Безопасный доступ к приложению на веб сервере
 

День добрый! Очень нужна помощь. Я в этих делах не гурру, поэтому на критику не обижусь.
Суть проблемы заключается в следующем.

Есть сервер с Windows Server 2008 R2. На сервере подняты DHCP, DNS, WEB, AD, службы политики сети и доступа. Также установлен Трафик инспектор как прокси, для мониторинга и доступа к интернету.
На данный момент структура сети такая: выделеный ИП приходит на ДИР 615, с него идет на сервер, а с сервера в локалку через неуправляемые свичи.

А теперь к самому главному. База данных находится на сервере как веб предложение и БД на мускуле. Тоесть запускается через браузер, и публиковать в локалке нет проблем.
НО возник вопрос доступа из вне. Вот тут и стопор. Как это организовать, чтобы и доступ был нормальным и безопасным. Какое выбрать дополнительное оборудование.

думаю либо rdp, либо поднимать vpn

Читал и о том и о том. Но в голову ничего не лезет.

Насчет удаленного рабочего стола тут сомнения.
А ВПН возможно. Предлогали даже на входе поставить Микротик 750. Но вот дальше как. Чтобы пользователи браузере набрали и попали на расположенное на сервере веб приложение.

А почему не FreeBSD?

Какие?
Хотя я согласен с тем что для доступа к веб ресурсу использовать RDP это бред.

Как раз vpn Вам в этом и поможет.

Я бы кстати это еще бы автоматизировал бы, например выдавал именные флешки с автоматическим подключением к VPN и переходом на сайт.
Или еще безопасней использовать VPN + Token.

мое имхо, достаточно будет авторизации на сайте для каждого пользователя
взависисмости от того сколько пользователей будет работать, может хватить и вашего длинка, просто пробросить порт до вашего сервера и порта используемого web-интерфеса.

http или https? Хотя перехватить можно и оба.

По количеству пользователей около 30, которые должны подключаться из вне, но онлайн они врядли когда будут все вмести, поэтому тут и не возникает вопроса.
Ну как я понимаю, то микротик по функционалу и возможностям намного лучше дира 615.
Вот думаю пока начальство согласно, то всетаки взять стоит. Если сразу не поставится, то пригодится в дальнейшем.


Тут простая авторизация не катит, главное это безопасность.


Не хочется разворачивать виртуалку, чтобы не перегружать сервак. Тоесть наоборот хотелось бы разгрузить его функции на доп устройства. А ставить еще один системник нет возможности в плане места.


Насчет флешки с автоматом это интересно, спасибо за наводку. Сейчас почитаю что к чему. Интересно его реализование.

Вы с этим сталкивались, получалось ли в реализовании?

Сам такое не делал но знаю что многие компании это используют.
Кхм, я имелл в виду установку нормального шлюза вместо MikroTik.
Например посмотрите в сторону маршутизаторов ALIX.

Тут и наступают реалии жизни. Если бы это я строил всю сеть, то уже брал бы что надо. А так есть директор, который хочет соотношение цена качество. При нашем разговоре я ему говорил что маршрутизатор обойдется в 400-500 зеленки, а тут вася через которого контора закупает все предложил микротик 750 за 100 бакинских.
Но у меня сложилось такое впечатление после нашего разговора и изложеной мной проблемой и того, что надо получить в результате, то он мне ничего толком и не сказал. Я ему даже рисовал структуру которую хочется видеть.
А насчет публикации веб приложения с БД, он предложил ваще на хостинг левый закинуть. Ему говорять там данные конфединциальные, а он в ответ так и че.

kotonv, Тогда забудьте все о чем писали выше.
Знаю такие конторы, в них о безопасности и речи идти не может.
Максимум что Вы сможете сделать это обеспечить безопасность на базовом уровне.

Так предложите что то конкретное. Бюджет то позволяет, но надо оргументировать.

В плане чего предложить?
Если нужна безопасность всей сети то это целый комплекс при чем очень дорогостоящий.
Покупка сертификатов, использование токенов, IDS, Snort, KES, Corporate Software Inspector, Cisco, VPN, WSUS, SRP, FSRM и.т.д

А теперь к самому главному. База данных находится на сервере как веб предложение и БД на мускуле. Тоесть запускается через браузер, и публиковать в локалке нет проблем.
НО возник вопрос доступа из вне. Вот тут и стопор. Как это организовать, чтобы и доступ был нормальным и безопасным. Какое выбрать дополнительное оборудование.

kotonv, Прежде чем обеспечивать безопасность из вне нужно обеспечить ее в локальной сети.

Если Вам так не терпиться вывести ее во внешнию сеть то убедитесь что
1- Веб приложение не содержит уязвимостей.
2- Что Вы способны определить атаку на ресурс, тут может помочь IDS и Snort.
3- Организовать безопасный канал связи c использованием шифрования.

Так же советую почитать сайт OWASP а еще почитайте ICS-CERT

О оборудовании Вам думать рано.
Если у Вас пользователей 10+ то тут можно обойтись Microtik а если их 50+ то будьте готовы выкладываться на Cisco, ALIX и другие.

После прочтения задавайте вопросы.

И этого Вам никто не расскажет, у каждого свои способы обеспечения инофрмационной безопасности на предприятии.
Если Вам нужны базовые знания то я Вам уже направления указал, дальше решать Вам.

Спасибо огромное!!!!

С вебом проблем нет. Прямого доступа к базам нет.
Суть в том что ранее было как бы в полу ручном режиме. В двух словах объясню.
Есть сервер на котором WinSer 2008. На нем IIS + MySQL.
Также стоит Трафик инспектор
На сервере запущено Веб приложение, которое работает в локалке.
Есть 2 группы пользователей при работе.
1. Это те кто передают данные. Тоесть для них доступна только форма ввода. Куда они вбили данные и все. Потом эти данные помещаются во временную базу, где ожидают действий 2 группы пользователей.
2. Вторая группа имеет более расширенные права. При авторизации у них показывает что ожидают новые данные для обработки. Нажимают просмотр этих данных, если все ок, то эти данные втягиваются в основную базу.
Так вот теперь необходимо чтобы для 1 группы пользователей был доступ из вне. Тоесть по ИП сервера.

Насчет нагрузки на канал не будет, так как внешних пользователей будет как я говорил ранее не более 30 и все онлайн они врядли будут.

Тут я так понимаю поможет ВПН, но тут не совсем понятно как именно. Тоесть если делать ВПН соединение на удаленном компе, то как сделать чтоб в браузере попадали на веб прил находящиеся на серваке.

Еще раз.
хрень

Дырки и еще раз дырки
VPN не понацея.

Говорю еще раз почитайте статьи на сайтах которые я Вам привел и половина вопросов у Вас отподет.

Читал, все интересно.

Тогда я не понимаю откуда у Вас вопросы типа
Вам просто нужно будет сделать или обьяснить пользователям что-бы они вводили адрес или автоматизировать это.

данные какого типа обрабатываете? например при обработке персональной информации используется один комплекс мер, если это коммерческая информация то другой.

каким образом вы сейчвс авторизуетесь при работе с программой, испольжуете ли эцп, например у нас сейчас начальство вопрос byod озаботилось

ps rezor, а всус тут при чем, это же вроде автоматизация и централизация установки обнов для продуктов мс?

pss топикстартер, по на сервере легальное?

Вот про это я и спрашивал.

Запрос, который отправляется в мускул - это цифры и бессмысленный набор букв. Поэтому пока этот вопрос не столь важен.
И к томуже на сервере где это будет вбиваться в форму стоит урезаный скрипт, только форма ввода. А вся основа висит на другом.

По поводу авторизации. Как я писал выше это веб приложение. Так вот основа лежит на другом серваке. И открыт доступ всего на 3 рабочих места где происходит обработка и мониторинг данных. Эти компы обрезаны по всем параметрам.

Все верно. Обновления безопасности увеличивают шанс не наткнуться на свеженький exploit.