TwojePC.pl © 2001 - 2024
|
|
A R C H I W A L N A W I A D O M O Ś Ć |
|
|
|
SQL Server i otwieranie portów na świat. Bardzo głupie? ;-) , evil 8/05/19 18:36 Jest sobie komputer (Win 10 Home) z postawionym SQL Express 2017.
I potrzebny jest do tego zdalny dostęp.
Zrobiłem tak, że w sieci w której działa serwer nadałem mu stałe IP, w zaporze Windows zrobiłem wyjątki dla portów i aplikacji, w routerze ustawiłem stosowne przekierowania.
Dostęp zdalny działa, ale zastanawiam się, czy to przypadkiem nie jest jakieś bardzo głupie rozwiązanie. ;-)d: || nie kradnij - rząd nie lubi
konkurencji || :P - a jaka aplikacja korzysta z tego SQL? , Glock19 8/05/19 18:53
i czy nie lepiej router i vpn.- Subiekt GT. , evil 8/05/19 20:17
@ptoki jak sobie przetłumaczę czym jest jumphost i o co w ogóle chodzi z tym zdalnym pulpitem, to... pomyślę. Dzięki za trop! :-Dd: || nie kradnij - rząd nie lubi
konkurencji || :P
- No najlepsze to to nie jest. , ptoki 8/05/19 19:44
Jak nie mozesz inaczej to przynajmniej skombinuj sobie jumphosta i regulke rdp przypnij na ip tego jumphosta.
Ale lepiej zrobic sobie vpn.
Albo wogole mozesz zestawic rdp tak aby korzystalo z certyfikatow.
Nie montowalem tego ale mysle ze sie da. Czy dziurawe - nie wiem. Ale przynajmniej na gupszych hakerow zadziala.
- To bybył taki jumphost? , Tomasz 8/05/19 21:30
https://superuser.com/a/365752/244084https://www.siepomaga.pl/milosz-mosko - Z grubsza. Jumphost to zazwyczaj maszyna zaufana na ktora sie logujesz , ptoki 8/05/19 22:36
i z niej wbijasz sie do waznego zasobu. A na waznym zasobie regulka na firewallu ma zaszyty ip jumphosta.
Tak jest nieco bezpieczniej. Powoduje to pare innych komplikacji (np. ip jumphosta nie moze sie zmieniac, jak jumphost padnie to nie wbijesz sie do zasobu itp.).
Alternatywnie zamiast jumphosta z RDP mozesz miec jumphosta ktory forwarduje port.
Tyle ze to wiele nie zmienia. Port tego waznego zasobu czy wystawiony na zasobie czy na jumphoscie jest tym samym wiec wiele nie chroni. Robi tylko zaciemnienie i ktos kto robi rekonesans moze sie nie spodziewac portu rdp na hoscie z linuxem.
Ale to wiele nie poprawia.
Sednem jumphosta jest drugi zestaw hasel bo konto na nim powinno byc inne niz te do wbijania sie do waznego zasobu.
Wazny zasob = rdp do mssql w twoim przypadku.
- dlaczego piszesz o rdp? , carlosA 8/05/19 22:09
skoro autor wskazał na przekierowanie portów do mssql-a?#whatever - Bo sie autor rozpisal co ma ale wspomnial ze zalezy mu na zdalnym dostepie. , ptoki 8/05/19 22:38
Ale praktyka jest podobna. Limituje sie dostep.
Jesli ktos potrzebuje dostep do mssql z internetu to znaczy ze mocno zle poplanowal ale jakby sie uprzec to mozna zestawic polaczenie do bazy na certyfikatach.
Nie wiem jak dziurawe to jest w przypadku mssql wiec to moze byc zly pomysl ale moze nie jest az tak zle...
- tak mnie jedynie zainteresowało.. , carlosA 8/05/19 22:50
oczywiście wystawianie rdp bezpośrednio na zewnątrz skończy się prędzej, czy później takimi wesołymi plikami z linkiem kończącym się .onion :) MSSQL nie wystawiałem, zresztą to skrajnie nieefektywne rozwiązanie, można się pobawić w celach testowych, na produkcji w połączeniu z erp-em skończy się timeoutami.#whatever - bez przesady, a ogólnie to wielki bałągan , ReMoS 10/05/19 18:36
co innego RDP i tutaj można i VPN, i blokady konta zrobić, i inny port
a co innego wystawienie bezpośrednio bazy SQL.
COMARCH Online działa na RDP i bezpośrednio logowanie do domeny 2012 R2, tak więc...Nie ufaj każdemu, kto zawsze mówi
uwierz mi.
- OpenVPN , El Vis 9/05/19 10:01
Darmowy. Wada - tylko dwóch użytkowników na raz. Ale z pomocą darmowego VMware esxi szybko można postawić kilka instancji.I don't suffer from insanity.
I actually quite enjoy it. - Lub SoftEther , El Vis 9/05/19 10:04
https://www.softether.org/
Całkowicie darmowy. Nie próbowałem jeszcze ale wygląda obiecująco.I don't suffer from insanity.
I actually quite enjoy it. - dwóch userów na raz? , Master/Pentium 9/05/19 10:46
???. Jest jeszcze wersja OpenSource.
https://openvpn.net/community-downloads/Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-)
- Powodzenia. , pwil2 9/05/19 11:57
Wystarczy jakaś luka, brak aktualizacji i ktoś się wbije, a Internet jest nonstop przeczesywany narzędziami pod kątem otwartych (popularnych i tych mniej) portów.7800X3D/64G ECC/6800 7840HS/96G
5600H/64G/3060 5650G/128G ECC
1350P/64G 13700 SSD_30T A7m3 - c.d. , pwil2 9/05/19 11:59
Konieczny przynajmniej dobry VPN z aktualnym oprogramowaniem/wsparciem, na wypadek, gdyby się okazało, że np. 29xA (AAAAAA..A) zamiast hasła wpuszcza każdego ;-)7800X3D/64G ECC/6800 7840HS/96G
5600H/64G/3060 5650G/128G ECC
1350P/64G 13700 SSD_30T A7m3
- Może do tego dołożyć jakiś server knock , kicior 9/05/19 12:01
otwierający i zamykający port na żądanie. Najlepiej jednak VPN. - ok, okiem praktyka , Master/Pentium 9/05/19 13:08
1. Ilu użytkowników?
2. Ile lokalizacji zdalnych?
Puszczenie portu luzem jest niebezpieczne. Może nieotyle że ci się włamią co zablokują usługę/konto (DOS).
Na pojedynczego/kilku użytkowników wystarczy tunel SSH. SSH na bardziej fikuśne hasła lub na klucz prywatny - wedle uznania.
Serwer SSH dla Windows
https://www.mls-software.com/opensshd.html
Klientem może Puttty, Kitty, OpenSSH lub coś innego. Ja używam skryptów z OpenSSH.
Wielu userów.
Zestawiamy VPN, OpenVPN spełnia wszystkie moje wymagania.
Uwaga - w niektórych wypadkach SSH jest wolniejsze od OpenVPN, nie dowiesz się jak nie spróbujesz (lub znajdziesz kogoś kto próbował).
Wydajność.
SQL@WAN zwykle nie grzeszy wydajnością, jeśli wydajność jest problemem to pozostaje serwer terminali.
1. Jeden user - komputer z Windows 7/8/10 Pro
2. Wielu userów
a) RDPWrap + komp. z pkt 1 - legalność tego jest jakby to powiedzieć "dyskusyjna:
b) Windows Server + CAL+ RDCAL - full legal ale tanio nie będzie.
Nie ma tego złego , co by się w gorsze
obrócić nie mogło - jak nie wierzysz
włącz komputer :-) - nie znalem mls , Tummi 9/05/19 14:45
ale polece: https://github.com/...Shell/Win32-OpenSSH/releases
T.www.skocz.pl/uptime :D
|
|
|
|
|
All rights reserved ® Copyright and Design 2001-2024, TwojePC.PL |
|
|
|
|