Вы не вошли.

#1 16.01.2018 10:03:18

Владимир Смирнов
Администратор

WEB-доступ и защита периметра

Мне периодически приходится отвечать на вопросы о защите периметра при организации доступа к данным через WEB.
Если сервер находится внутри периметра организации, то этот вопрос весьма важен, ведь в случае взлома системы или вывода из строя сервера система пользователь либо остается без данных, либо злоумышленник получает доступ к ресурсам организации.
Изложу вкратце общие рекомендации к построению защищенного веб-доступа на основе KVebVision.
Для обеспечения безопасного доступа к веб-подсистеме рекомендую выполнить следующие мероприятия.

1.Доступ необходимо осуществлять по протоколу HTTPS.
2.Для этого необходимо приобрести сертификат (приобретается и продлевается пользователем).
3.В простом варианте необходим проброс порта с внешнего IP-адреса организации внутрь на порт веб-сервера, под управлением которого работает KWebVision.
4.В надежном варианте необходимо организовать DMZ (демилитаризованную зону) для подключения извне. Проброс порта в этом случае осуществляется на WEB-сервер, находящийся в DMZ. Он транслирует запросы внутрь периметра (желательно с изменением портов) на веб-сервер с KVebVision, осуществляющий непосредственно получение данных с Сервера Доступа к Данным (СДД) и публикацию данных в WEB. На сервере DMZ желательно использовать Linux. Внутренний WEB-сервер может работать на одном сервере с СДД, а может и на отдельном. В случае взлома DMZ злоумышленник не попадет внутрь периметра, а получит доступ только к Linux-машине.
5.DMZ может быть и двухступенчатой - в этом случае даже при взломе аппаратного файрволла злоумышленник не попадет внутрь периметра.

Тип сертификатов определяет заказчик. Можно использовать действующие сертификаты. Если их нет, либо для WEB-доступа планируется отдельный сертификат, можно рекомендовать один из следующих:

1.Thawte SSL Web Server
Сертификат для среднего и малого бизнеса.
Особенности сертификата: полная аутентификация организации.

2.Thawte SSL123
Сертификат для малого бизнеса.
Особенности сертификата: аутентификация домена.

Конечно же, эти мероприятия несут дополнительные затраты. Целесообразность их определять Вам. И, разумеется, ничто не спасет от установленного на сервере RAdmina с открытым выходом в Интернет или TeamViewer.

Не в сети

#2 16.01.2018 10:09:06

Владимир Смирнов
Администратор

Re: WEB-доступ и защита периметра

Хочу добавить, что на случай компрометации паролей пользователей (а для WEB это имеет большее значение, нежели для системы, работающей внутри сети), в KVisionWEB есть возможность двойного контроля доступа. Первый уровень - это имя пользователя/логин. Второй - проверка устройства, с которого осуществляется доступ к системе. Если включен режим двухступенчатого контроля, то администратор системы должен разрешить доступ каждому устройству персонально. Тогда доступ будет осуществляться только с тех устройств, которым он был открыт. Незнакомые устройства попадают в карантин, пока им не будет открыт (или запрещен) доступ администратором системы.

Не в сети

Подвал раздела