8.х Тонкий клиент, web клиент и тд как защитить.

Тема в разделе "Установка платформы "1С:Предприятие 8"", создана пользователем TODD22, 3 май 2012.

  1. TopicStarter Overlay
    TODD22
    Offline

    TODD22 Профессионал в 1С Команда форума

    Регистрация:
    23 фев 2009
    Сообщения:
    4.757
    Симпатии:
    147
    Баллы:
    104
    Есть маленькая организация в которой установлена УНФ, нужно сделать доступ к БД через инет.
    Но я так понимаю что это не правильно если БД будет висеть в просто в инете... Или же нормально?
  2. alexburn
    Offline

    alexburn Модераторы Команда форума Модератор

    Регистрация:
    5 янв 2009
    Сообщения:
    14.760
    Симпатии:
    509
    Баллы:
    204
    В принципе нормально. Если потенциальный пользователь не знает багов web-клиента.
  3. TopicStarter Overlay
    TODD22
    Offline

    TODD22 Профессионал в 1С Команда форума

    Регистрация:
    23 фев 2009
    Сообщения:
    4.757
    Симпатии:
    147
    Баллы:
    104
    Да я не за пользователей боюсь.... Я могу и тонкий всем поставить, это не проблема, хотя web лучше был бы... с обновлениями меньше проблем.
    Меня волнуют всякие хакеры и прочие не хорошие люди, которые могут напакостить. Там инфы то особой нет, а ценной тем более. Так что бы не поломали. Насколько вообще это реально? Ломануть и получить доступ к БД. Будем учитывать что пароли будут сложные.
  4. alexburn
    Offline

    alexburn Модераторы Команда форума Модератор

    Регистрация:
    5 янв 2009
    Сообщения:
    14.760
    Симпатии:
    509
    Баллы:
    204
    Если вами заинтересуются так называемые хакеры - вы от них не скроетесь, поверьте, взлом на 85% состоит не в подборе пароля и т.п., а в социальной инженерии. Так что все зависит от ваших пользователей. К тому же существует много систем по контролю доступа.

    Если серьезной инфы не храните, тогда и переживать за "слом" не стоит. Восстановить бекап и все:)
  5. BabySG
    Offline

    BabySG Администраторы Команда форума Администратор

    Регистрация:
    10 июн 2007
    Сообщения:
    11.853
    Симпатии:
    12
    Баллы:
    29
    Пока случае взлома не было зафиксировано.
    Обратите внимание, что сервер 1С может и не иметь доступа в инет - он должен быть у веб-сервера, который дальше уже видит сервер 1С.
    Также можно использовать сертификаты (https-соединение)
  6. uza
    Offline

    uza 1С, VBA (EXCEL), VB (.NET + WEB)

    Регистрация:
    10 июл 2007
    Сообщения:
    1.845
    Симпатии:
    1
    Баллы:
    29
    *Неуловимый джо.

    Хацкерам ваш 1С врядли нужно, а вот заполучить компы вашей сети в свою ботнету - это да. Но публикация 1Ски им тут мало чем им поможет (ежли дыры есть, они УЖЕ есть).

    А так, вот вариант: публикуем 1Ску на веб, но на тот веб, что смотрит онли в локалку. Развертываем VPN (есть решения с клиентами и под мобильные девайсы).

    Вышел в инет, создал VPN канал (завипиэнился), залез на сервер 192.168.0.15 (локальный сервер с вебмордой 1Ски, ага) - воркай.
    Но путь не самый простой, да. Ну тут уж так. Либо миллионы в безопасность, либо закрывать дверь на ключ (ну ладно, два), и надеяться что ОМОН на бэтээре не приедет.

    Так сказать пытаться здраво оценить ценность информации и адекватность применяемых средств защиты оной.
  7. TopicStarter Overlay
    TODD22
    Offline

    TODD22 Профессионал в 1С Команда форума

    Регистрация:
    23 фев 2009
    Сообщения:
    4.757
    Симпатии:
    147
    Баллы:
    104
    Развернул web сервер локально всё работает. Получил IP от провайдера сделал проброс портов. По этому IP если с локального ПК захожу то нормально. Пробую с других ПК не подключается. То есть через другого провайдера.
    Что то ничего не понимаю... Что делать.... :(
  8. alexburn
    Offline

    alexburn Модераторы Команда форума Модератор

    Регистрация:
    5 янв 2009
    Сообщения:
    14.760
    Симпатии:
    509
    Баллы:
    204
    IP как я понимаю выделенный получили? Возможно таблица маршрутизации еще не обновилась :(
  9. TopicStarter Overlay
    TODD22
    Offline

    TODD22 Профессионал в 1С Команда форума

    Регистрация:
    23 фев 2009
    Сообщения:
    4.757
    Симпатии:
    147
    Баллы:
    104
    Да получил выделенный. С ПК которые в одной сети и подсоединены к одному провайдеру, заходит нормально. С ПК у которых другие провайдеры никак.
    Я так понимаю надо подождать? Пока эта таблица обновится?
  10. alexburn
    Offline

    alexburn Модераторы Команда форума Модератор

    Регистрация:
    5 янв 2009
    Сообщения:
    14.760
    Симпатии:
    509
    Баллы:
    204
    Да, необходимо подождать, пока обновятся таблицы.
  11. uza
    Offline

    uza 1С, VBA (EXCEL), VB (.NET + WEB)

    Регистрация:
    10 июл 2007
    Сообщения:
    1.845
    Симпатии:
    1
    Баллы:
    29
    Ну если по IP ходить - то чего ждать то? Вот как ежли по имени (www.moy_new_domen.HRU) - там бы понятно, таблицы DNSов (корневые раз то-ли в 4, то-ли вообще в 12 часов обновляются, остальные - как повезет, но как правило за сутки укладываются).

    А назовите первые 3 значения вашего ойпи (из ххх.yyy.zzz.ddd покажите ххх.yyy.zzz), а то и целиком IP (ежли не жалко).

    А порты пробросили где? В маршрутизаторе? Хм, а на самом компе настройки не меняли? А то некоторые антивири создают отдельные правила для инторнетов и для локалки. А брендмауэр виндовый работает?
    А маршрутизатор какой? А то некоторые [не к ночи будь помянут]NET / LINK / SYS имеют два правила (две таблицы): одно для "проброски" порта, второе для "открытия" порта. И эти таблицы сами не синхронизируются.
    А телнетнуться на порт извне дает?

    Вот тут гляньте ваш IP http://2ip.ru/
    Там же (но тут) http://2ip.ru/check-port проверьте порт
    А извне ваш IP вообще пингуется?
  12. shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Скрины с маршрутизатора покажите, со станицы где проброс портов настроен.
  13. TopicStarter Overlay
    TODD22
    Offline

    TODD22 Профессионал в 1С Команда форума

    Регистрация:
    23 фев 2009
    Сообщения:
    4.757
    Симпатии:
    147
    Баллы:
    104
    Из офиса уже уехал. Только в следующий раз как там буду. Но там настроек то не много, надо только указать порт и выбрать из выпадающего списка комп в локальной сети. Проброс работает. Ну и ещё там несколько настроек изменить надо.
    195.164... как то так... не помню, но первые три точно 195.


    В общем этот "белый" IPшник не пингуется с компьютеров у которых другие провайдеры. А вот с компов в сети спокойно.
  14. shurikvz
    Offline

    shurikvz Модераторы Команда форума Модератор

    Регистрация:
    1 окт 2009
    Сообщения:
    8.409
    Симпатии:
    316
    Баллы:
    104
    Он и не будет пинговаться, если на роутере включена опция "не отвечать на запросы из WAN".
  15. TopicStarter Overlay
    TODD22
    Offline

    TODD22 Профессионал в 1С Команда форума

    Регистрация:
    23 фев 2009
    Сообщения:
    4.757
    Симпатии:
    147
    Баллы:
    104
    Я проверю, завтра опять туда ехать. Я настраивал по инструкции и там не слово про такую настройку, ну и на глаза ничего такого не попадалось, назначение всех настроек было понятно.

    Но ведь получается что я в браузере ввожу "белый" IPшник и нормально работает, но компы в локальной сети.
  16. uza
    Offline

    uza 1С, VBA (EXCEL), VB (.NET + WEB)

    Регистрация:
    10 июл 2007
    Сообщения:
    1.845
    Симпатии:
    1
    Баллы:
    29
    в браузере вы вводите белый айпиник, только вот разумный маршрутизатор вас и не выгоняет "наружу", и вся маршрутизация идет "внутри". Т.е. он видит что вы хотите обратиться не к 195.ххх.ххх.ххх, а суть к 192.168.ххх.ххх - ну и фактически сразу вас на локальный адрес и кидает.
    А вот неумный бы маршрутизатор вам бы по "внешнему" IP из локалки войти мог бы и не дать. Вот. Да даже и умный (cisco pix, ага) - без специального правила вам бы тоже помахал.

    Воспользуйтесь службами проверки доступности портов (ссцылки выше).

    P.S.
    1) Разверните в офисе удаленное управление (RDP, VNC, LogMeIn, TeamViewer) - чего из за мелочей ездить то?
    2) В маршрутизаторе настройте возможность удаленного управления оным. Уровня "малый офис" и "домашний" как правило есть такая возможность.
    3) Прошивочку свежую на маршрутизатор ставили? Или так и работает "из коробки"?
    4) Инструкции иногда пишут криво, криво, и под первую прошивку, а в последующих прошивках добавляют новый функционал (и иногда гробят старый, ага)
  17. TopicStarter Overlay
    TODD22
    Offline

    TODD22 Профессионал в 1С Команда форума

    Регистрация:
    23 фев 2009
    Сообщения:
    4.757
    Симпатии:
    147
    Баллы:
    104
    Проверил IP адрес на сайте 2IP. Всё правильно сайт показывает мой белый адрес.
    Проверил порт... Порт закрыт. Но если он у меня с "локального" провайдера заходит... значит с портом всё нормально. В модеме нашёл ещё несколько настроек, одна из которых "ping из интернета". Всё равно не пингуется. Тех поддержка билайна посоветовала отключить файервол, то же не помогло.....
  18. TopicStarter Overlay
    TODD22
    Offline

    TODD22 Профессионал в 1С Команда форума

    Регистрация:
    23 фев 2009
    Сообщения:
    4.757
    Симпатии:
    147
    Баллы:
    104
    Всё заработало... Что произошло так и не понял :)
  19. uza
    Offline

    uza 1С, VBA (EXCEL), VB (.NET + WEB)

    Регистрация:
    10 июл 2007
    Сообщения:
    1.845
    Симпатии:
    1
    Баллы:
    29
    Пали модель маршрутизатора (интернеты он разруливает?) - а мы попробуем угадать что произошло.

Поделиться этой страницей