Zdalny dostęp do serwera z PPS a bezpieczeństwo

[ded]

Jako, że jestem w jednej z placówek mających PPSa informatykiem z doskoku aktualizację wykonuję zwykle zdalnie. Fundacja ma stały IP (Neostrada biznes), zrobiłem więc przekierowanie portu i na serwerze mam odpalony najnowszy UltraVNC. Hasło oczywiście trudne i regularnie zmieniane, port zmieniony na niestandardowy. Czy stosujecie jakieś dodatkowe zabezpieczenia?

Zastanawiamłem się nad czymś typu VPN ale to chyba przerost formy nad treścią bo nie potrzebuję innych dobrodziejstw płynących z tego tytułu. Ewentualnie szyfrowanie sesji przez plugin SecureVPN Plugin.

Na razie nie było problemów z bezpieczeństwem ale nie chciałbym aby mi ktoś powiedział, że otwarte drzwi zostawiłem. Jak wy macie zrobione?

[09061303]

U mnie weszły VPNy  momencie jak na Windows Serwerze w logach pojawiły się próby logowania co jakieś 30s z adresu z Hameryki. Jak tylko mogę pcham DSLa i Mikrotika (Neo Biznes chyba działa jakby to był DSL, więc może i Mikrotik by zadziałał tutaj - kwestia przetestowania). Czemu Mikrotik? W tych pieniądzach, dużo możliwości.

Czy jest to przerost formy nad treścią? Nie wydaje mi się, biorąc pod uwagę ile się trzeba namęczyć, żeby to skonfigurować. Nie mówię oczywiście o stawianiu serwera VPN za ruterem na kompie. Nie chciałoby mi się - na ruterze wygodniej.

Łatwiejsze od Mikrotika są Drayteki (innych ruterów z wbudowanym VPNem nie miałem okazji sprawdzać), ale są droższe (mam używanego 2820 IPPPBX, który mi zalega - plusem jest, to że ma port WAN ADSL i DSL; 30 kanałów VPN - IPSEC, PPTP, L2TP). Ogólnie wydaje mi się, że nakład pracy i ewentualnie pieniędzy wydanych do ewentualnej jakości zabezpieczenia jest warty zachodu.

[ded]

Ja mam w swoim biurze stały IP i może w ten sposób spróbować zrobić ograniczenie. W sumie z innych lokalizacji się nie loguję a port jest tylko jeden otwarty więc raczej zagrożenia nie ma.

[09061303]

Jeśli się da na danym ruterze, to jest to jakieś rozwiązanie. W ten sposób jednak masz nieszyfrowany ruch. Dlatego vnc z pluginem do szyfrowania - nie wiem jak tutaj z wydajnością, albo VPN. Wydaje mi się, że to drugie jest łatwiejsze i przyjemniejsze.

[karolweksler]

OpenVPN między serwerem i Twoim komputerem.
Potem VNC.
Czyli aby połączyć się do serwera należy będzie:
1) nawiązać połączenie VPN
2) nawiązać połączenie po VNC do serwera i zalogować się
Na routerze przekierowujesz tylko port VPN.
Jeśli serwer posiada serwer pulpitu zdalnego (patrz np. http://winplat.net/post/2012/07/16/How-to-enable-Remote-Desktop-on-Windows-%E2%80%988%E2%80%99.aspx) to proponuję Zdalny Pulpit zamiast VNC.

[ded]

Na razie zrobiłem filtr na IP w UVNC i działa dobrze. Z innego adresu mnie odrzuca. Dodam ten plugin z szyfrowaniem i powinno być bezpiecznie. Tak realnie to kto mógłby przechwytywać transmisję VNC? Trzeba było snifować moją sieć albo w fundacji czy da się jakoś on-line? Takie zagrożenie to raczej nierealne w moim przypadku. Prędzej gówniarze z zagranicy skanujący wszystkie porty wejdą i narobią bałaganu a od tego powyższe zabezpieczenie wystarczy.

[PiotrSz]

Na razie zrobiłem filtr na IP w UVNC i działa dobrze. Z innego adresu mnie odrzuca. Dodam ten plugin z szyfrowaniem i powinno być bezpiecznie. Tak realnie to kto mógłby przechwytywać transmisję VNC? Trzeba było snifować moją sieć albo w fundacji czy da się jakoś on-line? Takie zagrożenie to raczej nierealne w moim przypadku. Prędzej gówniarze z zagranicy skanujący wszystkie porty wejdą i narobią bałaganu a od tego powyższe zabezpieczenie wystarczy.

ded: Zrób sobie traceroute ze swojego kompa na tego w firmie i zobacz ile masz hopek po drodze.. conajmniej na każdej z nich ruch może być przechwycony i podsłuchany, co w przypadku VNC oznacza (chyba?) przechwytywanie obrazów graficznych z systemu na którym pracujesz.. dodatkowo wszystkie przesyłane przez Ciebie dane jak hasła do PPSa itd również idą chyba czystym tekstem :-/
VNC z szyfrowaniem to jest absolutne minimum zakładając, że wybierzesz dobry plugin, zrobisz dobre klucze i bezpiecznie je przeniesiesz!
Ze swojej strony dodam, że otwieranie portu na stałe to nie jest dobry pomysł.. przymknięcie go na Twój jeden adres to już coś ale lepiej by było otwierać zdalnie ten porty tylko wtedy gdy jest potrzebny i zaraz po zakończeniu sesji zamykać!
Najlepiej jednak byłoby odpalić VPNa (ale też w bezpiecznej technologii bo jest ich kilka głównych, ale niektóre z nich już są złamane :-/ ). Dopiero na połączeniu VPN z "firmą" możesz odpalić VNC albo RDP (przez lata używałem VNC ale ostatnio coraz częściej RDP - mniej problemów, stabilniej działa).
VPNa postawić możesz na wiele sposobów, zarówno płatnych jak i darmowych, zarówno sprzętem (routery wymienione przez kolegów) jak i programowych (OpenVPN na windows, VPN wbudowany w Windows czy Windows Server). Można też połączyć oba pomysły i postawić na starym kompie jakąś dobrą darmową dystrybucję routerowa jak np zeroshell albo pfsense i na nich postawić serwer VPN (i tonę innych przydatnych usług!) :-D

Pracujesz niestety z wrażliwymi danymi osobowymi i tutaj nie ma miejsca na zabawę i myślenie, że jakoś to będzie.. Pewne zabezpieczenia po prostu muszą być!

Pozdrawiam

[gringo]

Polecam stosowanie darmowego oprogramowania do wybranych modeli routerów, np: Open sourcowe Tomato, czy WRT itp. Rozwiązania dają możliwości konfiguracji routera, jak w maszynach z górnej półki, m.in VPN. Więcej w sieci, np. open linksys.

[09061303]

Wcześniej działałem na Tomato głównie na Liksysach WRT 54 XX, teraz mikrotik. Więcej możliwości niż poprzednik.

[MichalP]

Witam.
Czy ktoś korzysta z TeamViewera ale zainstalowanego na serwerze ?

Mam to zainstalowane na końcówkach ale serwer to troszkę mam obawy o bezpieczeństwo.

Oczywiście hasła mocne + zabezpieczenie że tylko mój nr licencji może się łączyć ale to jednak serwer z danymi.

Jakie są wasze doświadczenia ?

[Michał]

Ja nie korzystam z TV w przychodni z jednej prostej przyczyny: nie jest darmowy do zastosowań komercyjnych a tutaj niestety takie one są. Dodatkowo w TV zawsze ruch idzie przez obce serwery (producenta rozwiązania) i nie wiesz co się dzieje z danymi.

[ramanowycz]

A może po prostu rozwiązanie na zasadzie TeamViewer'a? Nie będzie to najprostsze?

[09061303]

Najprostsze może tak, ale Michał napisał dlaczego nie najlepsze.

[mpi]

Prostsze to pulpit zdalny jeśli ktoś ma przynajmniej Windows w wersji professional.
A niech mi ktoś powie na jedno pytanie. Na ile bezpieczne jest zainstalowanie i uruchomienie na serwerze OpenVPN? Czy powinna być jednak lepiej do tego oddzielna maszyna albo router z jakimś openwrt?

[09061303]

Jak masz OpenVPN  czy jakieś inne oprogramowanie na serwerze, to musisz mieć do tej maszyny otworzone określone porty i puszczone protokoły. Jak na tym serwerze jest jakaś baza czy cuś, to przez te otworzone porty zmniejszamy sobie bezpieczeństwo. Oddzielna maszyna = otwarte porty na nią.

Jak ktoś nie ma za wielu (kilkudziesięciu czy setek) klientów VPNa, to ja do tego proponuję (jak gdzieś już to wspomniałem) Mikrotika. Za ok 200zł w podstawowej wersji mamy ruter z możliwościami praktycznie  komputera = rutera na Linuksie (bez ograniczeń softu urządzenia). VPNy na tym mam w tym momencie IPSec (sieć-sieć) jak i PPTP (user-sieć, chociaż mało już bezpieczny) i działa naprawdę fajnie.