banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận mạng và thiết bị mạng Giải pháp cho phép Remote an toàn  XML
  [Question]   Giải pháp cho phép Remote an toàn 12/11/2010 14:27:13 (+0700) | #1 | 224762
[Avatar]
radiohead
Member

[Minus]    0    [Plus]
Joined: 07/01/2009 22:19:36
Messages: 12
Offline
[Profile] [PM]
Mình đang tham gia 1 dự án dựng hệ thống theo dõi traffic cho một ISP (có logging, sniff 1 số traffic nhất định). Hệ thống này độc lập và chỉ nối với hệ thống ISP qua các Tapping và hiện không hề có đường nào ra Internet. Dữ liệu thu thập được đều tập trung và xử lý tại local.
Hiện bên khách hàng đang yêu cầu cho phép Remote từ xa vào máy lưu trữ và xử lý logging, nhưng họ không muốn nối trực tiếp hệ thống monitor này sang mạng của ISP đó để ra Internet (chả hiểu sao lại phải kì quặc thế)
Giải pháp mình đang nghĩ đến là dùng USB 3G của một nhà mạng khác để tạo liên kết mạng, rồi dựng 1 VPN server...nhưng nảy sinh vấn đề là mạng 3G dùng IP động. Có một số phương án như dùng TeamViewer nhưng e dữ liệu ko có mã hoá thì dễ bị sniff.
Liệu có giải pháp nào khả thi cho trường hợp này ko?
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 12/11/2010 18:53:35 (+0700) | #2 | 224778
[Avatar]
huan_ng
Member

[Minus]    0    [Plus]
Joined: 04/03/2005 23:10:38
Messages: 259
Offline
[Profile] [PM] [Yahoo!]
IP động thì dùng no-IP hoặc dyndns để có tool mà auto update IP động này mà remote bằng free domain name.
Not much but not nothing
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 23/11/2010 15:35:10 (+0700) | #3 | 225429
docong1010
Member

[Minus]    0    [Plus]
Joined: 28/12/2004 14:11:13
Messages: 72
Offline
[Profile] [PM]
Bạn muốn an toàn không bị sniff .Giải pháp đầu tiên là mã hoá, sau đó mới nghĩ tới giài pháp mạng
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 25/11/2010 13:12:36 (+0700) | #4 | 225458
neverwon
Member

[Minus]    0    [Plus]
Joined: 08/08/2006 13:38:43
Messages: 89
Offline
[Profile] [PM]

radiohead wrote:
Mình đang tham gia 1 dự án dựng hệ thống theo dõi traffic cho một ISP (có logging, sniff 1 số traffic nhất định). Hệ thống này độc lập và chỉ nối với hệ thống ISP qua các Tapping và hiện không hề có đường nào ra Internet. Dữ liệu thu thập được đều tập trung và xử lý tại local.
Hiện bên khách hàng đang yêu cầu cho phép Remote từ xa vào máy lưu trữ và xử lý logging, nhưng họ không muốn nối trực tiếp hệ thống monitor này sang mạng của ISP đó để ra Internet (chả hiểu sao lại phải kì quặc thế)
Giải pháp mình đang nghĩ đến là dùng USB 3G của một nhà mạng khác để tạo liên kết mạng, rồi dựng 1 VPN server...nhưng nảy sinh vấn đề là mạng 3G dùng IP động. Có một số phương án như dùng TeamViewer nhưng e dữ liệu ko có mã hoá thì dễ bị sniff.
Liệu có giải pháp nào khả thi cho trường hợp này ko?
 


1. Máy lưu trữ có kết nối vào mạng LAN của khách hàng?
2. Trong mạng LAN của khách hàng có PC được phép kết nối internet?

Nếu câu trả lời của 1 và 2 đều là "có" thì có thể sử dụng giải pháp hai bước:

a. Tạo một VPN cho phép truy cập từ xa đến PC.
b. Từ PC đặt một kết nối tin cậy đến Server lưu trữ (Xác thực, mã hoá)

Giải pháp này đảm bảo rằng Server lưu trữ không có đường ra Internet, đồng thời, người quản trị có thể xử lý dữ liệu trên Server từ xa (thực chất là remote và PC, từ PC tiếp tục remote vào Server)
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 25/11/2010 22:53:26 (+0700) | #5 | 225505
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

neverwon wrote:

radiohead wrote:
Mình đang tham gia 1 dự án dựng hệ thống theo dõi traffic cho một ISP (có logging, sniff 1 số traffic nhất định). Hệ thống này độc lập và chỉ nối với hệ thống ISP qua các Tapping và hiện không hề có đường nào ra Internet. Dữ liệu thu thập được đều tập trung và xử lý tại local.
Hiện bên khách hàng đang yêu cầu cho phép Remote từ xa vào máy lưu trữ và xử lý logging, nhưng họ không muốn nối trực tiếp hệ thống monitor này sang mạng của ISP đó để ra Internet (chả hiểu sao lại phải kì quặc thế)
Giải pháp mình đang nghĩ đến là dùng USB 3G của một nhà mạng khác để tạo liên kết mạng, rồi dựng 1 VPN server...nhưng nảy sinh vấn đề là mạng 3G dùng IP động. Có một số phương án như dùng TeamViewer nhưng e dữ liệu ko có mã hoá thì dễ bị sniff.
Liệu có giải pháp nào khả thi cho trường hợp này ko?
 


1. Máy lưu trữ có kết nối vào mạng LAN của khách hàng?
2. Trong mạng LAN của khách hàng có PC được phép kết nối internet?

Nếu câu trả lời của 1 và 2 đều là "có" thì có thể sử dụng giải pháp hai bước:

a. Tạo một VPN cho phép truy cập từ xa đến PC.
b. Từ PC đặt một kết nối tin cậy đến Server lưu trữ (Xác thực, mã hoá)

Giải pháp này đảm bảo rằng Server lưu trữ không có đường ra Internet, đồng thời, người quản trị có thể xử lý dữ liệu trên Server từ xa (thực chất là remote và PC, từ PC tiếp tục remote vào Server) 


Ý kiến của tớ cách này thực chất cái PC mà bồ nói nó chỉ là 1 Proxy server giữa khách hàng và cái server, dữ liệu vẫn qua internet và ko đúng ý của KH của bạn kia

@radiohead: Nếu họ ko ở quá xa với cái server chừng 3-4 km tới dưới 10 km đổ lại thì bảo họ kéo cáp quang riêng đi, cái này liên hệ với bên cung cấp mạng, họ có dịch vụ đường cáp quang ( hoặc cáp đồng ) chỉ thực hiện nhiệm vụ truyền tải dữ liệu nội bộ, không qua internet smilie ( một dạng Intranet )

Dĩ nhiên giải pháp này là 1 cục tiền to smilie

Giải pháp qua mạng 3G còn kém an toàn hơn nối qua internet smilie , sóng mạng 3G hiện nay có thể bị chặn phá ầm ầm smilie ( muốn chặn thì cứ mua 1 cái dt mẹ bồng con theo chuẩn của Đông Âu mang về chạy là mạng quanh đó đứt rầm rầm smilie )
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 25/11/2010 23:36:57 (+0700) | #6 | 225511
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]

radiohead wrote:
Mình đang tham gia 1 dự án dựng hệ thống theo dõi traffic cho một ISP (có logging, sniff 1 số traffic nhất định). Hệ thống này độc lập và chỉ nối với hệ thống ISP qua các Tapping và hiện không hề có đường nào ra Internet. Dữ liệu thu thập được đều tập trung và xử lý tại local.
Hiện bên khách hàng đang yêu cầu cho phép Remote từ xa vào máy lưu trữ và xử lý logging, nhưng họ không muốn nối trực tiếp hệ thống monitor này sang mạng của ISP đó để ra Internet (chả hiểu sao lại phải kì quặc thế)
Giải pháp mình đang nghĩ đến là dùng USB 3G của một nhà mạng khác để tạo liên kết mạng, rồi dựng 1 VPN server...nhưng nảy sinh vấn đề là mạng 3G dùng IP động. Có một số phương án như dùng TeamViewer nhưng e dữ liệu ko có mã hoá thì dễ bị sniff.
Liệu có giải pháp nào khả thi cho trường hợp này ko?
 


Xin chào,

Nếu bên khách hàng họ yêu cầu không cho ra internet thì bạn có thể xây dựng VPN server hoặc đề nghị ISP đó cung cấp kênh truyền từ trung tâm đến remote thông qua đường E1, cáp quang, SHDSL, ADSL,... một dạng Point to Point(đảm bảo dữ liệu không bị sniff như 1 số ngân hàng họ đang thuê dịch vụ từ 1 ISP nào đó) nếu bên ISP đó họ không có điều kiện để cung cấp kênh truyền này thì có thể "nhờ" ISP khác có điều kiện để làm việc này.
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 26/11/2010 03:27:11 (+0700) | #7 | 225518
cloud_07
Member

[Minus]    0    [Plus]
Joined: 17/06/2009 23:41:38
Messages: 7
Offline
[Profile] [PM]
a. Tạo một VPN cho phép truy cập từ xa đến PC.
b. Từ PC đặt một kết nối tin cậy đến Server lưu trữ (Xác thực, mã hoá)
 

Theo ý kiến cá nhân của e thì: Bác dựng một con PC làm VPN server (có 3 card mạng) cho phép kết nối VPN từ xa (con này kết nối internet bình thường). Con PC này được kết nối với mạng gồm server lưu trữ và một con RADIUS sever. Các kết nối VPN sẽ được con server lưu trữ yêu cầu xác thực thông qua con RADIUS server trước khi cho phép truy cập. Giải pháp này đảm bảo là con server lưu trữ không ra ngoài mạng được vừa đảm bảo an toàn.
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 26/11/2010 07:07:33 (+0700) | #8 | 225523
[Avatar]
Ky0shir0
Member

[Minus]    0    [Plus]
Joined: 20/08/2008 19:06:44
Messages: 298
Offline
[Profile] [PM]

docong1010 wrote:
Bạn muốn an toàn không bị sniff .Giải pháp đầu tiên là mã hoá, sau đó mới nghĩ tới giài pháp mạng 

Sao không ai nói đến cái này nhỉ?
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 26/11/2010 07:40:02 (+0700) | #9 | 225525
van_security
Member

[Minus]    0    [Plus]
Joined: 08/10/2009 14:02:39
Messages: 159
Offline
[Profile] [PM]
Cho mình tham gia 1 cái,

Nếu dùng đường internet để NAT ra ngoài sử dụng X-Manager, VNC cho con Server là CENTOS thì có an toàn không? Có thể bị nguy cơ gì không?
Bệnh Khàn Tiếng: Tư Vấn về Chẩn đoán - điều trị Miễn Phí
http://trikhantieng.blogspot.com/
[Up] [Print Copy]
  [Question]   Giải pháp cho phép Remote an toàn 26/11/2010 09:12:40 (+0700) | #10 | 225537
[Avatar]
blueocean89
Member

[Minus]    0    [Plus]
Joined: 31/08/2007 12:06:33
Messages: 156
Location: r00f
Offline
[Profile] [PM]
Theo mình thì nên triển khai theo hướng mã hóa dữ liệu truyền sẽ ít tốn kém chi phí hơn + đỡ nhức đầu hơn. SSH về server (SSH là quá đủ) tuy nhiên nếu admin mê đồ họa quá thì có thể dùng NX NOMachine. để forward X qua SSH giao diện đẹp đẽ đàng hoàng như remote desktop vnc hay teamviewer.

Kéo cái đường riêng như vậy rồi khi có sự cố thì ai bảo trì?
trons pacrette tiolpsatem otkin ypacs
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|