abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 14:44 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 151. brněnský sraz, který proběhne v pátek 20. 4. od 18:00 hodin v restauraci Benjamin na Drobného 46.

Ladislav Hagara | Komentářů: 0
včera 13:33 | Nová verze

Byla vydána verze 18.04.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi.

Ladislav Hagara | Komentářů: 0
včera 13:11 | Nová verze

Bylo oznámeno vydání nové stabilní verze 1.26 a beta verze 1.27 open source textového editoru Atom (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 12:55 | Komunita

Dle plánu byla dnes vydána hra Rise of the Tomb Raider (Wikipedie) pro Linux. Koupit ji lze za 49,99 €.

Ladislav Hagara | Komentářů: 0
včera 09:55 | Bezpečnostní upozornění

Společnost Oracle vydala čtvrtletní bezpečnostní aktualizaci svých softwarových produktů (CPU, Critical Patch Update). Opraveno bylo celkově 254 bezpečnostních chyb. V Oracle Java SE je například opraveno 14 bezpečnostních chyb. Vzdáleně zneužitelných bez autentizace je 12 z nich. V Oracle MySQL je opraveno 33 bezpečnostních chyb. Vzdáleně zneužitelné bez autentizace jsou 2 z nich.

Ladislav Hagara | Komentářů: 3
18.4. 23:11 | Nová verze

Byla vydána verze 8.0 linuxové distribuce Trisquel GNU/Linux. Nejnovější verze Trisquel nese kódové jméno Flidas a bude podporována do roku 2021. Výchozím prostředím je nově MATE 1.12. Trisquel patří mezi svobodné distribuce doporučované Nadací pro svobodný software (FSF).

Ladislav Hagara | Komentářů: 0
18.4. 16:00 | Nová verze

Byla vydána nová verze 27.9.0 webového prohlížeče Pale Moon (Wikipedie) vycházejícího z Firefoxu. Přehled novinek v poznámkách k vydání. Jedná se o poslední větší aktualizaci verze 27. Vývojáři se zaměří na novou verzi 28.

Ladislav Hagara | Komentářů: 0
18.4. 12:00 | Nová verze

Google Chrome 66 byl prohlášen za stabilní (YouTube). Nejnovější stabilní verze 66.0.3359.117 tohoto webového prohlížeče přináší řadu oprav a vylepšení. Vylepšeny byly také nástroje pro vývojáře (YouTube). Opraveno bylo 62 bezpečnostních chyb.

Ladislav Hagara | Komentářů: 0
18.4. 06:00 | Nová verze

Byla vydána druhá RC verze nové řady 2.10 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP. Přehled novinek i s náhledy v oznámení o vydání.

Ladislav Hagara | Komentářů: 0
17.4. 23:39 | Pozvánky

Již tento čtvrtek (19. 4.) se v posluchárně 107 na Fakultě informačních technologií ČVUT v Praze Dejvicích odehraje večer s Turrisem, tentokrát zaměřený na nový modulární router MOX. Mluvit o něm budou Patrick Zandl a Ondřej Filip, ale bude i prostor pro dotazy a diskuzi s vývojáři. Akce začíná v 18:00 a plánovaný konec je v 19:45. Mapka, kde se nachází daná posluchárna, a možnost registrace je k dispozici na webu CZ.NIC.

Miška | Komentářů: 0
Používáte na serverech port knocking?
 (2%)
 (7%)
 (47%)
 (27%)
 (16%)
Celkem 323 hlasů
 Komentářů: 29, poslední 5.4. 12:25
    Rozcestník

    Dotaz: Jak byste technicky realizovali přístup k firemním datům z intenetu

    16.11.2011 19:27 sonda
    Jak byste technicky realizovali přístup k firemním datům z intenetu
    Přečteno: 451×
    Ahoj. Situace je následující: datový windows server, potřeba přístupu k datům z domova, nikam jinam do sítě nepotřebují. Řešení už mám prakticky realizované přes připojení se na ssh server resp. uživatel se připojí klíčem k serveru, přes příkaz (napíše jméno skriptu a zadá heslo - to je automatizované přes nastavení v klientu) si připojí sdílení a pomocí sftp klienta může přenášet data: výhodou je úplné odstavení koncového uživatele od přímého přístupu k windows serveru (nemožnost útoků). Nevýhodou je prakticky jen nutnost připojit si sdílení (1 krok navíc). Chtěl bych tady vysondovat jak to řešíte vy? Jak moc se dá důvěřovat microsoftu, že zabezpečil SMB - kdyby měl uživatel z domova přes VPNko přímý přístup k serveru (u VPN by tedy mohl nastat problém kolize dvou privátních adres, nebo by se musel použít NAT nebo druhá IP adresa serveru)?

    Odpovědi

    16.11.2011 20:17 NN
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Nevidim bezpecnotsni problem zridit vpn a povolit tunelem pouze pristup na ip adresu serveru a pouze na port 445 a na zdilene adresare zabezpecene heslem. Pripadne jeste omezit pocet spojeni za sebou jako ochranu pred brute force na ten share.

    NN
    16.11.2011 21:57 sonda
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Pokud to není bezpečnostní riziko, tak nad tím popřemýšlím, až budu mít k dispozici nějaké další veřejné ip adresy, teď má windows server privátní ip adresu a je za NATem. A už vidím ten bordel až by se někdo připojil a byl doma ve stejné podsíti jako je ten windows server - pak bych musel dát serveru další ip adresu z jiného rozsahu a říct uživateli ať zadává správnou ip adresu. Jenže to už je věc, kterou nezvládne většina uživatelů a to myslím naprosto bez nadsázky. Už připojení se přes ssh jich nezvládne půlka (i když mají k dispozici všecho "zautomatizované" .bat soubory. Dokonce teď uvažuji o možnosti povolit jim přihlašování přes ssh pomocí hesel (ty alespoň nemohou ztratit) s tím, že bych vynutil použití sftp. Je to velká blbost? Podle mě má přihlašování klíčem jen výhodu, že se nepřenáší heslo během autentizace s ssh serverem. Nicméně to případnému útoku MITM nezabrání, stejně si každý musí kontrolovat serverové fingerprinty.
    17.11.2011 09:43 NN
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Pokud si sitovou cast VPN zaridis sam, prideleni IP adresy a zpristupneni site je pro klienta automaticke, pouze zadava heslo do vpn, adresar staci nazdilet jenou, potom bude maximalne offline. Vpn server nemusi bezet na serveru a klientska sit muze byt oddelena od site serveru. Ty pouze sit zpristupnis v ramci vpn a oddelis firewallem,takto:
    server --- vpn --- kleint
    Staci ti jedna verejna pro vsechny a vymysleny privatni rozsah pro klienty, zbytek vyresis sitove.

    NN
    17.11.2011 13:16 sonda
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Jak zbytek vyřeším síťově? Pokud má klient i server stejnou privátní ip adresu, pak to nebude fungovat a vůbec nezáleži na tom, že od VPN serveru dostane klient novou privátní IP adresu. Úplně stačí, pokud bude klient doma a server ve firmě ve stejné podsíti, pak bych musel klientovi ukrást alespoň 1 IP adresu toho serveru (dát to jako první routu). Jak tohle nějak normálně řešit v rámci privátních IP adres? Přidávat IP adresy a doufat, že jedna z nich nebude kolidovat, NAT, ...?
    např.
    
    klient
    eth0: 192.168.1.50/24
    tap0: 10.1.0.2/24
    
    vpn server:
    eth0: 192.168.1.3/24
    tap0: 10.1.0.1/24
    
    windows server:
    192.168.1.50/24
    
    17.11.2011 14:05 NN
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Chapu,ale tim natem by to mozna zamaskovat, nemam to otestovane, nejak takto:
    win server 192.168.1.50 (lan)
    vpn server 88.44.22.11 (wan)
               10.1.0.1 (vnitrek tunelu)
               10.1.0.2 ( <-> NAT 192.168.1.50)
    klient     10.1.0.3 (vpn)
               192.168.1.50(lan)
               88.44.33.11(wan)
    
    Na VPN server by jsi naroutoval lan windows serveru a do VPN tunelu ji premaskovaval pro klienta, takze klientu by se zadna sit nemusela routovat.

    To, ze muze nahodou kolidovat IP-cko tunelu s privatni siti klienta s tim musis pocitat. Nicmene privatni adresni porostor je dost siroky.

    Nicmene se to musi otestovat.

    NN
    17.11.2011 19:03 sonda
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    OK, teď trošku z jiného soudku: než budu mít čas a prostředky tohle nějak rozumně realizovat, mám takový šílený nápad to řešit stále pomocí SFTP, jen to zjednodušit pro uživatele tím, že bych povolil přihlašování heslem. Uživatelům bych rozdistribuoval nějakého portable sftp klienta, který by měl už v sobě uložený fingerprint serveru. Velký bezpečnostní risk?
    17.11.2011 20:55 NN
    Rozbalit Rozbalit vše Re: Jak byste technicky realizovali přístup k firemním datům z intenetu
    Jo, ale sftp s fingerprintem jsem rozchodil jenom s winscp, protoze putty neumi "hostkey", pokud premyslis, jak to automatizovat.

    Ale stejne se priklanim k reseni openvpn + smb mount, uzivatel si spusti VPN GUI, zada heslo ke klici a zbytek je automat. Nazdileny adresar, bude automaticky pristupny, jinak offline.

    NN

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.