Pomoc Dostęp z zewnątrz do programu księgowego

dziadek-NET

Network Architect
Q's Professional
2 Styczeń 2016
514
21
18
41
QNAP
TS-x51
Ethernet
null
Proszę o poradę która iść droga ;)

Sytuacja jest następująca. Mam jedną wirtualkę na której jest odpalony program księgowy do którego jest dostęp z poziomu przeglądarki internetowej w sieci lokalnej. Osoba wstukując numer ip w sieci lokalnej przechodzi do programu księgowego.

Teraz chciał bym w jak najłatwiejszy sposób udostępnić program osobie która miała by dostęp z zewnątrz.
Jakiś czas temu jak nie miałem Qnapa rozwiązałem to poprzez przekierowanie portu (otwarcie portu na routerze) jeśli dobrze pisze, i to działało.
Ale między czasie w innych tematach na forum było poruszane właśnie temat otwierania portów i jakie wiąże się z tym ryzyko (możliwość włamania).

Czy w takiej sytuacji sprawdzi się VPN ?

Może inne rozwiązanie proszę o info.
 
Mam kilka aplikacji wystawionych na zewnątrz i jakoś nie zaobserwowałem prób włamania.
Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze.
Logujesz wszystkie próby połączeń do jakiegoś siema/sysloga że tak twierdzisz ?
Nie bardzo rozumiem to: "Mając zainfekowany komputer dajesz komuś dostęp do całej swojej sieci. Nie wiem co lepsze" ?
VPN gdzie za każdym razem, aby go zestawić podaje inne hasło dynamiczne czy przekierowanie portu na stałe ?

Loguje wszystkie wejścia do programów.
Jeśli ktoś ma zainfekowany komputer to przez VPN może zrobić pełen skan portów serwera.
Z tego co pamiętam to qnap nie daje możliwości dynamicznego przydzielania hasła.
Uważam, że bezpieczniej jest przekierować jeden port niż dawać osobie dostęp do VPN z komputera który może mieć wszystko.

Nie pytam o logowanie wejścia do programów ale próby nawiązywania połączeń TCP i ich logowanie.
Nie wierze że przy otwartym porcie nie ma ich xxx dziennie.
Druga sprawa to kwestia zaufania do producenta danego softu, nigdy nie mamy pewności nie mam w nim ukrytych wejść,
kont itp. Takie rzeczy zdarzają się nawet gigantom typu Cisco, Juniper, Dell.
Za pomocą odpowiedniej ACLki można osobie, która zestawia VPNa dać dostęp tylko do danego hosta i portu.
 
myślałem ze będzie prościej z wyborem widzę że każdy ma swoje argumenty sam już nie wiem czy odblokować port czy uruchomić VPN
Myślę że spróbuję od VPN jeśli uda mi się skonfigurować zobaczę jak to działa jeśli nie będzie to sprawiać kłopotu to zostanie
a jeśli nie poradzę sobie z VPN lub okaże się że jest to dość uciążliwe to padnie na odblokowanie portu.
 
Trochę chyba się rozpędzacie we wnioskach (za mało bezpieczne lub za trudne). Ja postawiłem serwer openvpn na qnap i przekierowałem odpowiedni port na routerze, aby openvpn mógł działać (na qnapa oczywiście). Jeśli dobrze rozumiem, mam dostęp z zewnątrz tylko do samego qnapa a nie sieci lokalnej. Masz takie prawa do zasobów qnapa, jakie ma użytkownik zdefiniowany na qnapie (bo podczas inicjowania połączenia vpn podajesz użytkownika, który ma się połączyć z qnap i jego hasło). Po tym openvpn wchodzę sobie na wirtualkę na qnap oraz wszelkie dostępne na qnap zasoby (przez normalny IP wewnętrzny qnapa) i jest prosto, bezpiecznie i za darmo.