Pomoc Dostęp z zewnątrz do programu księgowego

D

dziadek-NET

Network Architect
Q's Professional
2 Styczeń 2016
511
21
18
40
QNAP
TS-x51
Ethernet
null
Proszę o poradę która iść droga ;)

Sytuacja jest następująca. Mam jedną wirtualkę na której jest odpalony program księgowy do którego jest dostęp z poziomu przeglądarki internetowej w sieci lokalnej. Osoba wstukując numer ip w sieci lokalnej przechodzi do programu księgowego.

Teraz chciał bym w jak najłatwiejszy sposób udostępnić program osobie która miała by dostęp z zewnątrz.
Jakiś czas temu jak nie miałem Qnapa rozwiązałem to poprzez przekierowanie portu (otwarcie portu na routerze) jeśli dobrze pisze, i to działało.
Ale między czasie w innych tematach na forum było poruszane właśnie temat otwierania portów i jakie wiąże się z tym ryzyko (możliwość włamania).

Czy w takiej sytuacji sprawdzi się VPN ?

Może inne rozwiązanie proszę o info.
 
Wyświetl chronologicznie Sortuj według ilości głosów
Dodatkowo jeśli masz jakiś rozsądny router to możesz ograniczyć dostęp do tego portu z danego IP. VPN jest prosty w konfiguracji, jest jednak pewnym dyskomfortem bo trzeba się za każdym razem łączyć, chyba że postawisz tunel IPSec na jakimś routerze i będzie się łączył automatycznie. Udostępnienie portu jest także dobrym pomysłem ale trzeba się także liczyć ze skanowaniem portów no i pytanie czy ten system dodatkowo posiada jakieś uwierzytelnienie.
 
Głosuj w górę 0 Zgłoszenie negatywne
dziadek-NET napisał:
Co masz na myśli "ale trzeba się także liczyć ze skanowaniem portów" ?
Program ma zabezpieczenie, login i hasło
Kliknij, aby rozwinąć...
Chodzi mi o skanery portów, które sprawdzają po kolei na których portach coś nasłuchuje.

flamaster napisał:
Tylko i wyłącznie VPN, żadne przekierowania portu.
Kliknij, aby rozwinąć...
Biorąc pod uwagę, że to program księgowy a więc wysokiego ryzyka, zrobiłbym VPN i spał spokojnie.

VPN to tak naprawdę jedno przekierowanie portu na routerze i kilka kliknięć w QTS. Dodatkowo jeśli to będzie OpenVPN to pobranie paczki z Qnapa z konfigiem i certyfikatem i wgranie do odpowiedniego folderu. I tyle.
 
Głosuj w górę 0 Zgłoszenie negatywne
dziadek-NET napisał:
Co masz na myśli "ale trzeba się także liczyć ze skanowaniem portów" ?
Program ma zabezpieczenie, login i hasło
Kliknij, aby rozwinąć...

Porty są z zakresu od 1 do ok. 65tys więc sprawdzenie czy na którymś jakaś usługa nie nasłuchuje to kwestia paru minut.
Otwierając port ktoś może próbować bruteforcować hasło.
 
Głosuj w górę 0 Zgłoszenie negatywne
aha no to może muszę zakasać rękawy i posiedzieć przy VPN.

dexter napisał:
dziadek-NET napisał:
VPN to tak naprawdę jedno przekierowanie portu na routerze i kilka kliknięć w QTS. Dodatkowo jeśli to będzie OpenVPN to pobranie paczki z Qnapa z konfigiem i certyfikatem i wgranie do odpowiedniego folderu. I tyle.
Kliknij, aby rozwinąć...
Kliknij, aby rozwinąć...


W takim razie VPN gdzie się ustawia:
A) wirtualka + QNAP + router
B) wirtualka + QNAP + router + komputer osoby która chce się zalogować
C) QNAP + router + komputer osoby która chce się zalogować
 
Głosuj w górę 0 Zgłoszenie negatywne
unr3al2 napisał:
Mam kilka aplikacji wystawionych na zewnątrz i jakoś nie zaobserwowałem prób włamania.
Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze.
Kliknij, aby rozwinąć...
Logujesz wszystkie próby połączeń do jakiegoś siema/sysloga że tak twierdzisz ?
Nie bardzo rozumiem to: "Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze" ?
VPN gdzie za każdym razem, aby go zestawić podaje inne hasło dynamiczne czy przekierowanie portu na stałe ?
 
Głosuj w górę 0 Zgłoszenie negatywne
Głosuj w górę 0 Zgłoszenie negatywne
Z tego co widzę na szybko na tej stronie jest tutorial konfiguracji klienta VPN. Ty musisz najpierw postawić serwer. Tak z grubsza, IPSec uwierzytelnia Cię na podstawie klucza tzn. pre shared key, PPTP na podstawie użytkownika i hasła a przy OpenVPN masz login, hasło i dodatkowo certyfikat. Polecam 3 opcję. Jedyny minus że na stacji klienckiej potrzebne jest dodatkowe oprogrmowanie (darmowe)

Aha i jeszcze jedna sprawa odnośnie VPN. Nigdy tego nie sprawdzałem czy można w jakiś sposób ograniczyć dostęp przez VPN do zasobów sieci. Standardowo tak ale nie wiem jak jest w QNAPie a już nie chce mi się logować ale nie rzuciło mi się to nigdy w oczy. Jeśli się faktycznie nie da to musisz pamiętać, że użytkownik VPN dostaje dostęp do Twojej sieci.
 
Głosuj w górę 0 Zgłoszenie negatywne
flamaster napisał:
unr3al2 napisał:
Mam kilka aplikacji wystawionych na zewnątrz i jakoś nie zaobserwowałem prób włamania.
Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze.
Kliknij, aby rozwinąć...
Logujesz wszystkie próby połączeń do jakiegoś siema/sysloga że tak twierdzisz ?
Nie bardzo rozumiem to: "Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze" ?
VPN gdzie za każdym razem, aby go zestawić podaje inne hasło dynamiczne czy przekierowanie portu na stałe ?
Kliknij, aby rozwinąć...

Loguje wszystkie wejścia do programów.
Jeśli ktoś ma zainfekowany komputer to przez VPN może zrobić pełen skan portów serwera.
Z tego co pamiętam to qnap nie daje możliwości dynamicznego przydzielania hasła.
Uważam, że bezpieczniej jest przekierować jeden port niż dawać osobie dostęp do VPN z komputera który może mieć wszystko.
 
Głosuj w górę 0 Zgłoszenie negatywne
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.

Mogą Cię zainteresować

Ymil
  • Pytanie
Pomoc Dostęp do www spoza sieci lokalnej
Odpowiedzi
9
Wyświetleń
817
Zdalny dostęp oraz sieć komputerowa
Damian
Damian
X
  • Pytanie
Pomoc Prośba o pradę w filozofii zarządzania NAS
Odpowiedzi
11
Wyświetleń
{liczba}K
Podstawowe ustawienia systemowe
XERA
X
Początek strony Dół
Z powrotem