Задать вопрос
comradeRecky
@comradeRecky
и швец, и жнец, и на дуде игрец

Как безопасно раздать пользователям веб-ресурс из частной сети?

Контрагент предоставил доступ к VPN, внутри подсеть с необходимым вебсайтом и подсеть для других организаций (типа меня). 6426a73b9e919173075965.png
Возникло несколько вопросов:
1. Как раздать доступ к этому вебресурсу своим пользователям без установки "лишней мишуры" (типа VPN-клиента), чтобы от пользователя требовалось только перейти по ссылке в браузере.
2. Как обезопасить подсеть организации от этого возможного вектора атак?

На данный момент реализовал костыльное решение: VM линух, внутри эта впн и прокси-сервер, через который подключаются мои пользователи для доступа к этому вебресурсу. Есть ли решение элегантнее и проще?
  • Вопрос задан
  • 221 просмотр
Подписаться 2 Средний 1 комментарий
Решения вопроса 1
@Vitsliputsli
1. Как раздать доступ к этому вебресурсу своим пользователям без установки "лишней мишуры" (типа VPN-клиента), чтобы от пользователя требовалось только перейти по ссылке в браузере.
2. Как обезопасить подсеть организации от этого возможного вектора атак?

Чтобы для пользователей подключение было прозрачно, чтобы не давать им креды от VPN, чтобы они не творили, что вздумается в этом VPN, а пользовтели с другой стороны в вашей сети, в любом случае нужен шлюз, который будет контролировать подключение. На нем:
Запретите все входящие пакеты из подсети VPN по всем протоколам, кроме tcp (но не установление соединения), по icmp пусть отвечает только шлюз.
Запретите все исходящие пакеты в эту сеть, кроме icmp и нужного ip по протоколу tcp на нужный порт (или даже протоколу http/https, если есть такая возможность).

Есть ли решение элегантнее и проще?

Проще, шлюз без форвардинга, на нем nginx как proxy. При желании и его можно закрыть от сети VPN.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
@Drno
через ВПН, собственно как и сделал контрагент

ну еще можно юзверям RDP дать, до сервака который подключается к этому сайту
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы