VPN pro webovou aplikaci

Hardware, web hosting, server hosting a housing, peering

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod zitajirka 18. 9. 2018 17:01

Dobrý den!

Vytváříme webovou aplikaci pro jednoho klienta psanou v PHP (Nette), která poběží na námi pronajatém serveru. Je určena pouze pro interní potřeby klientské firmy a neměla by být veřejně přístupná (údaje o výplatách, stavu skladu). Zároveň má ta firma několik poboček, tak musí být přístupná pro autorizované uživatele odkudkoliv.

Přemýšlím o vytvoření VPN, ke které by byly přihlášené zaměstnanecké počítače a celá aplikace by tak běžela v ní. Máme pronajatý dedikovaný server v jednom českém datacentru, takže se nabízí, aby tuto VPN zajišťoval tento náš server. Samozřejmě by vše šlo řešit systémem přihlášování a odhlašování, ale toto se mi zdá pro pro celý systém bezpečnějš a uživatelsky jednodušší (řadoví zaměstnanci budou z jednoho počítače bez nutnosti přihlášení zapisovat údaje z výroby).

Vůbec ale nevím, jak to celé nastavení VPN pojmout, vyřešit, nastavit.

Server, který máme pronajatý je linuxový server s Debianem (Wheezy/Sid). Na serveru máme více webů, každý má svůj DNS záznam. Ta aplikace běží zatím na jednom z těchto webů s normální doménou (priklad.cz).

Otázka: lze na takovém linuxovém serveru nainstalovat VPN (např. openVPN), ke které by se jako klienti přihlašovali jednotlivé počítače firmy a jen takto přihlášení by měli přístup k webové aplikaci na tomto serveru?

Nevím, jestli se ptám správně, takže předem děkuji za radu či nasměrování, jak to pojmout jinak.
zitajirka
Kolemjdoucí

Odeslat příspěvekod Doggg 18. 9. 2018 19:51

Jirko rada je jednoduchá - sver to odborníkovi. Vzhledem k tomu jak a že se vůbec ptas, to zavání pruserem a vzhledem k gdpr normě, by to mohlo by i likvidační pro tvou společnost.

Co se týče rady, moc nevidím přínos ve VPN (zvlášť v setupu někde běží vpn server a vedle něj běží další server s x hosty). Osobně bych šel cestou:
- onpremise řešení odstřiženeho od internetu (nevím jak je možné)
- pokud musí být v internetu tak dvoufaktorova autentizace (certifikát/otp + heslo) a důsledné logovani hromadných operací (výpisy / exporty/ změny)
- omezení přístupu na definovány rozsah IP adres
Doggg
Junior

Odeslat příspěvekod zitajirka 19. 9. 2018 11:05

Díky moc za rychlou odpověď. Samozřejmě mám v úmyslu svěřit to odborníkovi, ale nejdřív bych se rád zorientoval v problematice, abych mohl případné odborné návrhy posoudit.

Nemusí to být nutně VPN - rád si nechám poradit jinou možnost.

Onpremise řešení (ve smyslu, že by HW i SW byly u nich v centrále) by bylo ideální, ale je to nákladnější na vybavení a provoz. Toto je menší firma a ta aplikace není nijak složitá. A navíc by měla být aplikace někdy přístupná i z venku (pro obchodní cestující). Jednodušší se mi proto zdálo použít už existující server. Jen je potřeba zajistit zabezpečení. Bezpečné ověřování uživatelů udělat umíme, ale zdá se mi to zbytečně moc práce (a rizika stejně zůstávají). Je to pro malý počet jasně definovaných uživatelů, resp. počítačů. Některá data budou zapisovat v podstatě dělníci (počet hotových kusů) a chceme to pro ně co nejjednodušší - aby se tedy nemuseli nějak přihlašovat, nezapomínali se odhlašovat atd. Proto jsem si představoval, že by počítače byly natrvalo přihlášeny v nějaké privátní síti, čímž by byla zajištěno to, že se k aplikaci nedostane nikdo nepovolaný. Jinak omezení na povolené IP je dobrý nápad.

Ale princip onpremise (ve smyslu, že by to bylo odstřižené z venku) je to, co potřebujeme. Teď jak toho nejlépe dosáhnout?

Ještě jednou díky za všechny rady!!
zitajirka
Kolemjdoucí

Odeslat příspěvekod soban 19. 9. 2018 16:00

Firewall a povolím přístup pouze z lokálních IP případně pouze z toho určitého PC.

Aby to bylo jednoduché stačí nějaká čtečka na PC a nějaký token kde bude certifikát přes který se bude ten dělník hlásit, pokud máte něco takového i jako píchačky dá se to taky použít.

Pro externí zaměstnance buď VPN a nebo pokud mají ty PC stabilní IP povolím přístup pouze z těch IP + certifikát na přihlášení....
/----------------------------------------\
| Petr Šobáň |
| Olomouc |
\----------------------------------------/
soban
Pokročilý

Odeslat příspěvekod Doggg 19. 9. 2018 18:09

No takhle určitě to jde udělat :) co mě osobně vadí je mít na jednom stroji aplikace kde čekáš zcela veřejný trafic a pak provoz z VPN. Jedno špatně nastaven pravidlo, otočený acl a jsi v háji. Zvlášť když to má být systém kde jsou mzdy.

Nicméně:

- můžeš na úrovni hraničních prvků těch dvou organizaci udělat point to point VPN a zakázat přístup na daného hosta od jinud
- i tak bych toto řešil i v aplikaci (tedy stejné pravidlo i tam)

Nicméně je to IMHO prasarna:)
Doggg
Junior

Odeslat příspěvekod zitajirka 20. 9. 2018 15:48

Pánové, děkuji vám oběma za tipy, rady a nasměrování. Teď se mám alespoň od čeho odpíchnout.
zitajirka
Kolemjdoucí


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků