Вопросы Теги

установка strongSwan ipsec, несколько вопросов

Связанный сервер не является наилучшим вариантом.

  • это открывает SQL Server для удаленного выполнения T-SQL, очень серьезной дыры в системе безопасности
  • это требует основанной на пароле SQL аутентификации из-за различных включенных доменов
  • это не предлагает дублирования, когда сталкивающийся с пятнистой возможностью соединения
  • TDS как протокол не разработан для скорости

Намного лучшая альтернатива должна использовать Сервисного Брокера:

  • SSB воздействует на выделенный порт, который не позволяет произвольные команды T-SQL, как связанный сервер
  • SSB поддерживает основанную на сертификате аутентификацию через отличные домены
  • Фрагментация сообщения и справедливость доставки гарантируют бесперебойную работу по плохим/медленным соединениям
  • SSB использует протокол с высокой пропускной способностью, разработанный для скорости, sam eprotocol используемый в зеркальном отражении базы данных.

Если Вы настаиваете на связанном сервере затем, Вы должны:

  • позвольте SQL Server послушать в общедоступном обращенном Интернете
  • включите иону TCP сервер и откройте SQL listenening порт (TCP по умолчанию 1433) на брандмауэре. Если сервер слушает на портах не по умолчанию, Вы должны запустить порт услуг Браузера SQL и UDP открытого порта 1434 на брандмауэре, и позволить sqlservr.exe открывать произвольные порты на брандмауэре.
  • необходимо позволить аутентификации SQL допускать основанный на SQL пароль.
  • Для защиты трафика, необходимо удостовериться, что SSL используется, видят, Как включить шифрование SSL для экземпляра SQL Server при помощи Microsoft Management Console и Как Включить Шифрование Канала.
  • Проверьте, перепроверьте и двойная перепроверка, что [sa] вход в систему имеет пуленепробиваемый пароль, который известен только людьми, что у Вас есть абсолютное 100%-е доверие. Ваш порт TDS, открытый Интернету, подвергнется постоянному заграждению атак перебором [sa] от миллиона автоматизированных ботов.

2
задан 28 July 2013 в 20:31
1 ответ
  1. Установка pre-shared-keys все еще подразумевает использование протокола IKE для ключевого согласования. И да предварительно совместно использовал ключи, считаются безопасными, в то время как они не скомпрометированы. То же относится к сертификатам - схема PKI безопасна, в то время как закрытые ключи не поставлены под угрозу.
  2. Единственное простое правило состоит в том, что leftsubnet и rightsubnet не должны накладываться (например, нет никакого дюйм/с, которые принадлежат обеим подсетям). Смотрите на демонстрационную схему ниже или Google для образца ipsec.conf файл на strongswan веб-сайте.
  3. Вам будут нужны по крайней мере 2 Виртуальных машины, которые будут работать как "Шлюзы IPsec". Если Вы захотите более экзотические функции (например, обход NAT), то Вам также будет нужна виртуальная машина (машины), которая сделает NATTing (маршрутизатор).

Вот схема, которая объясняет, что является leftsubnet и что является rightsubnet:

Left_computer (192.168.0.2/24) <---> (192.168.0.1/24) Left_ipsec_gateway(Some_left_public_ip) <---> ИНТЕРНЕТ <---> (Some_right_public_ip)Right_ipsec_gateway (192.168.1.1/24) <---> (192.168.1.2/24) Right_computer

Оставленная подсеть здесь является 192.168.0.0/24, и правильная подсеть является 192.168.1.0/24.

Для Left_computer (192.168.0.2/24) Вы должен указать Left_ipsec_gateway (192.168.0.1/24) как шлюз для Right_subnet (192.168.1.0/24). Обычно маршрут по умолчанию уже делает это автоматически для Вас. Необходимо сделать то же самое для правильной подсети также. Также это - причина, почему я называю компьютер, который выполняет StrongSwan как "Шлюз IPsec".

Надеюсь, это поможет. Strongswan имеет Wiki со Схемами, Вы могли бы хотеть посмотреть на.

3
ответ дан 3 December 2019 в 11:05

Теги

Похожие вопросы