הגנה על כניסה לרשת מבחוץ
-
נשאלתי:
יש רשת של בית כנסת. באחד המחשבים יש פיקוד על החשמל. הראוטר מפנה את אחד הפורטים למחשב הזה, וכך אפשר לשלוט על החשמל מכל מקום.
הבעיה החמורה היא שאין שום הגנה על הפיקוד, וכל אחד שיודע את ה IP והפורט, יכול להיכנס לפיקוד ללא צורך בסיסמה.
הצעתי לו לעשות בראוטר אפשרות לכניסה רק לכתובות IP מסוימות. הבעיה היא שיש משתמשים רבים ואי אפשר לעשות לכל אחד IP קבוע.
השאלה היא מה הפתרון הזול ביותר לבעיה זו?
האם ישנה דרך להתקין איזושהי חומת אש על המחשב שבו מותקן הפיקוד על החשמל שתצריך אימות בסיסמה?וכן, מה העלויות של שרת VPN? (אם לא יהיה פתרון אחר).
-
ואיך יוכלו להיכנס מבחוץ? ע"י ה VPN?
וגם אם כן, זה אני עדיין מחפש פתרון יותר קל, ע"י זיהוי עם שם משתמש וכדו'. -
@מנצפך
כן.לא נתת לנו שום כיון איך נראה הפיקוד של החשמל.
מה שאני מציע זה:
- הניהול של הפיקוד יהיה חסום ברשת הציבורית.
- דף שתעשה עם שם משתמש וסיסמא לצורך אימות.
- הפניית נתונים בדף פנימי שעליו יחולו הרשאות תיקייה (זה אפשרי בIIS ואני משוכנע שאפשרי גם בלינוקס)
עם reverse proxy לכתובת הפנימית.
דוגמא לרברס פרוקסי בnginx
location ~ \.php { proxy_pass http://127.0.0.1:8000; } דוגמא בIIS
<rewrite> <rules> <rule name="Reverse Proxy to webmail" stopProcessing="true"> <match url="^webmail/(.*)" /> <action type="Rewrite" url="http://localhost:8081/{R:1}" /> </rule> <rule name="Reverse Proxy to payroll" stopProcessing="true"> <match url="^payroll/(.*)" /> <action type="Rewrite" url="http://localhost:8082/{R:1}" /> </rule> </rules> </rewrite> אפשר גם בNodeJs להשתמש עם משהו כזה
https://github.com/OptimalBits/redbird
ואז אולי להקשיח עוד את הביטחון שזה המשתמש של עם קוד מתאים -
@מנצפך אמר בהגנה על כניסה לרשת מבחוץ:
נשאלתי:
יש רשת של בית כנסת. באחד המחשבים יש פיקוד על החשמל. הראוטר מפנה את אחד הפורטים למחשב הזה, וכך אפשר לשלוט על החשמל מכל מקום.
הבעיה החמורה היא שאין שום הגנה על הפיקוד, וכל אחד שיודע את ה IP והפורט, יכול להיכנס לפיקוד ללא צורך בסיסמה.@מנצפך השליטה היא דף WEB ללא שם משתמש וסיסמה?
-
@zvinissim
הוא כתב מפורשש שהכניסה ללא שם משתמש וסיסמא -
@clickone אמר בהגנה על כניסה לרשת מבחוץ:
@zvinissim
הוא כתב מפורשש שהכניסה ללא שם משתמש וסיסמאהזוי!
אצלי יש מערכת של מפקד החשמל (בנימין סגל) +שליטה דרך הטלפון (IVR) לכמה משתמשים, אני מכיר הרבה חברות משלבי ההקמה ולא ראיתי דבר כזה כניסה ללא סיסמא. -
@משרדי אמר בהגנה על כניסה לרשת מבחוץ:
הזוי!
אצלי יש מערכת של מפקד החשמל (בנימין סגל) +שליטה דרך הטלפון (IVR) לכמה משתמשים, אני מכיר הרבה חברות משלבי ההקמה ולא ראיתי דבר כזה כניסה ללא סיסמא.@clickone זה מה שאני חושב
נראה לי שלכניסה למערכת יש לו שם משתמש וסיסמה @מנצפך צריך שלא כל אחד יוכל להכנס למחשב ויתחיל לחטט לו בקבצים
ועל זה אולי רק VPN יפתור לו את הבעיה -
@zvinissim
נמתין ל @מנצפך
משהו כאן לא ברור לי.
(די ברור לי שזה כנראה לא מה שאתה כותב, כי זה גישה מרחוק ישירות לפיקוד בלי מחשב וכלום)@מנצפך אמר בהגנה על כניסה לרשת מבחוץ:
הבעיה החמורה היא שאין שום הגנה על הפיקוד, וכל אחד שיודע את ה IP והפורט, יכול להיכנס לפיקוד ללא צורך בסיסמה.
-
@zvinissim הבעיה כפי שנכתבה. אין שום הגנה מינימלית. גם לא עם שם משתמש וסיסמא לאתר הפיקוד (WEB כמובן).
לא ראיתי בעיני. אבל זו השאלה שקיבלתי. אבדוק שוב ואחזור עם תשובה.
-
@מנצפך
עד שאתה בודק, לדעתי הפיתרון פיקס בשבלך זה- לחסום את הכתובת מבחוץ
- דף עם זיהוי
- רברס פרוקסי עם https://github.com/OptimalBits/redbird
-
@www
הבאתי למעלה את הכיוון.
משתמשים בזה בד"כ כדי לתת תחושה / כדי לפתור בעייה
שהדף / תיקייה נראית כמגיעה מדומיין אחד, בעוד שבפועל היא מגיעה מדומיין אחר, ואף משרת אחר לגמרי.
משתמש הקצה לא מרגיש את זה ולא מודע לזה בכלל.
דוגמא מעניינת שעשיתי במקום קרוב לכאן, דף IFrame שהמקור שלו היה דומיין אחר, ולכן נחסם לעיתים לאנשים בנטפרי עם ההגדרות האישיות שלהם,
מה שבעצם עשיתי זה לשים את הכתובת עם רברס פרוקסי לתיקייה וירטואלית בתוך הדומיין הראשי.
זה גרם שלמשתמש זה היה פתוח אפילו שבעצם הדף ישב על שרת אחר במדינה אחרת. -
@www
בפרוקסי רגיל אתה פונה לשרת ומבקש דף, והוא מחזיר לך אותו.
הוא משמש בד"כ כדי לעבור ולקבל את הנתונים שלך על כל אתר מול מקום אחד
רברס פרוקסי מיוד לשרת שעושה ניתוב / באלאנס על דומיין אחד או קצת יותר, אבל המטרה שלו היא לא לעזור לך המשתמש, אלא למנהל האתר / שרת.
זה על קצה המזלג.אני מניח שחיפוש בגוגל
proxy vs reverse proxy
ייתן תשובות יותר מפורטות ומדוייקות -
הרואטר מפנה פורט X, למחשב פנימי Y + פורט Z למשל 80.
כך שחוץ מממשק אפליקציית החשמל, המחשב לא באיום כלל. אין שום בעיה שכל העולם יכול לגשת לפורט 80 כל עוד האפליקציה שמאזינה שם היא מאובטחת ובלי חורים רשלניים.
אם האפליקציה לא מאובטחת יש לעשות את הפתרון של @clickone. -
@מנצפך אמר בהגנה על כניסה לרשת מבחוץ:
@clickone תוכל להסביר יותר מה לעשות?
אני בונה דף זיהוי (בNoodeJs), ומשם איך אני מנתב עם הרברס פרוקסי?אם זה בnodejs,
https://codeforgeek.com/2015/12/reverse-proxy-using-expressjs/
כמובן אתה צריך להוסיך דף אימות, ולעשות שרק משתמש מאומת מקבל את הריברס פרוקסי. -
var express = require('express'); var app = express(); var httpProxy = require('http-proxy'); var apiProxy = httpProxy.createProxyServer(); var serverOne = 'http://xxx.xxx.xxx.xxx:xxxx/', app.all("/app1*", function (req, res) { apiProxy.web(req, res, { target: serverOne }); }); app.listen(3000); הבעיה היא בזה שאני צריך להיכנס לכתובת app1.
אם אני עושהapp.all("/*", function (req, res) { apiProxy.web(req, res, { target: serverOne }); }); זה עובד בצורה טובה.
(רק שאז בנטפרי הוא עושה שגיאה כלשהי. אבל על זה נדבר אח"כ)
פוסט 1 מתוך 23