Вход | Регистрация
 
Информационные технологии :: Администрирование

База 1С на белом IP. Насколько опасно?

База 1С на белом IP. Насколько опасно?
Я
   100kg
 
18.07.19 - 23:21
Есть масса удаленных рабочих мест, где настроить доступ к vpn невозможно.
Насколько работоспособен вариант с простой публикацией баз на внешнем IP?
Сейчас между сервером и внешнем миром стоит Микротик и в логах постоянный подбор логин-пароль с кучи левых айпишников.
И весь этот кошмар обрушится на веб-сервер с базами))
У кого-нибудь есть такая схема работы? С какими трудностями сталкиваетесь?
 
 
   palsergeich
 
1 - 18.07.19 - 23:24
сотни баз лежат с белыми ИП наружу и ничего.
Главное что бы не было пустых паролей
   palsergeich
 
2 - 18.07.19 - 23:25
а в той же 15 платформе есть https://wonderland.v8.1c.ru/blog/dvukhfaktornaya-autentifikatsiya/
   palsergeich
 
3 - 18.07.19 - 23:26
Опять же можно ИП фильтры настроить и ТД, это работа уже других людей
   palsergeich
 
4 - 18.07.19 - 23:26
Или ВПН
   100kg
 
5 - 18.07.19 - 23:28
(2) И в текущем релизе это уже есть?
   100kg
 
6 - 18.07.19 - 23:29
(4) Нет, ВПН в данном случае не вариант
   palsergeich
 
7 - 18.07.19 - 23:29
15 платформа уже в релизе
   pavig
 
8 - 18.07.19 - 23:39
(0)
Есть же 1с линк, ненужен белый IP
   Хакинтош
 
9 - 18.07.19 - 23:51
(0) >> и в логах постоянный подбор логин-пароль

От чего подбирают пароль? Не от 1С ведь.
   100kg
 
10 - 18.07.19 - 23:55
(9) Ломятся на Микротик
   Garykom
 
11 - 19.07.19 - 00:03
80 порт убери а еще лучше fail2ban настроить правильно
   Turku
 
12 - 19.07.19 - 01:22
Если опубликовать базу не на стандартном порту 80, а на каком-нибудь 57891. И пользователи 1С будут иметь пароли вида %Gd_4jqT, то вполне безопасно. ИМХО.
   seevkik
 
13 - 19.07.19 - 03:11
Для базы верно (12), но это смотря на то, что что вы считаете безопасностью. Вот зайдут на микротик, подключатся к локалке, но это уже не наша работа :)
   vcv
 
14 - 19.07.19 - 05:34
(12) Пароли типа %Gd_4jqT уже давно признаны плохими. Плохо запоминаются, раздражают пользователей, относительно легко подбираются. Лучше научить пользователей пользоваться паролями вида "МойДядяСамыхЧестныхГрабил". Вот только не помню, что на счёт максимальной эффективной длины пароля в 1С...
   timurhv
 
15 - 19.07.19 - 10:52
   LovelyJessie19
 
16 - 21.07.19 - 20:26
Та я думаю совсем не опасно.
https://taratoy.com.ua/ этот сайт делал ПРАКТИЧЕСКИ на чистом 1С.
Можете посмотреть,все отлично работает.
   NorthWind
 
17 - 21.07.19 - 20:55
(0) может, я чего не понимаю, но по идее вся вот эта мозговыносящая петрушка с УФ и прочим хламом ради этого и делалась. И после этого еще и думать, работает оно или нет?.. Оно _должно_ работать.
   NorthWind
 
18 - 21.07.19 - 20:55
я бы сказал - обязано.
   Feanor
 
19 - 21.07.19 - 22:11
Fresh от 1С работает без всяких ВПН вроде бы
   ice777
 
20 - 22.07.19 - 08:07
(0) интересно, а почему невозможно?
   ДенисЧ
 
21 - 22.07.19 - 08:42
(17) (18) Вопрос-то не в работоспособности, а в безопасности...
   kumena
 
22 - 22.07.19 - 09:09
Я как то по забывчивости оставил свой шлюзовой компьютер на виндоуз 7 с выключеным файерволом, примерно через месяц обнаружил. вообще ничего не случилось.
   kumena
 
23 - 22.07.19 - 09:11
А может и за там была, давно это было. А когда на нём убунту баловался, видно было что вирусняки каждую секунду ломятся и сканируют  порты.
   NorthWind
 
24 - 22.07.19 - 09:21
(21) я имею в виду, что при условии грамотной настройки сети, а именно открытии только требуемых для работы портов и грамотных паролей - сама 1С обязана сохранять работоспособность, не роняться и не взламываться действиями из сети. По крайней мере в условиях штатной нагрузки, когда ее не дудосят.
   Cyberhawk
 
25 - 22.07.19 - 09:32
(24) Ничего не должна 1С там думать за безопасность и ддос. Вон, МССкуль тоже можно выставить и в нем тоже нет никакой защиты от брутфорса - безконечно подбирай пароли.
   NorthWind
 
26 - 22.07.19 - 19:40
(25) мсскуль - это немного не то, потому что это для бэк-офиса. SQL сервера редко выставляют голой попой в общедоступную сеть. А вот в случае с 1С все несколько по-другому, потому что они с запуском 8.2, УФ и тонкого клиента начали позиционировать себя как система, которая работает в распределенной среде через интернет. Поэтому вопрос в (0) не праздный и на самом деле было бы интересно посмотреть статистику, насколько бесперебойно в разных случаях оно себя ведет.
   Sysanin_1ц
 
27 - 22.07.19 - 23:31
(17) А есть ли в 1с какой-то стандартный механизм блокировать пользователя после неудачных попыток залогиниться
   ДенисЧ
 
28 - 23.07.19 - 03:59
(24) Она это и делает. В меру своих возможностей.
   timurhv
 
29 - 23.07.19 - 05:06
(27) Зачем? Если можно выбрать из списка в первой десятке пользователей с пустым паролем или "123"?
https://wiki.lineris.ru/web_security
https://habr.com/ru/company/it-grad/blog/225503/
   Cyberhawk
 
30 - 23.07.19 - 08:26
(26) "позиционировать себя как система, которая работает в распределенной среде через интернет" // Так за веб-сервером же. Зачем 1С что-то там думать о безопасности?
 
 Рекламное место пустует
   kumena
 
31 - 23.07.19 - 08:28
> А есть ли в 1с какой-то стандартный механизм блокировать пользователя после неудачных попыток залогиниться

стандартных 1совских нет, они сами считают, что средства от брутфорса и прочее должно делаться средствами веб-сервера или какими-то прочими.
   NorthWind
 
32 - 23.07.19 - 08:30
(30) ну так, значит, (0) надо посоветовать эту связку. И написать, какой сервак лучше использовать и где прочитать про настройку.
   kumena
 
33 - 23.07.19 - 08:32
> Так за веб-сервером же. Зачем 1С что-то там думать о безопасности?

"за вебсервером" - это только на виндовой авторизации, а при 1с авторизации веб-сервер уже наверное ни при чем.
   kumena
 
34 - 23.07.19 - 08:36
Отдельная железка (циска) или шлюз на авторизацию, после авторизации пробрасывающая пользователя на вебсервер, работающий на https.
   Cyberhawk
 
35 - 23.07.19 - 09:31
(32) Рекомендация как правило только одна - не размещать веб-сервер на том же хосте, что и сервер приложений (или каталог файловой инфобазы, хотя из коробки с файловой такое разделение далеко не всегда работает). А уж дальше вотчина администратора веб-сервера - нгинксы там всякие, файрволы и все такое.
   Cyberhawk
 
36 - 23.07.19 - 09:32
(33) "при 1с авторизации веб-сервер уже наверное ни при чем" // При грамотной организации до 1С дело не дойдет в случае ддоса или брутфорса
   NorthWind
 
37 - 23.07.19 - 10:52
(34) это мало чем проще чем VPN...


Список тем форума
Рекламное место пустует  Рекламное место пустует
Здесь во втором сообщении вам дадут решение, а в двадцатом дадут правильное решение. Ymryn
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.