Безопасность. Шифрование при передачи по открытым каналам.
Добрый день,планируем к внедрению 1c,пока не определились будем использовать тонкий клиент или web доступ.К серверной части будет подключатся множество клиентов, доступ по открытым каналам (интернет), существуют ли встроенные механизмы шифрования информации, слышал что в связке с КриптоПРО csp, возможно шифрование информации передающейся от сервера к клиенту.
Ответы
Подписаться на ответы
Инфостарт бот
Сортировка:
Древо развёрнутое
Свернуть все
(1)
Вы можете опубликовать базу на Web-сервере, у которого включен SSL (при правильном подходе к сертификатам), и получать доступ через тонкий клиент или Web-клиент. Подслушать, о чем говорит клиент и сервер будет маловозможно, но это откроет злоумышленнику потенциальный доступ к базе из отовсюду, останется только подобрать название базы и пароль (особенно если это ваш бывший сотрудник, и он их знает/догадывается).
Если база будет доступна через RDP (удаленный рабочий стол Windows), то, при правильном подходе к сертификатам, у него свой механизм шифрования. Однако останется возможность подбирать логин и пароль пользователя.
Но эти протоколы еще как-то можно вывести в реальный интернет. А вот открывать порт сервера 1С (в смысле самой службы, а не железки) в реальный интернет точно не стоит, т.к., насколько мне известно, общепринятых механизмов защиты он не имеет.
Что бы вы не выбрали, в любом случае, канал общения с сервером через любой протокол лучше организовать под VPN. Хотя бы, чтобы не светить окружающим, какие именно порты у вас открыты, и никого не привлекать поточить об них когти в виде подборов паролей, DDOS-атак и т.п.
Потому как, прецеденты, когда хакер подбирал пароль пользователя Windows на RDP, который был открыт в реальный интернет, я лично видел, и валящийся хулиганами кластер серверов 1с тоже.
Если у вас VPN, то вы можете эффективнее регулировать индивидуальный доступ к сети (грубо говоря, подключать/отключать пользователей), и предоставлять им другое прикладное сетевое присутствие, кроме как в 1С. Например, внутренний XMPP (Jabber), общие папки и др.
Злоумышленнику потребуется сначала пробить VPN, и только потом приступить к взлому/подбору доступа к конкретным службам, включая 1С.
Вы можете опубликовать базу на Web-сервере, у которого включен SSL (при правильном подходе к сертификатам), и получать доступ через тонкий клиент или Web-клиент. Подслушать, о чем говорит клиент и сервер будет маловозможно, но это откроет злоумышленнику потенциальный доступ к базе из отовсюду, останется только подобрать название базы и пароль (особенно если это ваш бывший сотрудник, и он их знает/догадывается).
Если база будет доступна через RDP (удаленный рабочий стол Windows), то, при правильном подходе к сертификатам, у него свой механизм шифрования. Однако останется возможность подбирать логин и пароль пользователя.
Но эти протоколы еще как-то можно вывести в реальный интернет. А вот открывать порт сервера 1С (в смысле самой службы, а не железки) в реальный интернет точно не стоит, т.к., насколько мне известно, общепринятых механизмов защиты он не имеет.
Что бы вы не выбрали, в любом случае, канал общения с сервером через любой протокол лучше организовать под VPN. Хотя бы, чтобы не светить окружающим, какие именно порты у вас открыты, и никого не привлекать поточить об них когти в виде подборов паролей, DDOS-атак и т.п.
Потому как, прецеденты, когда хакер подбирал пароль пользователя Windows на RDP, который был открыт в реальный интернет, я лично видел, и валящийся хулиганами кластер серверов 1с тоже.
Если у вас VPN, то вы можете эффективнее регулировать индивидуальный доступ к сети (грубо говоря, подключать/отключать пользователей), и предоставлять им другое прикладное сетевое присутствие, кроме как в 1С. Например, внутренний XMPP (Jabber), общие папки и др.
Злоумышленнику потребуется сначала пробить VPN, и только потом приступить к взлому/подбору доступа к конкретным службам, включая 1С.
Спасибо большое за ответ!Дело только в том что пользователи которые будут подключатся к базам,находятся в разных организациях со своими корпоративными ресурсами. По сути мы организуем облако, не знаю пока как будет работать (настраиваться) VPN в других сетях, и будет ли он мешать работе других приложений, плюс наверное организация VPN будет более дорогой в реализации.
Для получения уведомлений об ответах подключите телеграм бот:
Инфостарт бот