הגנה על כניסה לרשת מבחוץ

מנצפך

נשאלתי:
יש רשת של בית כנסת. באחד המחשבים יש פיקוד על החשמל. הראוטר מפנה את אחד הפורטים למחשב הזה, וכך אפשר לשלוט על החשמל מכל מקום.
הבעיה החמורה היא שאין שום הגנה על הפיקוד, וכל אחד שיודע את ה IP והפורט, יכול להיכנס לפיקוד ללא צורך בסיסמה.
הצעתי לו לעשות בראוטר אפשרות לכניסה רק לכתובות IP מסוימות. הבעיה היא שיש משתמשים רבים ואי אפשר לעשות לכל אחד IP קבוע.
השאלה היא מה הפתרון הזול ביותר לבעיה זו?
האם ישנה דרך להתקין איזושהי חומת אש על המחשב שבו מותקן הפיקוד על החשמל שתצריך אימות בסיסמה?

וכן, מה העלויות של שרת VPN? (אם לא יהיה פתרון אחר).

clickone

@מנצפך
אתה יכול להתקין שרת VPN בחינם על הרשת הפנימית.
ולחשוף את הפיקוד רק לרשת הפנימית ולא החיצונית.

מנצפך

ואיך יוכלו להיכנס מבחוץ? ע"י ה VPN?
וגם אם כן, זה אני עדיין מחפש פתרון יותר קל, ע"י זיהוי עם שם משתמש וכדו'.

clickone

@מנצפך
כן.

לא נתת לנו שום כיון איך נראה הפיקוד של החשמל.

מה שאני מציע זה:

1. הניהול של הפיקוד יהיה חסום ברשת הציבורית.
2. דף שתעשה עם שם משתמש וסיסמא לצורך אימות.
3. הפניית נתונים בדף פנימי שעליו יחולו הרשאות תיקייה (זה אפשרי בIIS ואני משוכנע שאפשרי גם בלינוקס)
   עם reverse proxy לכתובת הפנימית.

דוגמא לרברס פרוקסי בnginx

location ~ \.php {
    proxy_pass http://127.0.0.1:8000;
}

מקור

דוגמא בIIS

<rewrite>
    <rules>
        <rule name="Reverse Proxy to webmail" stopProcessing="true">
            <match url="^webmail/(.*)" />
            <action type="Rewrite" url="http://localhost:8081/{R:1}" />
        </rule>
        <rule name="Reverse Proxy to payroll" stopProcessing="true">
            <match url="^payroll/(.*)" />
            <action type="Rewrite" url="http://localhost:8082/{R:1}" />
        </rule>
    </rules>
</rewrite>

מקור

אפשר גם בNodeJs להשתמש עם משהו כזה
https://github.com/OptimalBits/redbird
ואז אולי להקשיח עוד את הביטחון שזה המשתמש של עם קוד מתאים

zvinissim

@מנצפך אמר בהגנה על כניסה לרשת מבחוץ:

נשאלתי:
יש רשת של בית כנסת. באחד המחשבים יש פיקוד על החשמל. הראוטר מפנה את אחד הפורטים למחשב הזה, וכך אפשר לשלוט על החשמל מכל מקום.
הבעיה החמורה היא שאין שום הגנה על הפיקוד, וכל אחד שיודע את ה IP והפורט, יכול להיכנס לפיקוד ללא צורך בסיסמה.

@מנצפך השליטה היא דף WEB ללא שם משתמש וסיסמה?

clickone

@zvinissim
הוא כתב מפורשש שהכניסה ללא שם משתמש וסיסמא

משרדי

@clickone אמר בהגנה על כניסה לרשת מבחוץ:

@zvinissim
הוא כתב מפורשש שהכניסה ללא שם משתמש וסיסמא

הזוי!
אצלי יש מערכת של מפקד החשמל (בנימין סגל) +שליטה דרך הטלפון (IVR) לכמה משתמשים, אני מכיר הרבה חברות משלבי ההקמה ולא ראיתי דבר כזה כניסה ללא סיסמא.

zvinissim

@משרדי אמר בהגנה על כניסה לרשת מבחוץ:

הזוי!
אצלי יש מערכת של מפקד החשמל (בנימין סגל) +שליטה דרך הטלפון (IVR) לכמה משתמשים, אני מכיר הרבה חברות משלבי ההקמה ולא ראיתי דבר כזה כניסה ללא סיסמא.

@clickone זה מה שאני חושב
נראה לי שלכניסה למערכת יש לו שם משתמש וסיסמה @מנצפך צריך שלא כל אחד יוכל להכנס למחשב ויתחיל לחטט לו בקבצים
ועל זה אולי רק VPN יפתור לו את הבעיה

clickone

@zvinissim
נמתין ל @מנצפך
משהו כאן לא ברור לי.
(די ברור לי שזה כנראה לא מה שאתה כותב, כי זה גישה מרחוק ישירות לפיקוד בלי מחשב וכלום)

@מנצפך אמר בהגנה על כניסה לרשת מבחוץ:

הבעיה החמורה היא שאין שום הגנה על הפיקוד, וכל אחד שיודע את ה IP והפורט, יכול להיכנס לפיקוד ללא צורך בסיסמה.

מנצפך

@zvinissim הבעיה כפי שנכתבה. אין שום הגנה מינימלית. גם לא עם שם משתמש וסיסמא לאתר הפיקוד (WEB כמובן).

לא ראיתי בעיני. אבל זו השאלה שקיבלתי. אבדוק שוב ואחזור עם תשובה.

clickone

@מנצפך
עד שאתה בודק, לדעתי הפיתרון פיקס בשבלך זה

1. לחסום את הכתובת מבחוץ
2. דף עם זיהוי
3. רברס פרוקסי עם https://github.com/OptimalBits/redbird

WWW

@clickone תוכל להחכים אותי,
מה הכוונה רברס פרוקסי?

clickone

@www
הבאתי למעלה את הכיוון.
משתמשים בזה בד"כ כדי לתת תחושה / כדי לפתור בעייה
שהדף / תיקייה נראית כמגיעה מדומיין אחד, בעוד שבפועל היא מגיעה מדומיין אחר, ואף משרת אחר לגמרי.
משתמש הקצה לא מרגיש את זה ולא מודע לזה בכלל.
דוגמא מעניינת שעשיתי במקום קרוב לכאן, דף IFrame שהמקור שלו היה דומיין אחר, ולכן נחסם לעיתים לאנשים בנטפרי עם ההגדרות האישיות שלהם,
מה שבעצם עשיתי זה לשים את הכתובת עם רברס פרוקסי לתיקייה וירטואלית בתוך הדומיין הראשי.
זה גרם שלמשתמש זה היה פתוח אפילו שבעצם הדף ישב על שרת אחר במדינה אחרת.

WWW

@clickone
אני מבין,
אבל מה הכוונה 'רברס'?

מה זה שונה מפרוקסי רגיל?

clickone

@www
בפרוקסי רגיל אתה פונה לשרת ומבקש דף, והוא מחזיר לך אותו.
הוא משמש בד"כ כדי לעבור ולקבל את הנתונים שלך על כל אתר מול מקום אחד
רברס פרוקסי מיוד לשרת שעושה ניתוב / באלאנס על דומיין אחד או קצת יותר, אבל המטרה שלו היא לא לעזור לך המשתמש, אלא למנהל האתר / שרת.
זה על קצה המזלג.

אני מניח שחיפוש בגוגל
proxy vs reverse proxy
ייתן תשובות יותר מפורטות ומדוייקות

dovid

הרואטר מפנה פורט X, למחשב פנימי Y + פורט Z למשל 80.
כך שחוץ מממשק אפליקציית החשמל, המחשב לא באיום כלל. אין שום בעיה שכל העולם יכול לגשת לפורט 80 כל עוד האפליקציה שמאזינה שם היא מאובטחת ובלי חורים רשלניים.
אם האפליקציה לא מאובטחת יש לעשות את הפתרון של @clickone.

מנצפך

@clickone תוכל להסביר יותר מה לעשות?
אני בונה דף זיהוי (בNoodeJs), ומשם איך אני מנתב עם הרברס פרוקסי?

dovid

@מנצפך אמר בהגנה על כניסה לרשת מבחוץ:

@clickone תוכל להסביר יותר מה לעשות?
אני בונה דף זיהוי (בNoodeJs), ומשם איך אני מנתב עם הרברס פרוקסי?

אם זה בnodejs,
https://codeforgeek.com/2015/12/reverse-proxy-using-expressjs/
כמובן אתה צריך להוסיך דף אימות, ולעשות שרק משתמש מאומת מקבל את הריברס פרוקסי.

מנצפך

@dovid
עשיתי.
כשאני מנתב ל IP חיצוני (לא localhost) אני מקבל:

שגיאת שרת
404 - הקובץ או הספריה לא נמצאו.
ייתכן שהמשאב שאתה מחפש הוסר, שמו השתנה או שהוא אינו זמין באופן זמני.

בתוך המכונה (Localhost) זה עובד טוב.

dovid

תכתוב מה עשית בפרוטרוט.