Как реализовать безопасный доступ к серверу Apache/Mysql?

Question

[Максим Е]

Имеем:

• Локальный сервер
• Компьютеры локальной сети
• Удаленные ноутбуки с мобильным интернетом (USB-модемы), можем настраивать их как угодно
• Веб-приложение (обрабатывается Apache на сервере)

Необходимо:

• Сохранить безопасность доступа к серверу
• Открыть доступ к серверу удаленным ноутбукам по мобильному интернету

Мои варианты:

1. Думал сделать ограничение к доступу по IP, но при доступе с мобильного интернета IP динамический
2. Использовать Dynamic DNS для ноутбуков или поднять свой сервер
3. Организовать прокси-сервер в локальной сети

Посоветуйте как лучше решить задачу по доступу и сделать это достаточно безопасно? Повторюсь: доступ нужен через браузер.

АП1: Необходим доступ без дополнительных программ. Чтобы пользователь ноутбука открыл браузер, ввел логин и пароль и смог пользоваться системой.

Answer 1

[Максим Е]

Задача была решена установкой сертификата ssl и basic autorization.

Answer 2

[Александр Борисович]

https
секретная страница - домен.ru/asdcf0000ляляля
phpmyadmin
basic autorization
мониторить логи доступа если боитесь брута.
Добавить играничение по ip диапазоном вашей подсети мобильной и офисной.

Comments

[Алексей Тутубалин]

Слишком много телодвижений, и ему как я понял надо именно просто безопасное управление данным на сервере, то есть способ защиты этих передаваемых данных.

[Максим Е]

Kennius: да, необходимо обезопасить, но "АП1: Необходим доступ без дополнительных программ. Чтобы пользователь ноутбука открыл браузер, ввел логин и пароль и смог пользоваться системой."

[Александр Борисович]

Kennius: где много?) Два раза пароль вводить. Через basic и свой родной и все.

Answer 3

[Алексей Тутубалин]

Первое что приходит в голову это VPN, он решит все ваши задачи.

Answer 4

[tushev]

Поставить на веб-приложение надежные логины и пароли пользователей и убедиться что без логина и пароля доступ ни к каким частям приложения невозможен. (Большинство приложений защищяются именно так)
Разрешить доступ для всего возможного диапазона выделяемых провайдером IP-адресов, для остальных адресов запретить. (Узнать диапазоны я думаю можно. А при необходимости будете его дополнять)
Использовать https. (Если опасаетесь "прослушки")

Другой вариант, запретить доступ к приложению из интернета. Доступ сделать только из локальной сети. А в локальную сеть извне пускать через VPN. Тогда безопасность ложиться на VPN.

Сделайте одноразовые пароли через SMS.

Подпишите ваших компьютеры ваших пользователей цифровым ключем.

Comments

[Максим Е]

Диапазон присваемых IP провайдером очень большой и используется несколько несколько операторов сот.связи, из-за этого не думаю, что если под этот фильтр будут подходить практически все пользователи мобильного интернета он будет не актуален.

[tushev]

Ну почему. Все равно отсечете китайских хакеров, взломанные сервера в датацентрах, школохакеров балующихся из дома и т.п. Хоть какая то дополнительная защита к паролю.