Есть масса удаленных рабочих мест, где настроить доступ к vpn невозможно.
Насколько работоспособен вариант с простой публикацией баз на внешнем IP?
Сейчас между сервером и внешнем миром стоит Микротик и в логах постоянный подбор логин-пароль с кучи левых айпишников.
И весь этот кошмар обрушится на веб-сервер с базами))
У кого-нибудь есть такая схема работы? С какими трудностями сталкиваетесь?

сотни баз лежат с белыми ИП наружу и ничего.
Главное что бы не было пустых паролей

а в той же 15 платформе есть https://wonderland.v8.1c.ru/blog/dvukhfaktornaya-autentifikatsiya/

Опять же можно ИП фильтры настроить и ТД, это работа уже других людей

Или ВПН

(2) И в текущем релизе это уже есть?

(4) Нет, ВПН в данном случае не вариант

15 платформа уже в релизе

(0)
Есть же 1с линк, ненужен белый IP

(0) >> и в логах постоянный подбор логин-пароль

От чего подбирают пароль? Не от 1С ведь.

(9) Ломятся на Микротик

80 порт убери а еще лучше fail2ban настроить правильно

Если опубликовать базу не на стандартном порту 80, а на каком-нибудь 57891. И пользователи 1С будут иметь пароли вида %Gd_4jqT, то вполне безопасно. ИМХО.

Для базы верно (12), но это смотря на то, что что вы считаете безопасностью. Вот зайдут на микротик, подключатся к локалке, но это уже не наша работа :)

(12) Пароли типа %Gd_4jqT уже давно признаны плохими. Плохо запоминаются, раздражают пользователей, относительно легко подбираются. Лучше научить пользователей пользоваться паролями вида "МойДядяСамыхЧестныхГрабил". Вот только не помню, что на счёт максимальной эффективной длины пароля в 1С...

https://asp24.com.ua/blog/zashita-mikrotik-ot-vneshnih-vtorjenii/

Та я думаю совсем не опасно.
https://taratoy.com.ua/ этот сайт делал ПРАКТИЧЕСКИ на чистом 1С.
Можете посмотреть,все отлично работает.

(0) может, я чего не понимаю, но по идее вся вот эта мозговыносящая петрушка с УФ и прочим хламом ради этого и делалась. И после этого еще и думать, работает оно или нет?.. Оно _должно_ работать.

я бы сказал - обязано.

Fresh от 1С работает без всяких ВПН вроде бы

(0) интересно, а почему невозможно?

(17) (18) Вопрос-то не в работоспособности, а в безопасности...

Я как то по забывчивости оставил свой шлюзовой компьютер на виндоуз 7 с выключеным файерволом, примерно через месяц обнаружил. вообще ничего не случилось.

А может и за там была, давно это было. А когда на нём убунту баловался, видно было что вирусняки каждую секунду ломятся и сканируют  порты.

(21) я имею в виду, что при условии грамотной настройки сети, а именно открытии только требуемых для работы портов и грамотных паролей - сама 1С обязана сохранять работоспособность, не роняться и не взламываться действиями из сети. По крайней мере в условиях штатной нагрузки, когда ее не дудосят.

(24) Ничего не должна 1С там думать за безопасность и ддос. Вон, МССкуль тоже можно выставить и в нем тоже нет никакой защиты от брутфорса - безконечно подбирай пароли.

(25) мсскуль - это немного не то, потому что это для бэк-офиса. SQL сервера редко выставляют голой попой в общедоступную сеть. А вот в случае с 1С все несколько по-другому, потому что они с запуском 8.2, УФ и тонкого клиента начали позиционировать себя как система, которая работает в распределенной среде через интернет. Поэтому вопрос в (0) не праздный и на самом деле было бы интересно посмотреть статистику, насколько бесперебойно в разных случаях оно себя ведет.

(17) А есть ли в 1с какой-то стандартный механизм блокировать пользователя после неудачных попыток залогиниться

(24) Она это и делает. В меру своих возможностей.

(27) Зачем? Если можно выбрать из списка в первой десятке пользователей с пустым паролем или "123"?
https://wiki.lineris.ru/web_security
https://habr.com/ru/company/it-grad/blog/225503/

(26) "позиционировать себя как система, которая работает в распределенной среде через интернет" // Так за веб-сервером же. Зачем 1С что-то там думать о безопасности?

> А есть ли в 1с какой-то стандартный механизм блокировать пользователя после неудачных попыток залогиниться

стандартных 1совских нет, они сами считают, что средства от брутфорса и прочее должно делаться средствами веб-сервера или какими-то прочими.

(30) ну так, значит, (0) надо посоветовать эту связку. И написать, какой сервак лучше использовать и где прочитать про настройку.

> Так за веб-сервером же. Зачем 1С что-то там думать о безопасности?

"за вебсервером" - это только на виндовой авторизации, а при 1с авторизации веб-сервер уже наверное ни при чем.

Отдельная железка (циска) или шлюз на авторизацию, после авторизации пробрасывающая пользователя на вебсервер, работающий на https.

(32) Рекомендация как правило только одна - не размещать веб-сервер на том же хосте, что и сервер приложений (или каталог файловой инфобазы, хотя из коробки с файловой такое разделение далеко не всегда работает). А уж дальше вотчина администратора веб-сервера - нгинксы там всякие, файрволы и все такое.

(33) "при 1с авторизации веб-сервер уже наверное ни при чем" // При грамотной организации до 1С дело не дойдет в случае ддоса или брутфорса

(34) это мало чем проще чем VPN...