abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 17:00 | Nová verze

Byl vydán Docker 1.13. Přehled novinek na YouTube a v poznámkách k vydání na GitHubu. Docker umožňuje běh aplikací v softwarových kontejnerech (Wikipedia).

Ladislav Hagara | Komentářů: 0
dnes 15:51 | Komunita

Mozilla.cz informuje, že nástroje pro webové vývojáře se možná oddělí od Firefoxu a stanou doplňkem. Nástroje pro webové vývojáře prošly velkým přepisem a tým, který se stará o jejich vývoj, by uvítal možnost jejich častějších aktualizacích nezávisle na vydávání nových verzí Firefoxu.

Ladislav Hagara | Komentářů: 1
dnes 07:00 | Humor

Čtenářům AbcLinuxu vše nejlepší k dnešnímu Dni zvýšení povědomí o tučňácích (Penguin Awareness Day).

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Komunita

Bylo spuštěno hlasování o přednáškách a workshopech pro letošní InstallFest, jenž proběhne o víkendu 4. a 5. března v Praze. Současně byla oznámena změna místa. InstallFest se letos vrací zpět na Karlovo náměstí do budovy E.

Ladislav Hagara | Komentářů: 0
dnes 02:48 | Komunita

Greg Kroah-Hartman potvrdil, že Linux 4.9 je jádrem s prodlouženou upstream podporou (LTS, Long Term Support). Podpora je plánována do ledna 2019. Aktuální jádra s prodlouženou podporou jsou tedy 3.2, 3.4, 3.10, 3.12, 3.16, 3.18, 4.1, 4.4 a 4.9.

Ladislav Hagara | Komentářů: 0
dnes 00:11 | Zajímavý článek

Výrobce síťových prvků, společnost Netgear, spustila nový program, který slibuje vývojářům, expertům, ale i běžným uživatelům vyplacení finanční odměny za nalezení bezpečnostních chyby v jejich produktech. Za nalezení zranitelnosti v hardware, API nebo mobilní aplikaci nabízí odměnu od 150 do 15 tisíc dolarů (dle závažnosti).

Michal Makovec | Komentářů: 0
dnes 00:08 | Pozvánky

V sobotu 18. 2. se v Praze v prostorách VŠE uskuteční od 9:30 již 4. ročník největší české konference o open source redakčním systému WordPress (WP) - WordCamp Praha 2017.

… více »
smíťa | Komentářů: 0
včera 23:58 | Komunita

Kryptoměnová komunita zahájila nový rok spuštěním projektu Blockchain.cz, jehož cílem je kolektivně nalézt ideální překlad pro čím dál frekventovanější slovo „blockchain“. Přispět návrhem může kdokoli. Sběr bude trvat až do konce září 2017. Následně bude probíhat dvoutýdenní veřejné hlasování, které bude zakončeno výběrem toho nejlepšího návrhu.

xHire | Komentářů: 8
včera 15:55 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno je celkově 270 bezpečnostních chyb. V Oracle Java SE je například opraveno 17 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 16 z nich. V Oracle MySQL je opraveno 27 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 5 z nich.

Ladislav Hagara | Komentářů: 0
včera 02:48 | Nová verze

Po půl roce od vydání verze 9.0 (zprávička) byla vydána verze 10.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 31
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (2%)
 (74%)
 (3%)
 (10%)
Celkem 339 hlasů
 Komentářů: 24, poslední 17.1. 10:14
    Rozcestník
    Reklama

    Dotaz: Jak byste technicky realizovali přístup k firemním datům z intenetu

    16.11.2011 19:27 sonda
    Jak byste technicky realizovali přístup k firemním datům z intenetu
    Přečteno: 445×
    Ahoj. Situace je následující: datový windows server, potřeba přístupu k datům z domova, nikam jinam do sítě nepotřebují. Řešení už mám prakticky realizované přes připojení se na ssh server resp. uživatel se připojí klíčem k serveru, přes příkaz (napíše jméno skriptu a zadá heslo - to je automatizované přes nastavení v klientu) si připojí sdílení a pomocí sftp klienta může přenášet data: výhodou je úplné odstavení koncového uživatele od přímého přístupu k windows serveru (nemožnost útoků). Nevýhodou je prakticky jen nutnost připojit si sdílení (1 krok navíc). Chtěl bych tady vysondovat jak to řešíte vy? Jak moc se dá důvěřovat microsoftu, že zabezpečil SMB - kdyby měl uživatel z domova přes VPNko přímý přístup k serveru (u VPN by tedy mohl nastat problém kolize dvou privátních adres, nebo by se musel použít NAT nebo druhá IP adresa serveru)?

    Odpovědi

    16.11.2011 20:17 NN
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Nevidim bezpecnotsni problem zridit vpn a povolit tunelem pouze pristup na ip adresu serveru a pouze na port 445 a na zdilene adresare zabezpecene heslem. Pripadne jeste omezit pocet spojeni za sebou jako ochranu pred brute force na ten share.

    NN
    16.11.2011 21:57 sonda
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Pokud to není bezpečnostní riziko, tak nad tím popřemýšlím, až budu mít k dispozici nějaké další veřejné ip adresy, teď má windows server privátní ip adresu a je za NATem. A už vidím ten bordel až by se někdo připojil a byl doma ve stejné podsíti jako je ten windows server - pak bych musel dát serveru další ip adresu z jiného rozsahu a říct uživateli ať zadává správnou ip adresu. Jenže to už je věc, kterou nezvládne většina uživatelů a to myslím naprosto bez nadsázky. Už připojení se přes ssh jich nezvládne půlka (i když mají k dispozici všecho "zautomatizované" .bat soubory. Dokonce teď uvažuji o možnosti povolit jim přihlašování přes ssh pomocí hesel (ty alespoň nemohou ztratit) s tím, že bych vynutil použití sftp. Je to velká blbost? Podle mě má přihlašování klíčem jen výhodu, že se nepřenáší heslo během autentizace s ssh serverem. Nicméně to případnému útoku MITM nezabrání, stejně si každý musí kontrolovat serverové fingerprinty.
    17.11.2011 09:43 NN
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Pokud si sitovou cast VPN zaridis sam, prideleni IP adresy a zpristupneni site je pro klienta automaticke, pouze zadava heslo do vpn, adresar staci nazdilet jenou, potom bude maximalne offline. Vpn server nemusi bezet na serveru a klientska sit muze byt oddelena od site serveru. Ty pouze sit zpristupnis v ramci vpn a oddelis firewallem,takto:
    server --- vpn --- kleint
    Staci ti jedna verejna pro vsechny a vymysleny privatni rozsah pro klienty, zbytek vyresis sitove.

    NN
    17.11.2011 13:16 sonda
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Jak zbytek vyřeším síťově? Pokud má klient i server stejnou privátní ip adresu, pak to nebude fungovat a vůbec nezáleži na tom, že od VPN serveru dostane klient novou privátní IP adresu. Úplně stačí, pokud bude klient doma a server ve firmě ve stejné podsíti, pak bych musel klientovi ukrást alespoň 1 IP adresu toho serveru (dát to jako první routu). Jak tohle nějak normálně řešit v rámci privátních IP adres? Přidávat IP adresy a doufat, že jedna z nich nebude kolidovat, NAT, ...?
    např.
    
    klient
    eth0: 192.168.1.50/24
    tap0: 10.1.0.2/24
    
    vpn server:
    eth0: 192.168.1.3/24
    tap0: 10.1.0.1/24
    
    windows server:
    192.168.1.50/24
    
    17.11.2011 14:05 NN
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Chapu,ale tim natem by to mozna zamaskovat, nemam to otestovane, nejak takto:
    win server 192.168.1.50 (lan)
    vpn server 88.44.22.11 (wan)
               10.1.0.1 (vnitrek tunelu)
               10.1.0.2 ( <-> NAT 192.168.1.50)
    klient     10.1.0.3 (vpn)
               192.168.1.50(lan)
               88.44.33.11(wan)
    
    Na VPN server by jsi naroutoval lan windows serveru a do VPN tunelu ji premaskovaval pro klienta, takze klientu by se zadna sit nemusela routovat.

    To, ze muze nahodou kolidovat IP-cko tunelu s privatni siti klienta s tim musis pocitat. Nicmene privatni adresni porostor je dost siroky.

    Nicmene se to musi otestovat.

    NN
    17.11.2011 19:03 sonda
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    OK, teď trošku z jiného soudku: než budu mít čas a prostředky tohle nějak rozumně realizovat, mám takový šílený nápad to řešit stále pomocí SFTP, jen to zjednodušit pro uživatele tím, že bych povolil přihlašování heslem. Uživatelům bych rozdistribuoval nějakého portable sftp klienta, který by měl už v sobě uložený fingerprint serveru. Velký bezpečnostní risk?
    17.11.2011 20:55 NN
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Jo, ale sftp s fingerprintem jsem rozchodil jenom s winscp, protoze putty neumi "hostkey", pokud premyslis, jak to automatizovat.

    Ale stejne se priklanim k reseni openvpn + smb mount, uzivatel si spusti VPN GUI, zada heslo ke klici a zbytek je automat. Nazdileny adresar, bude automaticky pristupny, jinak offline.

    NN

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.