получают деньги за создание чего-то сверх- безопасного, а у себя держат настроенный удаленный доступ.
О какой безопасности может идти речь когда админ, свободно ходит на защищеный объект.

(44) почитай - http://prostoilegko.ru/page-78/ - и иллюзии на счет IT-безопасности быстро пройдут

(44) как тебе №4 в списке ТОП-10!?

(43) Спасибо, КО.
(45) Ну давай, расскажи еще про теток, которые свои пароли на монитор стикерами клеят. Чё уж, гулять так гулять.

(47) кстати - про теток - в десятку! так оно и есть.... и еще для верности сверху прозрачным скотчем зафигачат - чтоб не потерялся и не затерся!

(48) Ну так это всё очевидные вещи. Таких контор большинство, да. Просто мне показалось, что тут речь немного о других конторах, которых на мякине не проведешь. Мне с такими довелось работать. И уж поверь, там ни паролей 123 не бывает, и не клеит их никто. Простой пример - банки. Кстати, в одной из фирм-клиентов взяли как раз начальником СБ безопасника из банка, бывшего гебиста. Он там так все круто организовал, просто песТня.

(49) им повезло. обычно как только начинаешь говорить про покупку проги или железки  - ответ простой - "вот тебе 100руб - и не в чем себе не отказывай!".  вот на эти 100руб и гуляем по полной!

(49) че далеко ходить - не всегда удается доказать, что нужно купить антивирус (типа НОД32 на 5 компов за 5500р на год)

(50)Ну так речь идет то совсем не о таких, а о тех кому нужна безопасность и они готовы за нее платить.
И еще - если специалист по IT безопасности делает защищенную систему, то он ее делает безопасной именно в плане IT, и только, все заморочки с паяльниками его волновать не должны.
Абсолютно защищенных систем не бывает, но если систему выгоднее взломать применив паяльник, или другой метод физического воздействия к человеку имеющему доступ, значит админ не зря ест свой хлеб.