Witam,

Mam na wewnętrznym serwerze IIS stronę, którą polecono mi wystawić do
testowania dla kilku ludzi z zewnątrz.

Serwer widoczny na zewnątrz to apache.

Ponieważ wewnętrzny IIS jest wersją całkowicie testową nie ma tam
żadnych zabezpieczeń i wystawienie tej strony jak jest (np. przez
przekierowanie portów) nie wchodzi w rachubę.

Jak można by to zrobić w sposób bezpieczny?
Może da się zrobić coś analogicznego do iframe tylko po stronie serwera
apache? Wtedy zrobił bym na apachu autoryzację i było by bezpieczniej.

Ostatecznym rozwiązaniem jest tunelowanie po ssh, ale nie chciał bym
dawać tym osobom, aż takiego dostępu do naszego systemu.

--
Pozdrawiam,
Andrzej

do góry

On Friday 26 February 2010 11:32, Andrzej W. wrote:
> Ponieważ wewnętrzny IIS jest wersją całkowicie testową nie ma tam
> żadnych zabezpieczeń i wystawienie tej strony jak jest (np. przez
> przekierowanie portów) nie wchodzi w rachubę.
>
> Jak można by to zrobić w sposób bezpieczny?

Przekierowanie portów + firewall, zezwalający klientów tylko z adresów
osób, które mają się łączyć.

Ew. wstawić przed serwer IPSa.

Pozdrawiam,
Mateusz Viste

do góry

** Andrzej W. <a...@w...pl> wrote:

Co to ma wspólnego z WWW? Prędzej z sieciami. *FUT warning*.

> Mam na wewnętrznym serwerze IIS stronę, którą polecono mi wystawić do
> testowania dla kilku ludzi z zewnątrz.

> Serwer widoczny na zewnątrz to apache.

> Ponieważ wewnętrzny IIS jest wersją całkowicie testową nie ma tam żadnych
> zabezpieczeń i wystawienie tej strony jak jest (np. przez przekierowanie
> portów) nie wchodzi w rachubę.

A jak ten serwer wystawisz przez powiedzmy proxy to co? Stanie się odporny na
podatności w aplikacji czy konfiguracji? W tym przypadku czy przkierujesz port
czy wystawisz via proxy to jeden huk. Jak ktoś go skompromituje to wejdzie
prosto do Twojej sieci wewnętrznej.

Dlatego IMHO masz dwie możliwości:

1. Postawić w DMZ replikę tego serwera i trochę ją hardenować (i tak będziesz
to musiał zrobić jeżeli to docelowo ma być w internecie).

2. Wpuścić te osoby via VPN do sieci wewnętrznej z np. ograniczeniem do IP
serwera testowego.

> Może da się zrobić coś analogicznego do iframe tylko po stronie serwera
> apache? Wtedy zrobił bym na apachu autoryzację i było by bezpieczniej.

Bez urazy ale w zasadzie generalnie skoro zadajesz takie pytania to nie sądzę
aby z tym poziomem wiedzy byłbyś to w stanie stosunkowo bezpiecznie zrobić...
Iframe?

--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK

do góry

** Mateusz Viste <m...@n...please> wrote:

> Ew. wstawić przed serwer IPSa.

A co poradzi IPS na błędy w aplikacji? Jakiś magiczny jest?

--
+ ' .-. .
, * ) )
http://kosmosik.net/ . . '-' . kK

do góry

W dniu 2010-02-26 18:57, Konrad Kosmowski pisze:
> ** Andrzej W.<a...@w...pl> wrote:
>> Może da się zrobić coś analogicznego do iframe tylko po stronie serwera
>> apache? Wtedy zrobił bym na apachu autoryzację i było by bezpieczniej.
>
> Bez urazy ale w zasadzie generalnie skoro zadajesz takie pytania to nie sądzę
> aby z tym poziomem wiedzy byłbyś to w stanie stosunkowo bezpiecznie zrobić...
> Iframe?
>

Skoro nie rozumiesz tak prostej analogii to może aż tak nie powinieneś
zadzierać nosa?

--
Pozdrawiam,
Andrzej

do góry

On Friday 26 February 2010 18:58, Konrad Kosmowski wrote:
> A co poradzi IPS na błędy w aplikacji? Jakiś magiczny jest?

Na tyle magiczny, że ewentualne ataki webowe wykryje i zatrzyma, zanim
dojdą do serwera.

Pozdrawiam,
Mateusz Viste

do góry