Коллеги, кто использует веб-клиент для доступа к базе, посоветуйте, пжлстаа.
Аудиторы у нас против http, что можно сделать для усиления защиты? кроме впн.

https

данные от веб клиента к серверу передаются в открытом виде?

нет

(1)извините, я не совсем понимаю, у меня база опубликована на web-сервере штатным средставми 1С,
штатные средства 1С предусматривают работу по http. как можно использовать https?

(4) штатные средства 1С вообще этого ничего не умеют. это веб-сервер умеет

(3)зачем тогда https? если данные зашифрованы?

(5)да, я имею ввиду что веб клиент 1С работает по нттр

причём тут аудиторы ?

аудиторы - они разные бывают

(8) они переживают за безопасность нашей учетной системы...

(9)да мне не повезло

мы у себя сделали фильтр по IP

(12)у нас клиенты с разных ип будут подключаться

(13)Вот список всех IP и указываешь

(14) ип могут быть динамическими

(15)Этих через rdp гоняем

(16)ну это не подходит тоже как и пвн требует дополнительных телодвижений клиента

а так открыл браузер вбил адрес и все видно

(17) шо, ввести пароль сложно? ну так его даже можно запомнить, хотя это не рекомендуется

(18) [все видно]
что всё видно - зарплату ген.директора ?

(19) и запускать толстого клиента?

уже тогда и веб клиент не нужен

если сделать терминальный доступ

В терминале запускаешь тонкого.Это ведь скорее исключение будет

(0) попроси аудиторов привести примеры "взлома" 1С через вебклиент.

если не смогут - пусть утрутся...

(25) так я это как единственный аргумент использовала, они сказали, что легко, но это будет стоить денег, но зачем мне просить денег у гендира для них?

(26)чем бы еще можно доказать, что уровень защиты у 1С приемлимый?

(26) к (25)

(27)Ну ты намекни про технологический прогресс.Расскажи про 1с 8.3 в облаке...

ладно, спасибо за советы.

(27) это надо доказывать СУЩЕСТВОВАНИЕ летающего спагетти монстра, а не его ОТСУТСТВИЕ...

(26) универсальная отмаза.. "это стоит денег"
тупость

пусть приведут ПРИМЕР
никто не заставляет их нанимать хакеров которые сломают - пусть приведут пример когда использование вебклиента как такового приовдило к утечке данных по вине 1С

(31) Пример - менеджер сидит в кафешке, трет с клиентом. Надо что-то посмотреть по клиенту - лезет через бесплатный вайфай в базу. А за столиком в углу сидит студент-кулхацкер, слушает эфир. Ну и все собственно, пароль манагера и данные по клиенту у него в кармане, а завтра на крякерском форуме за 300 баксов.

Так что аудиторы отчасти правы.

(27) а зачем вам это доказывать? Вам наоборот надо говорить, уровень неприемлемый. И под это дело выбивать побольще зарплату себе, суперкомп и отдельный кабинет. Вон аудиторы уже учуяли это дело.

(32)
1.  а примеры успешного перехвата логина и пароля есть? или это фантазии?


зы:  решение вашего примера - вообще не организоваывать удаленный доступ.
так?

или считаешь что кулхацкер изугла не перехватит логин и пароль на рдп ?
или считаешь что в кафешке внезапно заработает рдп?

как бы вы организовали удаленный доступ когда надо из кафешки во время встречи с клиентом подключится к базе?

Если долго крутить в руках все можно сломать.
Банки и то ломают кули и и что?

(34) Примера для 1С у меня нет. Может она там чего шифрует/маскирует, не знаю. Но не сильно, *при желании* все это расшифровывается и автоматизируется.

Решения для моего примера:
1) HTTPS
2) VPN
3) RDP

А почему бы в кафешке не заработать RDP?
Перехватить пароль на rdp намного, намного сложнее, чем просто http трафик. Он шифруется.

(36) а прикольно будет в кафешке поднимать VPN при условии что инет только через http прокси...
ага...

+

стоит какойнить радмин и кейлогер и пишет все..

(37) Если через прокси без поддержки метода CONNECT, то да, VPN и RDP просто так не поднимешь. Решения есть конечно, но уже не для средних манагеров.

Выходит https самое универсальное решение.

> стоит какойнить радмин и кейлогер и пишет все
где стоит, у манагера на ноуте?

поднимаешь сервер, где стоит своя защита любого уровня, вплоть до RemApp от винды, и после авторизации на нем - идет редирект на внутренний ип к базе.

(32) Использовать разовые пароли, генерируемые 1С и высылаемые по смс при попытке залогиниться? :)

делали так (считаю вполне нормальной защитой)

1. создание отдельного УРБД узла для веба (возможно создание отдельного узла для каждого пользователя), этим решаем следующие задачи
 а. физическое отсутствие некоторой важной информации
 б. при взломе веб сервера можно получить пароль только к узлу, но не ко всей базе
 в. уменьшаем блокировки основной базы

2. изменяем учетку Администратор на Админ_1564_8_а и запрещаем показ ее в списке выбора (это защита от перебора), включаем вин авторизацию

3. делаем https с авторизацией виндовс. Это дает шифрование и защиту самого сервера. Сертификаты делаем приватными.

4. фаерволом настраиваем диапазоны IP, отсекаем всякие прокси и иностранные адреса

5. в 1с каждому пользователю определяем доступный дипазон ап, при входе с другого (или вхлде с двух разных) отправка на почту сообщения.

ну кажись все вспомнил чего делали, и кто теперь скажет что я не параноик :)

(41) Можно считать руководством по настройке безопасности. Предлагаю тиснуть в книгу знаний. От DoS еще что-нибудь упомянуть

(42) от DoS защищает фаервол который настроен на диапазоны IP, досят из бот сетей которые на 80% забугром, по этому если железки тянут - то нормально.

разумется фаервол - это отдельная железка прикрываюящая веб сервер.

(41).2 кто-то из "админов1С" должен остаться с авторизацией по паролю

(44) во первых не обязательно

во вторых в (41) я имел в виду перевод на вин авторизацию всех пользователей кроме админа.

А оформите статейкой в книгу знаний, пожалуйста

(41) "https с авторизацией виндовс" - что значит, поясните.

(47) при подключении ты обязан ввести логин и пароль от действующей учетки винды, только после этого происходит соеденение с веб сервером, и сесия работает имено от этой учетки

(48) Как это реализовано? Я не помню в IIS такого. Или вы подразумеваете что 1С настроена на Windows авторизацию?

(49) на вкладке где указывается пользователь - IUSR_

опция "Integrated Windows autorication"

(50) Понятно. Это только с IE работает?