 Автор |
Сообщение |
Arkan
Гуру
 |
|
День добрый
Посоветуйте какой либо софт или девайсы для того что бы удаленные сотрудники могли БЕЗОПАСНО подключаться из дома к корпоративной сети и заходить по RDP как на свой комп и работать
1) Голая RDP не проканает так как большинство удаленных юзверей используют динамический IP. к тому же голая RDP использует очень низкое щифрование трафика
2) Софт на клиентах должен быть под винду
3) Серверная честь приложения под *nix
Имею много филиалов, почти все филиалы обьединены между собой IPSEC туннелями с шифрованием по сертификатам 2048bit а так же немного используется OpenVPN на прешаредкей (3des)
Так же немного для избранных используется mpd5 (серверная часть), к сожалению скорее всего от этого придется отказаться из за того что очень низкое шифрование 3des, к тому же так и не смог скомпилить mpd5 для работы на альтернативном порту а не на 1723
Так же использовал обыкновенный Poptop
Может кто еще чего подскажет стоящее для удаленных пользователей ? надо именно что бы юзвери могли заходить на сервер терминалов из дома и любой точки мира а так же обязательное нормальное шифрование трафика
Знаю несколько компаний где успешно преминяются смарткеи - но толком ни кто об этом ни чего рассказать не хочет |
|
 |
|
 |
Epsilon
Гуру
 |
|
| |
|
|
k0stE
Гуру
|
|
openvpn
Работает под виндой, пингвином, андройдом и наверное вообще всем. |
|
| |
|
|
Arkan
Гуру
|
|
Браво, бинго
1) Вы не слашали о троянах которые тырят ключи/сертификаты OpenVPN - это основная причина по которой удаленным юзверям эту поделку ставить не будем
2) Слишком много гемора с обслуживанием сервера если надо отзывать и прописывать сертификаты каждый месяц
3) Логирование ведется просто безобразно
4) Подключение удаленного пользователя осуществляется через виртуальную подсеть - очень неудобно контролировать и выставлять запреты куда можно ходить а куда нельзя
5)Когда слишком много удаленных пользователей то внедрение этой системы займет огромное колличество времени
6) Серверную часть если повешать на альтернативный порт то стандартный порт всеравно как то работает - покрайней мере в логи поподают события о том что пришел пакет на этот стандартный порт (сам лично проверял после того как об этом писали на опеннете)
Из плюсов наверное только один единственный - можно прогу установить на флешку
Может еще есть более продвинутые решения ? |
|
| |
|
|
Epsilon
Гуру
|
|
Arkan, храните ключи в токенах, делов то.....
Остальное - даже обсуждать лень. |
|
| |
|
|
ProFfeSsoRr
Гуру
 |
|
| У тебя LDAP'а нет что ли? OpenVPN можно с ним сопрячь - будут по логину-паролю авторизовываться в OpenVPN, а ключ будет один на всех. |
|
| |
|
|
Arkan
Гуру
|
|
| ProFfeSsoRr писал(а): |
| У тебя LDAP'а нет что ли? OpenVPN можно с ним сопрячь - будут по логину-паролю авторизовываться в OpenVPN, а ключ будет один на всех. |
Смотря что иметь в виду LDAP
если имеется в виду OpenLDAP то его к сожалению а может к счастью нет
а если имеется в виду под LDAP AD то с этим сопрягать не желательно да и ключ один на всех это уже слишком не секьюрно
Вариант с токенами конечно не плох но не хочется возвращаться на OpenVPN - уж слишком популярная технология |
|
| |
|
|
ProFfeSsoRr
Гуру
|
|
| Цитата: |
Смотря что иметь в виду LDAP |
сервер, работающий по такому протоколу. Раз винда - AD значит.
| Цитата: |
да и ключ один на всех это уже слишком не секьюрно
|
а что несекьюрного? Им ж нельзя без пароля воспользоваться |
|
| |
|
|
Richard Ferlow
Гуру
 Предупреждений : 2
|
|
ProFfeSsoRr
я если не ошибаюсь, у товарища топикстартера неслабо развитая паранойя, он даже скачанные дистрибутивы оперы по размеру сравнивал докапываюсь почему размер разные. я это к тому что разговор ни к чему не приведет =) |
|
| |
|
|
Arkan
Гуру
|
|
| Richard Ferlow писал(а): |
ProFfeSsoRr
я если не ошибаюсь, у товарища топикстартера неслабо развитая паранойя |
Придите в к.л. крупную уважающую себя компанию и расскажите как вы умеете поднимать OpenVPN и готовы внедрить это поделие - ЗАСМЕЮТ
Хотелось бы видеть ваше резюме и название той дыры где вы сейчас трудитесь с такими познаниями |
|
| |
|
|
zmeeed
Эксперт
 |
|
в крупных уважающих себя компаниях все это делаеся не на коленке, а с бюдежтами, так что рекомендую воспользоватся улсугами фирм которые этим занимаются google
и ИТ директора в крупных уважающих себя компаниях такие вопросы обсуждают не на форумах, а в кабинете директора с присутствием фин директора |
|
| |
|
|
ProFfeSsoRr
Гуру
|
|
| Цитата: |
Придите в к.л. крупную уважающую себя компанию и расскажите как вы умеете поднимать OpenVPN и готовы внедрить это поделие - ЗАСМЕЮТ |
ну вот ежели считаешь себя крупным уважающим сисадмином крупной уважающей компании - вот и расскажи, как же надо делать, поделись опытом с глупыми и неразумными из маленьких компаний. |
|
| |
|
|
Richard Ferlow
Гуру
Предупреждений : 2
|
|
| Arkan писал(а): |
| Хотелось бы видеть ваше резюме и название той дыры где вы сейчас трудитесь с такими познаниями |
Я себя и не позиционирую как специалиста по безопасности, у меня вообще другой профиль работы. И где я тут знаниями блистал?
А вы вот в "своей" большой и крупной компании собираетесь внедрить криптографическе методы защиты и шифрования опираясь на советы на форуме, причем не профильном даже для данного вопроса. А какие-то технологии отметаете, потому как они "популярны". сразу видно - специалист. |
|
| |
|
|
ProFfeSsoRr
Гуру
|
|
Ну вот видимо товарищ Arkan посчитал, что "как-то всё несекурно" и доступ из дома сотрудника решил не делать вообще  |
|
| |
|
|
Epsilon
Гуру
|
|
| Arkan писал(а): |
| Richard Ferlow писал(а): |
ProFfeSsoRr
я если не ошибаюсь, у товарища топикстартера неслабо развитая паранойя |
Придите в к.л. крупную уважающую себя компанию и расскажите как вы умеете поднимать OpenVPN и готовы внедрить это поделие - ЗАСМЕЮТ
Хотелось бы видеть ваше резюме и название той дыры где вы сейчас трудитесь с такими познаниями |
Крупная компания - это от скольки компов/сотрудников?
Скажем 300/500 компов - нормально?
И доступ по VPN разных видов (в openvpn мир не упёрся)
В общем - видел несколько реализаций, в т.ч и openvpn - и ничего... Ни взломов, ни проблем с разграничением прав.
Аркан, или это провокация флейма, или я начинаю в вас сомневаться 
P.S. Вся секурность кончится, если контора Аркана правда кому-то потребуется и большую часть паролей быстро вскроют терморектальным криптоанализом. |
|
| |
|
|
Arkan
Гуру
|
|
Epsilon
Вся хохма с нежеланием работать с OpenVPN в том что если посмотреть на историю (лет 10) то на протяжении этих лет государственные органы постоянно тявкали на любые криптосистемы как с открытым исходным кодом так и с закрытым
НО я не припомню того дня когда тявканье было в сторону OpenVPN - а его сейчас даже стали внедрять на телефоны, как такие телефоны просодят сертификацию ???
Года 2 назад разговаривал с руководителем отдела ИБ офигенно крупной (стратегически важной) компании, На вопрос об использовании OpenVPN руководитель рассмеялся и добавил - ни в коем случае.
А вот как раз IPSEC со своими модулями используют
Как раз в тему
http://www.opennet.ru/opennews/art.shtml?num=37861 |
|
| |
|
|
Epsilon
Гуру
|
|
| |
|
|
Arkan
Гуру
|
|
Интересная штуковина
спасибо !!! |
|
| |
|
|
|
