Help Dostęp z zewnątrz do programu księgowego

[dziadek-NET]

Proszę o poradę która iść droga

Sytuacja jest następująca. Mam jedną wirtualkę na której jest odpalony program księgowy do którego jest dostęp z poziomu przeglądarki internetowej w sieci lokalnej. Osoba wstukując numer ip w sieci lokalnej przechodzi do programu księgowego.

Teraz chciał bym w jak najłatwiejszy sposób udostępnić program osobie która miała by dostęp z zewnątrz.
Jakiś czas temu jak nie miałem Qnapa rozwiązałem to poprzez przekierowanie portu (otwarcie portu na routerze) jeśli dobrze pisze, i to działało.
Ale między czasie w innych tematach na forum było poruszane właśnie temat otwierania portów i jakie wiąże się z tym ryzyko (możliwość włamania).

Czy w takiej sytuacji sprawdzi się VPN ?

Może inne rozwiązanie proszę o info.

 

[dexter]

VPN jak najbardziej

 

[mikhnal]

Jeśli do działania tego programu wymagany jest jeden, abstrakcyjny port to się nie przejmuj i konfiguruj.
Jeśli wymagane są powszechnie używane i atakowane porty to tylko VPN.

 

[dziadek-NET]

tak tylko jeden port, podejrzewam że mogę wybrać sobie lodowo może na przykłada taki 569842654 ?

Ale tak poważnie to co ? port czy VPN
VPN-u się obawiam mogę tego nie ogarnąć

 

[dexter]

Dodatkowo jeśli masz jakiś rozsądny router to możesz ograniczyć dostęp do tego portu z danego IP. VPN jest prosty w konfiguracji, jest jednak pewnym dyskomfortem bo trzeba się za każdym razem łączyć, chyba że postawisz tunel IPSec na jakimś routerze i będzie się łączył automatycznie. Udostępnienie portu jest także dobrym pomysłem ale trzeba się także liczyć ze skanowaniem portów no i pytanie czy ten system dodatkowo posiada jakieś uwierzytelnienie.

 

[dziadek-NET]

Co masz na myśli "ale trzeba się także liczyć ze skanowaniem portów" ?
Program ma zabezpieczenie, login i hasło

 

[flamaster]

tak tylko jeden port, podejrzewam że mogę wybrać sobie lodowo może na przykłada taki 569842654 ?

Ale tak poważnie to co ? port czy VPN
VPN-u się obawiam mogę tego nie ogarnąć

Tylko i wyłącznie VPN, żadne przekierowania portu.

 

[dexter]

Co masz na myśli "ale trzeba się także liczyć ze skanowaniem portów" ?
Program ma zabezpieczenie, login i hasło

Chodzi mi o skanery portów, które sprawdzają po kolei na których portach coś nasłuchuje.

Tylko i wyłącznie VPN, żadne przekierowania portu.

Biorąc pod uwagę, że to program księgowy a więc wysokiego ryzyka, zrobiłbym VPN i spał spokojnie.

VPN to tak naprawdę jedno przekierowanie portu na routerze i kilka kliknięć w QTS. Dodatkowo jeśli to będzie OpenVPN to pobranie paczki z Qnapa z konfigiem i certyfikatem i wgranie do odpowiedniego folderu. I tyle.

 

[flamaster]

Co masz na myśli "ale trzeba się także liczyć ze skanowaniem portów" ?
Program ma zabezpieczenie, login i hasło

Porty są z zakresu od 1 do ok. 65tys więc sprawdzenie czy na którymś jakaś usługa nie nasłuchuje to kwestia paru minut.
Otwierając port ktoś może próbować bruteforcować hasło.

 

[dziadek-NET]

aha no to może muszę zakasać rękawy i posiedzieć przy VPN.

VPN to tak naprawdę jedno przekierowanie portu na routerze i kilka kliknięć w QTS. Dodatkowo jeśli to będzie OpenVPN to pobranie paczki z Qnapa z konfigiem i certyfikatem i wgranie do odpowiedniego folderu. I tyle.

W takim razie VPN gdzie się ustawia:
A) wirtualka + QNAP + router
B) wirtualka + QNAP + router + komputer osoby która chce się zalogować
C) QNAP + router + komputer osoby która chce się zalogować

 

[mikhnal]

Opcja C.

 

[unr3al2]

Przekierowanie portów wystarczy. Jak ktoś będzie chciał Ci się włamać to na pewno mu się to uda.
Po co sobie utrudniać życie VPN.

 

[flamaster]

Przekierowanie portów wystarczy. Jak ktoś będzie chciał Ci się włamać to na pewno mu się to uda.
Po co sobie utrudniać życie VPN.

LOL
Po co komuś ułatwiać próby ewentualnych włamów ?

 

[unr3al2]

Mam kilka aplikacji wystawionych na zewnątrz i jakoś nie zaobserwowałem prób włamania.
Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze.

 

[flamaster]

Mam kilka aplikacji wystawionych na zewnątrz i jakoś nie zaobserwowałem prób włamania.
Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze.

Logujesz wszystkie próby połączeń do jakiegoś siema/sysloga że tak twierdzisz ?
Nie bardzo rozumiem to: "Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze" ?
VPN gdzie za każdym razem, aby go zestawić podaje inne hasło dynamiczne czy przekierowanie portu na stałe ?

 

[dziadek-NET]

czy postępując według instrukcji ze strony skonfiguruje to VPN ?
Jak skonfigurować serwer QNAP NAS jako serwer VPN? :: Security、Internet ::NAS :: QNAP
Czy jednak czegoś brakuje ?

Jeśli aktualnie program pracuje w sieci lokalnej np na porcie 1000 to go zostawić i w konfiguracjach mam go podawać czy jednak to się nie wiąże a w ustawieniach ustawia się port jak w instrukcji VPN ?

 

[dexter]

Tak ta instrukcja jest wystarczająca. Jeśli robisz VPN to interesuje Cię tylko odpowiedni port dla VPN.

 

[dziadek-NET]

a o co chodzi z tymi wersjami:
L2TP/IPsec
PPTP
OpenVPN

Która wybrać ?

jeszcze jedną stronkę znalazłem z tutorialem
Jak skonfigurować połączenie VPN - poradnik | VPNonline - Polski VPN

 

[dexter]

Z tego co widzę na szybko na tej stronie jest tutorial konfiguracji klienta VPN. Ty musisz najpierw postawić serwer. Tak z grubsza, IPSec uwierzytelnia Cię na podstawie klucza tzn. pre shared key, PPTP na podstawie użytkownika i hasła a przy OpenVPN masz login, hasło i dodatkowo certyfikat. Polecam 3 opcję. Jedyny minus że na stacji klienckiej potrzebne jest dodatkowe oprogrmowanie (darmowe)

Aha i jeszcze jedna sprawa odnośnie VPN. Nigdy tego nie sprawdzałem czy można w jakiś sposób ograniczyć dostęp przez VPN do zasobów sieci. Standardowo tak ale nie wiem jak jest w QNAPie a już nie chce mi się logować ale nie rzuciło mi się to nigdy w oczy. Jeśli się faktycznie nie da to musisz pamiętać, że użytkownik VPN dostaje dostęp do Twojej sieci.

 

[unr3al2]

Mam kilka aplikacji wystawionych na zewnątrz i jakoś nie zaobserwowałem prób włamania.
Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze.

Logujesz wszystkie próby połączeń do jakiegoś siema/sysloga że tak twierdzisz ?
Nie bardzo rozumiem to: "Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze" ?
VPN gdzie za każdym razem, aby go zestawić podaje inne hasło dynamiczne czy przekierowanie portu na stałe ?

Loguje wszystkie wejścia do programów.
Jeśli ktoś ma zainfekowany komputer to przez VPN może zrobić pełen skan portów serwera.
Z tego co pamiętam to qnap nie daje możliwości dynamicznego przydzielania hasła.
Uważam, że bezpieczniej jest przekierować jeden port niż dawać osobie dostęp do VPN z komputera który może mieć wszystko.