- В этой теме 15 ответов, 4 участника, последнее обновление 5 лет, 2 месяца назад сделано
.
-
Сообщения
-
Добрый день!
Я собираюсь открыть доступ к web интерфейсу во внешнюю сеть.
Существует ли какая-либо инструкция, или набор рекомендаций для повышения безопасности сервера?Имхо, обычные действия для внешних ресурсов:
1. фильтрация по ip (в случае, если клиенты имеют статические адреса)
2. сложные пароли в ролях.
3. размещение сервера в DMZ
4. перенос стандартного порта IIS (80) в нестандартный (например 7745)
5. использовать https
6. если сервер на windows, то своевременно обновляться, не публиковать RDP и иные стандартные ресурсы наружу. Придерживаться принципа: один сервер (физический или виртуальный) — одна роль.Но лично, я бы поступил так:
1. во внешнюю сеть опубликовать VPN сервер
2. клиенты подключаются к VPN и получают доступ к серверу скады в DMZПоддерживаю VPN. Тут зависит от того, насколько VPN применима для клиентов.
Надо бы инструкцию по безопасности добавить в документацию.В дополнение к Kazam:
можно для веб-сервера выделить отдельную машину, а SCADA-Сервер и Коммуникатор развернуть на другой.Тут зависит от того, насколько VPN применима для клиентов.
В чём могут быть ограничения?
Если я, например, заведу ВПН туннель к порту моего роутера и там проброшу порт до сервера (ну или DMZ буду использовать), то каким образом отразится на пользователях?
Ну и в догонку, посоветуйте сервис, который мог бы всё это провернуть (не слишком дорогой, а в идеале — бесплатный).to0freak так VPN сервер вы можете поднять хоть на самом роутере, хоть на сервере со Scada. Просто в данном случае вы будете пробрасывать не порт WEB и по сути выставлять WEB для всех, а только VPN порт с шифрованием и авторизацией.
Просто в данном случае вы будете пробрасывать не порт WEB и по сути выставлять WEB для всех, а только VPN порт с шифрованием и авторизацией.
Если кроме ввода связки логин-пароль нужно будет делать что-то ещё — настраивать VPN подключение, например, то такой способ действительно будет неудобен. Я себе представил сторонний VPN сервис, дающий возможность пробросить порт через него, таким образом, скрыв свой реальный ip адрес. Я ведь правильно понимаю, что смогу в таком случае создать белый список адресов впн сервиса, прикрыв всем остальным доступ к реальному ip.
Остаётся только проблема, с отсутствием шифрования и дополнительной авторизации.to0freak на счет сторонних сервисов некоторые наблюдения.
1. Они не предназначены для доступа именно к вашему серверу, соответственно ваш сервер так же должен быть клиентом стороннего VPN. Тут могут возникнуть следующие моменты а) проблемы с маршрутизацией между клиентами б) сервисы условно бесплатные, скажем до 3-х клиентов бесплатно а дальше за деньги или сразу за деньги.
2. Нет ничего страшного в открытии своего IP, просто нужна хорошая железка (роутер) или правильная настройка VPN на компьютере + применение Firewall для блокировки лишних IPУ меня дома Mikrotik, есть у него некоторые недоработки, но в целом работает.
Есть в нете масса примеров как банить левые ip, вести так сказать динамический черный лист, ip заносятся в список и доступ от них блокируется на Н-ное время.
Есть список разрешенных IP причем можно сделать по маске. Я например для подключения с сотовых операторов задаю ХХХ.ХХХ.0.0/16 первые две цифры беру из данных IP того или иного оператора связи.
Либо в список заношу точно известные IP, например свой рабочий.
Так же VPN настроен на самом роутере, сейчас использую l2tp, подключение с Android без проблем. Можно OpenVpn но в Mikrotik он кастрирован, но в принципе работает.Сторонние сервисы в основном заточены для изменения маршрутизации интернет подключения для обхода сайтов. Особенно на OpenVPN часто видел, так вот там нет маршрутизации между клиентами по умолчанию, и может быть даже отсутствовать. Если сервис платный, могут дать тест только на один день, а этого маловато если раньше не сталкивались. Все же лучше поднять VPN сервер один раз на роутере и забыть…
Но ведь всё равно для подключения ко мне извне, пользователю придётся настроить VPN соединение у себя на, например, смартфоне. А это, как я уже сказал, недопустимо.
Что делать в случае, если пользователи должны ввести в браузере адрес и всё?
Я представил, что пробросив порт на мой сервер, спрячу его.to0freak недопустимо или сложно ?
Если не допустимо, то открываете порты на WEB и просто режете роутером кроме белого списка всех остальных. Для этого роутер должен уметь резать по маске, так как статических адресов у смартфонов не будет.Сторонние сервисы тоже требуют настройки на смартфонах и т.д.
Наивно думать, что пробросив порт вы что-то спрячете… Я просто помню логи роутера, лезут все кому не лень, Китай, Штаты, Швеция, Норвегия, Германия и так далее…
Стоит только пооткрывать порты на WEB, FTP, RDP и так далее…недопустимо или сложно ?
Учитывая, что скадой будут пользоваться люди очень и очень далекие от IT — скорее всё же недопустимо.
Наивно думать, что пробросив порт вы что-то спрячете… Я просто помню логи роутера, лезут все кому не лень, Китай, Штаты, Швеция, Норвегия, Германия и так далее…
Стоит только пооткрывать порты на WEB, FTP, RDP и так далее…Не могу пока понять, почему не спрячу?
На роутере можно открыть любой порт, отличающийся от стандартных для перечисленных протоколов, таким образом боты, сканирующие сеть на открытые 80е (например) порты будут проходить мимо (возможно тут я не прав).
К тому же переадресацию наверняка можно как-то зашифровать.
Я довольно далек от темы сетевой безопасности, но то что вы говорите (авторизироваться через ВПН, или же бесконечно мониторить IP на пополнение белого списка) не выглядит удобным решением.На мой взгляд, для публичного скада сервера лучше арендовать виртуальную машину у одного из провайдеров. Если нужно, с помощью Rapid Gate можно иметь 2 скады — одну в своей сети для работы и опрса приборов, другую — зеркало на общедоступном сервере.
to0freak Сканируют вообще открытые порты и по протоколам определяют что это такое.
На Android не так уж сложно настроить VPN, тем более если это будет l2tp, логин, пароль, секретное слово. Клиенты VPN давно интегрированы в Android в разных вариациях.
На Android не так уж сложно настроить VPN
Видимо вам просто везёт с пользователями, или вы всё-таки плохо представляете с кем имеете дело. В моём случае все настройки VPN скорее всего упадут на меня, не смотря на инструкции любого уровня детальности.
На мой взгляд, для публичного скада сервера лучше арендовать виртуальную машину у одного из провайдеров. Если нужно, с помощью Rapid Gate можно иметь 2 скады — одну в своей сети для работы и опрса приборов, другую — зеркало на общедоступном сервере.
Вот это звучит как подходящее решение!
Изучил с этой стороны вопрос, действительно, VPS на Windows Server крутит скаду и opc сервера + показывает интерфейс.
С таким подходом, возможно ли будет отправлять SMS не через сторонний сервер, а с помощью GSM-модема через Rapid Gate?
И ещё, можно ли будет каким-то образом разбить архив скады, чтобы старые архивные данные (допустим, старше месяца), хранить на домашнем сервере, а остальные — на VPS?
- Вы должны авторизироваться для ответа в этой теме.