Появилась потребность в публикации 3-х баз 1с в сеть интернет (БГУ, зарплата бюджет, ДГУ все управляемые формы). Первые 2 базы важны в учете и пользователи работающие в базе через инет не будут иметь возможности проводить и ставить пометку на удаление. Только создавать, даже редактировать однажды записанные документ не будет возможности. 3 база - электронный документооборот. Значимость введенного документа там будет подтверждаться электронной подписью. Администраторам, а так же пользователям с полными правами так же будет запрещено запускать web клиент. Учетки "Администратор" и прочие привычные имеют абрукадабру даже в имени и в списке выбора пользователей они не видны. Опубликован только 80 порт из IIS, порты сервера 1С в инет не пробрасываются. Собственно остается всего одна возможная проблема - введение кучи новых документов. Есть ли возможность какая-нибудь дополнительно исключить и эту проблему. К примеру есть ли готовые скрипты анализа логов авторизации в 1С, чтобы при переборе пользователя автоматически отключало? Или скажем есть ли возможность в IIS (есть с Apache, но у меня с ним не срослось как-то) производить первичную авторизацию через сертификаты? Тем более они будут неотъемлемой частью работы в.
Я сразу подумал об OpenVPN, но... это и так не оплачиваемая нагрузка сверху, а еще и дополнительная возня с обслуживанием более пары сотен рабочих мест в не зоны моей ответственности...
Спрашиваю как админ. Наш 1С-ник в принципе успокаивает что нам с головой хватит и такой модели (он вообще собирался у всех оставить web-клиент, типа хватит и 6-ти значного пароля), но хочется все таки на всякий случай иметь еще хотя бы одну степень защиты на своей территории.
Есть попутный вопрос - компрометация IIS сервера как такового. Есть ли там подводные камни?
большое спасибо.
(4) Спасибо большое, но все они мне немного не подходят. Озадачиваться еще генерацией сертификатов не хотелось бы (повторюсь и так этот электронный документооборот "полезной" нагрузкой повис, лишних телодвижений не хотелось бы. А тут 100% будет, то контейнер потеряли, то не устанавливается, то еще какая беда). У меня уже есть сертификаты пользователей выданные другим УЦ. И там работа по направлению налажена + пользователи очень "ответственно" (хотя раз в месяц кто-то да натворит чудес, пару лет назад каждую неделю проблемный клиент был) относятся к ним. Но проблема в том что сертификат сервера мне ну ни как не сделают...
У знакомого если в работе ПО (не 1С вообще), там очень удобно подобное реализовано. Достаточно установить корневой сертификат на сервер (если его нет) + закинуть сертификат пользователя в каталог специальный (серверная часть самостоятельно устанавливает эти сертификаты в другие пользователи проверив роли (скажем достаточно только роли "Аутентификация клиента")), ну и соотнести пользователя с сертификатом (по идее мне бы это уже не требовалось). И все готово. Клиенту будет предоставлен доступ. Но все равно спасибо. Я искал именно связку 1с + iis, по сему и не находил подобное.
Я искал именно связку 1с + iis, по сему и не находил подобное.
IIS'у не важно, что показывать - 1с или какие-то веб-страницы.
Развертывание сертификатов требует ресурса, но сертификаты защищают.
Если у знакомого развернута служба сертификации, то он пользуется ею.
(8) Да это я прекрасно понимаю. Просто у него в данном случае удобство в том что он по факту может использовать сертификаты выданные любыми УЦ, главное чтобы УЦ был доверенным, срок действия соответствовал настройкам и в сертификате была требуемая роль.
Аналогичную задачу решил с помощью роутера Mikrotik (port knocking).
Перед подключением к роутеру извне, сначала правильно стучимся в определенный секретный порт. К примеру http://ip_router:5555 Роутер запоминает с какого внешнего IP правильно постучались и открывает для него доступ к нужному порту (80, 443 или иной) на определенное время.
Если злодеи сканируют порты снизу или сверху, то попадут на порт-ловушку 5554 или 5556. Таких запоминаем и в черный список.
Можно повысить безопасность, если использовать не один секретный порт и совокупность или определенную последовательность пакетов.