mboost-dp1
Port-forwarding direkte til server?
Jeg hjælper en lille virksomhed med at køre deres server hvor de har noget økonomisystem, Exchange og alle deres dokumenter. Serveren og deres klientmaskiner står bag en Zywall 5 der blokerer for al indkommende trafik medmindre der er en indkommende regel i firewallen der tillader det.
Nu skal de have koblet et nyt system op på serveren der skal installeres som en webservice på serveren. Systemet bruger en 3G terminal til at opdatere denne webservice og for at den kan få adgang til serveren skal der være hul igennem i firewallen. Problemet er at de kan ikke give en fast IP som denne 3G terminal kommunikerer fra, så den eneste løsning jeg kan se er at lave noget port-forwarding, på de to porte terminalen bruger, direkte ind til serveren.
Det virker ærligt talt lidt skørt og knap så sikkert. Er der mig der er gal på den eller er det her en hel ok praksis?
Nu skal de have koblet et nyt system op på serveren der skal installeres som en webservice på serveren. Systemet bruger en 3G terminal til at opdatere denne webservice og for at den kan få adgang til serveren skal der være hul igennem i firewallen. Problemet er at de kan ikke give en fast IP som denne 3G terminal kommunikerer fra, så den eneste løsning jeg kan se er at lave noget port-forwarding, på de to porte terminalen bruger, direkte ind til serveren.
Det virker ærligt talt lidt skørt og knap så sikkert. Er der mig der er gal på den eller er det her en hel ok praksis?
For det første har det aldrig været en god idé at basere sin autentifikation på IP adresser. Forhåbentlig foregår der også en rigtig autentifikation. Hvis ikke systemet har nogen rigtig autentifikation, så burde man nok kassere det.Heppa (1) skrev:Problemet er at de kan ikke give en fast IP som denne 3G terminal kommunikerer fra
Hvis der er en rigtig autentifikation, som du vil stole på, så kan du bare forwarde alt trafik til den pågældende port videre til serveren og lade dens autentifikation afvise uautorisede klienter.
Alternativt kan du undersøge om den terminal kan kommunikere med andet end 3G. Måske har den WiFi.
Du kan også undersøge om terminalen kan køre en VPN klient. Med VPN vil du selvfølgelig stadigvæk få trafik fra en dynamisk IP, denne gang er det bare VPN trafik i stedet. Men det giver et lag mere at bryde gennem. VPN endepunktet kunne placeres på et separat DMZ segment.
@4 - der er autentifikation på serveren, men det er en SBS2003 der kører så der er af "lidt" ældre dato. Jeg var derfor ikke så glad for at åbne alt for meget ind til serveren.
Jeg hører dem om det ikke skulle være muligt at få en fast IP til terminalen, da det trods alt vil give lidt mere beskyttelse hvis man kan låse firewallen til den.
Tak Atom.
Jeg hører dem om det ikke skulle være muligt at få en fast IP til terminalen, da det trods alt vil give lidt mere beskyttelse hvis man kan låse firewallen til den.
Tak Atom.
Secure mobil giver vel en privat adresse i en MPLS. Ikke en offentlig routet IP.
Som sagt så ved jeg det har været muligt blot at få en Statisk offentlig IP hos TDC og 3 i hvert fald for et par år siden da jeg sidst havde behovet. Det krævede at man brugte en anden APN men ellers var det ligeud af landevejen.
Edit: se fx dette fra 3.dk: http://www.3.dk/Privat/Kundeservice/Hjaelp-til-mob...
Edit 2: Kommer sq alligevel lidt i tvivl om vi var nød til at bruge secure mobil hos TDC for at opnå det vi skulle bruge. Kan godt være det kun er 3 der tilbyder statisk IP på 3G nettet.
Som sagt så ved jeg det har været muligt blot at få en Statisk offentlig IP hos TDC og 3 i hvert fald for et par år siden da jeg sidst havde behovet. Det krævede at man brugte en anden APN men ellers var det ligeud af landevejen.
Edit: se fx dette fra 3.dk: http://www.3.dk/Privat/Kundeservice/Hjaelp-til-mob...
Edit 2: Kommer sq alligevel lidt i tvivl om vi var nød til at bruge secure mobil hos TDC for at opnå det vi skulle bruge. Kan godt være det kun er 3 der tilbyder statisk IP på 3G nettet.
#12
Ja, det er der selvfølgelig noget om.
Nej, HSDPA er ikke en del af IEEE 802 standarden. Og har jo faktisk dermed ikke nogen MAC-adresse. Hm.
#1
Jeg faldt dog lige over Port knocking, som skulle give tilladelse til at en specifik port bliver åbnet, efter et prædefineret antal forbindelsesforsøg. Det er ikke noget jeg har brugt personligt dog.
http://www.zeroflux.org/projects/knock
Eller hvad med dynamisk DNS?
Ja, det er der selvfølgelig noget om.
Nej, HSDPA er ikke en del af IEEE 802 standarden. Og har jo faktisk dermed ikke nogen MAC-adresse. Hm.
#1
Jeg faldt dog lige over Port knocking, som skulle give tilladelse til at en specifik port bliver åbnet, efter et prædefineret antal forbindelsesforsøg. Det er ikke noget jeg har brugt personligt dog.
http://www.zeroflux.org/projects/knock
Eller hvad med dynamisk DNS?
Det har dog ikke noget med antallet af forsøg at gøre, men derimod hvilke porte der tilgås. Man kunne f.eks. kræve at klienten først skal prøve at åbne forbindelse til portene 63671, 65475, 61768 i den rækkefølge, og først derefter kan den tilgå den ønskede port. De tre specielle porte skal se ud nøjagtigt som alle andre lukkede porte. Indtil man har gennemført hele sekvensen vil alle portnumre se ud som om de er lukkede, og laver man en fejl skal man starte forfra igen.BetaLyte (13) skrev:Jeg faldt dog lige over Port knocking, som skulle give tilladelse til at en specifik port bliver åbnet, efter et prædefineret antal forbindelsesforsøg.
I princippet er port knocking ækvivalent med et password der sendes i klartekst. Men hvis det sker som første skridt efterfulgt af en egentlig autentifikation kan det være en fornuftig løsning sikkerhedsmæssigt.
Hvordan havde du tænkt dig at bruge dynamisk DNS?BetaLyte (13) skrev:Eller hvad med dynamisk DNS?
#14
Aha, på den måde.
Ja, det er ikke den sikreste løsning, men måske bedre end ingenting. Der er jo trods alt autentifikation på serveren, som du selv påpeger.
Ja, det var ikke helt gennemtænkt. For det første skal terminalen kunne opdatere den dynamiske dns, hvilket nok ikke er sandsynligt.
For det andet, så resolver fx iptables alligevel hostname ved udførsel af kommandoen, og ikke ved hver inspektion af pakkerne.
Så nevermind =)
Edit: En VPN klient på terminalen lyder stadig som den bedste løsning.
Aha, på den måde.
Ja, det er ikke den sikreste løsning, men måske bedre end ingenting. Der er jo trods alt autentifikation på serveren, som du selv påpeger.
kasperd (14) skrev:Hvordan havde du tænkt dig at bruge dynamisk DNS?
Ja, det var ikke helt gennemtænkt. For det første skal terminalen kunne opdatere den dynamiske dns, hvilket nok ikke er sandsynligt.
For det andet, så resolver fx iptables alligevel hostname ved udførsel af kommandoen, og ikke ved hver inspektion af pakkerne.
Så nevermind =)
Edit: En VPN klient på terminalen lyder stadig som den bedste løsning.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Support
Gå til bund