|
|
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
1. Поставили FB3, в дефолтной конфигурации. Создали много-много пользователей, работают. Через некоторое время осознают что шифрование трафика внутри офиса не нужно (нагружает как сервер, так и клиентов), и решают отказаться. Какие действия нужно предпринять админу, чтобы реализовать этот кейс? 2. Дальше у компании появился удалённый офис на несколько человек. Естественное желане - включить шифрование для пользователей удалённого офиса (и только для них). Какие действия нужно предпринять админу, чтобы реализовать этот кейс? 3. Дальше страньше. Пользователь с центрального офиса иногда бывает в удалённом, и всем понятно что когда он заходит оттуда, то должно быть шифрование. А когда 99% времени работает в центральном офисе, то чтобы шифрование было отключено. 4. И тут же админу хочется, чтобы в будущем, как только ещё какой-нибудь сотрудник неожиданно захочет поработать удалённо (хоть из другого офиса, хоть из дома), то чтобы для него автоматом включалось шифрование. Т.е. обычные такие жизненние потребности админа. В идеале бы ему конечно где-нибудь прописать, что например если пользователь стучится по порту 3050, то для него трафик не шифруется, а по порту 4060 - шифруются (и пробросить порт 4060 до шлюза в интерент, чтобы он там светился как 3050). И чтобы оно "просто заработало". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 09:17 |
|
||
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
fb user, чем вам не подходит VPN доступ к центральному офису? Это разом решило бы все ваши задачи. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 09:54 |
|
||
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
# Crypt plugins are used to crypt data transferred over the wire . # In default case wire is encrypted using Alleged RC4 # (key must be generated by auth plugin). # # Per-connection configurable. # # CryptPlugin = Arc4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 10:13 |
|
||
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
fb user, иcходя из firebird.conf firebird.conf# # Should connection over the wire be encrypted? # Has 3 different values: Required, Enabled or Disabled. Enabled behavior # depends on the other side's requirements. If both sides are set to Enabled, # the connection is encrypted when possible. Note that Wirecrypt should be set # to Enabled when running a Firebird server with legacy authentication. # # Attention: default depends upon connection type: incoming (server) # or outgoing (client). # # Per-connection configurable. # # Type: string (predefined values) # #WireCrypt = Enabled (for client) / Required (for server) Ставишь в database.conf на сервере WireCrypt = Enabled, а на каждом клиенте в зависимости от своего желания Enabled/Disabled. Увы других встроенных решений нет и в Firebird 3 уже вряд ли появится. С портом идея не очень. Уж лучше тогда по маске подсети как-то распознавалось. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 10:13 |
|
||
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
Да, с WireCrypt более правильный ход. Другого варианта я тоже не вижу пока. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 10:51 |
|
||
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
Симонов Денисfirebird.conf#WireCrypt = Enabled (for client) / Required (for server) Странно что дефолтная конфигурация - это Required и Enabled. Получается что даже сейчас, работая через 127.0.0.1, процессор делает пустую работу. Кстати, было бы очень ожидаемо увидеть в инсталлере пункт про шифрование трафика. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 11:09 |
|
||
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
fb user, странного ничего тут нет. По умолчанию рассчитывается что с сервером работа будет вестись в локальной сети. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 11:19 |
|
||
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
fb userКакие действия нужно предпринять админу, чтобы реализовать этот кейс? Переключить на сервере в fireird.conf параметр WireEncryption с Required в Disabled. fb userКакие действия нужно предпринять админу, чтобы реализовать этот кейс? Настроить VPN сервер, отказать удалённым пользователям в прямом подключении с помощью firewall. Posted via ActualForum NNTP Server 1.5 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 11:44 |
|
||
|
администрирование секьюрности
|
|||
|---|---|---|---|
|
#18+
Симонов ДенисС портом идея не очень. с портом можно было бы замутить так: если классик или суперклассик - стандартный порт 3050 оставить внутри сети и не шифровать - поднять 2 инстанс классика или суперклассика, с портом 3070, этот порт зашифровать. однако, этим нивелируются плюшки суперсервера, т.к. здесь его использовать не получится. p.s. еще напомню про zebedee. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.11.2015, 12:22 |
|
||
|
|
start [/forum/topic.php?fid=40&msg=39098064&tid=1562529]: |
0ms |
get settings: |
10ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
35ms |
get topic data: |
10ms |
get forum data: |
2ms |
get page messages: |
50ms |
get tp. blocked users: |
1ms |
| others: | 16ms |
| total: | 146ms |
| 0 / 0 |
