Comments 29
C openssl куда проще чем с вашим xca.
Прелесть XCA заключается в том, что у него есть GUI. Его можно установить, например, отделу безопасности, и передать функции выдачи и отзыва сертификатов на него. Тем самым упрощая жизнь себе.
Самоподписанным является, по определению, только сертификат корневого УЦ. Любого, хоть verisign. Остальные сертификаты подписываются им и называть их самоподписанными некорректно.
К слову, я бы решал эту задачу иначе. В комплекте с openvpn, например, есть отличный набор скриптов к openssl для организации собственного УЦ, там даже школьник осилит. А клиент для него есть практически под любую ОС. Это если уж мутить пользователям клиента специального.
А так еще лучше поднять l2tp/pptp, встроенный клиент есть в винде и всяких айфонах/андроидах.
К слову, я бы решал эту задачу иначе. В комплекте с openvpn, например, есть отличный набор скриптов к openssl для организации собственного УЦ, там даже школьник осилит. А клиент для него есть практически под любую ОС. Это если уж мутить пользователям клиента специального.
А так еще лучше поднять l2tp/pptp, встроенный клиент есть в винде и всяких айфонах/андроидах.
l2tp/pptp
Вы про сорок-седьмой протокол забываете. С ним часто геморройно.
Зачем так таинственно обычный GRE называешь? -)
Проблемы бывают, но в последнее время даже у сотовых операторов я проблем не встречал. А если где-то только через прокси, то первый вариант с openvpn запросто работает в таких условиях.
Проблемы бывают, но в последнее время даже у сотовых операторов я проблем не встречал. А если где-то только через прокси, то первый вариант с openvpn запросто работает в таких условиях.
С удивлением обнаружил, что виндовая версия easy-rsa из опенвпна не работоспособна. До этого 5 лет на линуксе ключи генерил, все было ок.
Гм. глупый вопрос: из какой OS публикуются приложения? По мне, для винды на порядок проще испрользовать Remote Desktop Web Connection.
Чего только люди не придумают, чтобы openVPN не использовать…
А если руководство попросит сделать доступ ко внутренним ресурсам с ЛЮБОГО компьютера на мальдивских берегах?
Будет бодро послано… принимать риски публикации сервисов в интернете.
Есть, конечно, варианты WebSSL-туннелей, но они глючат с завидной частотой и требуют всякую нечисть на вроде java re.
Можно внутри https-сессии открывать «песочницу» а-ля десктоп винды (на деле некое подобие облачных ОС), подобное решение есть в составе Checkpoint Connectra, например. Но это уже не так удобно и прозрачно.
Есть, конечно, варианты WebSSL-туннелей, но они глючат с завидной частотой и требуют всякую нечисть на вроде java re.
Можно внутри https-сессии открывать «песочницу» а-ля десктоп винды (на деле некое подобие облачных ОС), подобное решение есть в составе Checkpoint Connectra, например. Но это уже не так удобно и прозрачно.
О! Это правильное понимание предмета! Принятие рисков стоит очень большой зарплаты. Намного большей, чем авиабилет на Мальдивы и обратно.
Я не понял, при чем тут принятие рисков и зарплата. Риски принимает руководство, админ/безопасник их только озвучивает.
Если руководство фирмы волевым решением делает прежде защищенную сеть незащищенной, то резко увеличивается объем работы системного администратора для того, чтобы сохранялся прежний уровень функционала. Правильно? Начав с одного требования, руководству чрезвычайно приятно будет затем перейти ко всем последующим директивам, а именно: открыть все порты, убрать файрвол, запретить антивирус, бэкапы и доступ сисадмина в серверную. ) Вопрос: сколько придется вкалывать сисадмину, чтобы сеть продолжала работать в то самое время, когда руководство активно мешает работать сисадмину? )
резко увеличивается объем работы системного администратора для того, чтобы сохранялся прежний уровень функционала. Правильно?Неправильно. С чего бы это? Пропилить NAT на файерволе, делов-то. А если сервисы будут валяться под атаками, то именно для этого админ и выкатывал риски боссам, чтобы в ответ на гнев тыкнуть их носом в их же подпись под фразой «сервисы будут валяться под атаками, бро, ты согласен? Да, ФИО, подпись». Я больше скажу, после обстоятельного описания рисков в понятной для нетехнаря (босса, владельца бизнеса, гнерального, etc.) форме, запросы топов резко сдуваются в большинстве случаев.
Windows Server 2008 R2: DirectAccess — полностью решает поставленную задачу
Значит приезжает руководство на Мальдивы, приходит с друзьями в ресторан, вспоминает, что пора бы помониторить процесс, берет у друзей первый попавшийся ноут, вводит пароль, получает доступ ко внутренней сети, потом возвращает ноут. Все верно? Никаких изъянов нет? )
Хм, почитал я про него. Ничем не отличается от обычного VPN-соединения, кроме как тем, что работает на уровне службы и подключается к корпоративной сети еще до логина пользователя.
Ровно то же самое умеет пресловутый openvpn, например. Только в отличии от DirectAccess, он может просочиться и через прокси, у DirectAccess применяется стандартный ipsec.
Ровно то же самое умеет пресловутый openvpn, например. Только в отличии от DirectAccess, он может просочиться и через прокси, у DirectAccess применяется стандартный ipsec.
В каких случаях работает openvpn, где не работает DA?
Ровно в тех же, когда не работает ipsec, но работает openvpn. Даю подсказку: TCP vs UDP.
IP-HTTPS по вашему UDP использует? Подключение посредством DA требует наличие разрешения на подключение к 443 порту сервера DA, соответственно он доступен практически из любых мест, где можно подключиться к HTTPS ресурсам.
Вы почитали про DA, но видимо бегло, при недоступности 6to4, teredo, он переходит к использованию IP-HTTPS.
Ну и наконец, есть еще и SSTP VPN для быстрой реализации подключения, если клиент уже за пределами корпоративной сети, настройки можно отправить пользователю при помощи CMAK
Вы почитали про DA, но видимо бегло, при недоступности 6to4, teredo, он переходит к использованию IP-HTTPS.
Ну и наконец, есть еще и SSTP VPN для быстрой реализации подключения, если клиент уже за пределами корпоративной сети, настройки можно отправить пользователю при помощи CMAK
Так, практическая часть завершена. Теперь командировка на Мальдивы для тестирования работоспособности системы! :)
Sign up to leave a comment.
Защищенный канал передачи данных с помощью самоподписанных SSL-сертификатов и Stunnel