Как сделать авторизацию в 1С безопасной?

Question

[sergpewpew]

Есть задача доступа к базе 1С извне офиса. Как сделать вход в базу безопасным и при этом нетрудоемким?
В 1С есть защита от перебора пароля но я ей не доверяю
Что сделал:
- Сделал доступ к базе через https;
- перед базой сделал nginx proxy с авторизацией от nginx и fail2ban настроил на авторизацию nginx (хоть какая то защита от ботов). Это позволяет в параметрах базы 1С прописать учетку от веб сервера и заходить в базу "как в офисе" без впн.
Является ли данное решение безопасной защитой? Есть ли решения более безопаснее/лучше?
Самое главное: какие есть решения чтобы дать доступ ограниченному кругу лиц в веб публикации? VPN не хотелось бы использовать так как слишком оверхед по моему для этой задачи.

Comments

[aleks-th]

Поломать можно все, а уж пароль у юзера узнать элементарно..
Тем более что сайчас куча прог типа официальных, следят за вводом и отправляеют его на сервера кого надо...

Я бы все таки сделал второй слой, или VPN с ключом, который бы сам ставил юзеру. (ни в коем случае ни на какие почты посылать ключи нельзя.)
Или поставил сервер и разрешил бы только в RDP сеансе 1С-ку запускать с вводом пароля естественно...

А вообще юзаю и то и то, мой юзер сначала коннектится к впн, потом идет в RDP потом открывает 1С - да на 5 секунд дольше, но уже тому кто ломает на пару дней больше работы нужно проделать...

Answer 1

[Everything_is_bad]

тут VPN не оверхед

Answer 2

[Василий Банников]

VPN буквально для таких ситуаций и существует

Answer 3

[AntHTML]

раз уж nginx наружу выставили, то я бы еще в добавок издал сертификаты и раздал их работникам через e-mail.
Установить серт на комп - дело пары кликов, но как первичная стена fail2bana прекрасная вещь "стукнулся без серта - на полчаса в дроп", а успешным уже можно и 5 попыток пароля давать