[ osmania @ 12.02.2018. 19:21 ] @
Zdravo Ekipa,

ne razumijem se bas u mreze ali bi mi trebalo savjet za realizaciju sljedeceg problema.

Vidite grafik koji sam uplodovao.

na lijevoj strani se nalazi jedan system DB i WS REST ili Soap, taj web service treba da komunicira sa drugim web services koji se nalazi na desnoj strani. Na desnoj strani se nalazi vise web service i svaki od njih imas svoj poseban host port i sve ostalo sta treba.

sto se tice konekcije ne mora da bude non stop otvorena nego da se otvori samo prilikom transporta.


PItanje glasi kako da najbolje osiguram i kojom tehnologiom prenos podataka preko interneta. Jer tu bi se podatci slali koji su poprilicno osjetljivi. Tadje stavio bi jednu web aplikaciju koju bi mogao da user pozove preko svoj web browsera i da gleda takodje povjerljive podatke u browseru.

Da User gleda i skida podatke sa web aplikacije mislim da bi bilo najbolje mada me ispravite ako grijesim:

Da domena ima SSL certifikat,
Log In da ide Username/Password + TFA (DUO ili Google Auth ali to kosta), ili da se ubaci cim user ukuca username password da mu Web Aplikacija na email automacki posalje jedan kod koji se generise i da user ubaci u u polje poslije log in.

sta vi predlazete?

Da li bi bilo pametno ovu web aplikaciju uraditi u PHP ili da se ide na javu? Sta je sigurnije i robusnije

hvala puno na odgovorima


[ Predrag Supurovic @ 12.02.2018. 20:40 ] @
Ako imaš SSL onda ti ostalo manje više nije bitno jer to obezbeđuje enkripciju.

[ osmania @ 12.02.2018. 21:49 ] @
mozes li mi malo u detalje objasniti sta to znaci i kako to funkcionise

moze li se to ovako reci: test.webpage.com komunicira prod.webpage2.eu
stim da obe webpage imaju ssl certifikat?

[ Predrag Supurovic @ 13.02.2018. 11:15 ] @
Kada pristupiš nekom sajtu preko SSL, konekcija je enkriptovana i ne može se videti sadržaj paketa. Paket se dekriptuje tek kada stigne na odredište.

SSL treba da ima samo ona strana kojoj se pristupa. Doduše sada su uveli pod moranje da svaki sajt radi sa SSL.

Druga varijante je da napraviš VPN između dva servera i da oni komunicirijaku kroz VPN. VPN takođe može da bude enkriptovan. Predlost je što kroz VPN možeš da pustiš bilo koji mrežni protokol a ne samo HTTP.


[ dejanet @ 13.02.2018. 12:52 ] @
SSL enkriptuje saobracaj, ali ti verovatno treba i autorizacija prilikom poziva web servis api-ija. Najjednostavnije su "basic" i "token" autorizacija.
Implementacija zavisi od toga kakva je arhitektura buduceg sistema, kako ste resili user/role management i jos gomile drugih detalja iz business i tehnickih zahteva.
[ osmania @ 14.02.2018. 08:03 ] @
Ne znam ili nisma dobro grafik stavio ili ne kontam nema grafika ali pokusam ponovo da upload grafik pa cete da vidite kako sam ja to zamislio.
[ osmania @ 14.02.2018. 08:17 ] @
Citat:
Predrag Supurovic:
Kada pristupiš nekom sajtu preko SSL, konekcija je enkriptovana i ne može se videti sadržaj paketa. Paket se dekriptuje tek kada stigne na odredište.

SSL treba da ima samo ona strana kojoj se pristupa. Doduše sada su uveli pod moranje da svaki sajt radi sa SSL.

Druga varijante je da napraviš VPN između dva servera i da oni komunicirijaku kroz VPN. VPN takođe može da bude enkriptovan. Predlost je što kroz VPN možeš da pustiš bilo koji mrežni protokol a ne samo HTTP.




O ovoj drugoj varijanti sam i razmisljao

- jel to sa vpn skupo rijesenje?
- ja imam u firmi vpn i cim si u vpn odmah je konekcija spora
- drugo ako imas dva ili vise klienata koji trebaju da se spoje kako to rijesiti? da li ja njima dajem svoj vpn i da se oni kace? tako reci 3 klienta su svi u jednom vpn
-sta ako klient kaze ok samo moj vpn moze sto znaci ja moram da imam tako reci 3 systema svaki sistem ima clientov vpn (mislim na operativni sistem)

Ja sam cak ovako zamislio: (ali mislim da je malo komplikovano)

Da uradim web service koji salje i koji prim poruke.
Taj koji salje poruke je kod mene a koji prima poruke je kod klienta.
komunikacija je https + username + password + API TOKEN
Cak sam jos mislio da web service koji salje poruku uradi encryption dodatno posalje poruke web service koji prima poruke uradi dencryption.
I jos obe strane da imaju firewall, posto dolaze poruke samo sa odredjene IP Adrese i porta. Tako da konekcija nece uvjek biti otvorena nego otvara se samo u slucaju ako dolazi sa odredjene ip adrese:port neki request ili response.

to je za razmjenu podataka, a sto se tice web aplikacija stavim webpage sa ssl + username password i ili jos TFA.

sta vi mislite?
[ Qazio @ 14.02.2018. 08:37 ] @
Sto se tice VPN-a tu imas dve osnovne postavke, SSL VPN i client VPN.
Razlika je sto u ako koristis client VPN pre upotrebe moras na klijentskom racunaru instalirati klijentski softver i podesiti ga da pristupi VPN koncetratoru (username, pass, dest IP, ime tunela, ili certificat ako ga koristis za auth), dok kod SSL VPN-a ti ne treba taj klijentski deo vec kroz browser gadjas koncetrator i unosis username i pass.
Takodje kod SSL VPN-a mozes ici varijantom da ti nakon logovanja koncetrator push-uje virtualni adapter na klijentski komp i tada imas odobrene resurse glavne mreze kroz taj adapter, ne samo portove. Ako ne push-ujes adapter, mozes pristupiti samo odredjenim aplikacijama koji si dozovolio na koncetratoru.
U svakom slucaju, ako koristis VPN, mogu se konektovati samo korisnici koji su u okviru tvog LDAP-a ili si eksplicitno ih naveo na koncetratoru, dakle ne moze bilo ko.
Kod SSL pristupa bez VPN-a kriptuje se konekcija, ali ne postoji koncetrator, i samim tim nema auth, ako je vec nisi postavio kroz svoj softver kojem korisnici pristupaju.
Koliko je VPN skup, zavisi od toga koji uredjaj koristis kao koncetrator, to moze biti od jako jeftinog, do jako skupog, sta ces postaviti, zavisi od broja korisnika koji pristupaju i kolicine podataka koja se gura kroz VPN tunel.
Brzina VPN-a ne bi trebalo da bude mala, ne znam zasto ti se to desava na postojecem koncetratoru koji trenutno imas da je brzina osetno manja, ali u svakom slucaju, ako meris ping sa i bez VPN-a logicno da ce ping biti uvecan sa VPN-om u odnosu na ping bez istog.
[ Qazio @ 14.02.2018. 08:44 ] @
P.S. Koncetrator je uobicajeno firewall koji koristis u firmi, na ovim prostorima za to je uobicajena Cisco ASA, ali kazem samo uobicajena, ne mora da bude.
[ osmania @ 14.02.2018. 08:50 ] @
znam da postoji vpn ali ne ssl vpn.

imam sad 3 mogucnosti

SSL
VPN Normalni
SSL VPN

Sto se tice broja korisnika bio bi samo jedan korisnik tj da se uspostavi most kojim bi isli podatci
sto se tice podataka bilo bi poprilicno puno (odprilike po danu nekih 2 do 5 GB po klientuda li je to puno ne znam sa VPN ili SSL VPN ne znam)

Za VPN ormalni treba mi certifikati treba mi open vpn i treba to da radi . Isto jako je bitno da prilikom transporta ne smije da pukne konekcija. mislim mogla bi puci ali najbolje bi bilo da ne pukne.

Kazes SSL VPN prkeo browsera gadjas da li je moguce to da se i u web service ustima?

Od ove tri varijante koje bi vi odabrali za siguran transport podataka?

[ Qazio @ 14.02.2018. 08:59 ] @
Nisam bas najsigurniji da sam te dobro razumeo, ali cini mi se da ti zapravo hoces da uspostavis vezu izmeju dva sajta na kojim ima vise korisnika.
Ako je tako, onda ti je idealno da napravis site to site VPN i u tom slucaju, od korisnika se ne trazi nikakva intervencija, a dobijas taj virtual private network (VPN) izmedju dva sajta preko javne mreze.

Sve te varijante su sigurne same po sebi, ali znaci odlucujes se koju ces na osnovu onog sta zelis postici.
Mozda ti je klasican HTTPS i najnesigurniji, jer postoji nesto sto se zove man in the midle, to zapravo rade danasnji next generation firewall-i, tako da admin moze videti sav https saobracaj.

[ Qazio @ 14.02.2018. 09:01 ] @
Zaboravih.... Neprekindost VPN-a ne zavisi toliko od uredjaja, koliko zavisi od kvaliteta internet konekcije, tako da ako ti je to jako bitno, onda mozda bolje da razmislis o L3VPN-u koji ces platiti provajderu, a isti ce ti garantovati neprekidnost i kvalitet
[ osmania @ 14.02.2018. 09:12 ] @
Ne izmedju dva site sa vise korisnika,

nego izmedju dva sistema hajmo reci ja cu imati windows 2012 Server sa DB a client ima linux ili ja isto linux mozda i docker ne znam bas sta bi uzeo.
Na tom dockeru ili Windowsu bi vrtio jedan web service koji bi kupio podatke iz db i slao da drugi web service koji bi primoa podatke i stavljao u DB ili neku aplikaciju to sta ce klient da radi sa podatcima me ne zanima nego moj dio je da ja klientu dostavim sigurno podatke.

Mislim Admin ima pristup ali to e moj admin i to je clintov admin, sto znaci mislim apsolutno ne moze se zastiti. ili?
[ Qazio @ 14.02.2018. 10:27 ] @
Ahaa..
Pa dobro svodi se na isto, kad kazem dva sajta, onda je nebitno koliko ima korisnika na kojem i koji saobracaj guras kroz isti.
Dakle ubedljivo najbolje resenje ti je site to site VPN pri cemu neces razmisljati o interakciji korisnika prilikom pristupa tvom serveru.
To mozes izvesti VEROVATNO sa postojecom opremom na obe strane, znaci mozes takav vpn napraviti sa postojecim ruterima ili firewall koje vec koristite. Nadam se da imate nesto profesionalnije na obe strane, a da nije TP-Link ili tako nesto.
Ako ne postoji takva oprema, onda racunaj sa izdatkom kupovine rutera koji ce povezati te dve lokacije.
I opet napominjem, kvalitet tunnela i brzina prenosa zavisi od kvaliteta neta i opterecenosti istog od strane korisnika, tj da li rade neki download ili upload.
Naravno da tu moze da se primeni neki QoS koji ce polisingom da odvoji odredjeni deo kapaciteta neta samo za to, ali ni to nece pomoci ako je konekcija kao konekcija losa.
Ako uzimas L3VPN od provajdera, tu rekao sam dobijas zagarantovani up time i garantovanu brzinu protoka, ali to moras placati mesecno po sajtu u zavisnosti od brzine koju trazis.

[ dusans @ 14.02.2018. 10:41 ] @
Ne vidim zašto bi komplikovao sa VPN kada ceo svet koristi HTTPS za siguran transport.
A pogotovo sada kada postoje besplatni SSL sertifikati, tipa Let's Encrypt.

A ako neko ima pristup infrastrukturi na klijentu, onda taj ne mora ni da se bakće sa enkripcijom,
može da radi šta hoće, tako da u njega moraš da imaš poverenja.
[ Qazio @ 14.02.2018. 11:01 ] @
Pa dobro, nista nisam rekao, sve je stvar izbora..
VPN i https su apsolutno razlicite tehnologije, s tim da se u navedenom slucaju moze iskoristiti i jedno i drugo.
Ako on treba pristupati povremeno klijentu i nesto raditi tamo, onda VPN, ako ga to ne interesuje, onda moze i https.
[ osmania @ 14.02.2018. 14:07 ] @
to je jedan business case koji bise trebao realizovati, posto se radi stvarno o povjerljivim podatcima mislim nisu toliko ni povjerljivi ali ima ime i prezime i datum rodjenja tako da su to vec personal data i treba da se dobro zastiti.

Mislim da je HTTPS za lakse i jeftinije implementirati ili?. Ali opet moram da se pripremim sta ako za Clineta nije opcija https hoce on nesto bolje sigurnije.

malo cu da pogledam taj side to side vpn. Sto se mene tice ja trenutno nemam nikakvu infrastrukturu. Tako da sve moram da kupim da li sad kupujem tp link ili neki profesionalniji mada ako se u biznis ide trebalo bi profesionalnije barem polovno. Koliko je problem to konfigurisati side to side vpn?


Ako imas nprj 3 clienta znaci bez problema mogu da imam 3 side to side vpn. To pitam jer kod normalnog vpn moram da imam software ako si u jednom vpn ne mozes pristupiti drugom.

ev nasao sam i ovaj router i cak pise da on to podrzava (Cisco 2811 mit 256 MB RAM / 64 MB Flash za 50 eura) da li valja router ne znam.

https://documentation.meraki.c...ing_the_Command_Line_Interface

Mada ima Sophos https://www.youtube.com/watch?v=TcWKYiQwrnk
on bi mogao isto da odradi posao samo znaci morao bi da imam neki pc koji gra ulogu router koji ima dvije mrezne karte ili?

moj zadatak je samo prebaciti podatke i fileove na client stranu a sta ce on raditi dalje ne znam i nije moje da znam.
Zaboravio sam da kazem i client ce meni da vraca podatke koji se trebaju da obrade. tako da konekcija treba da bude bi-direktcionalna.

@dusans mozda bezveze pitanje ssl besplatan da li on valja sta, mada vidim da je poguran od google i mozile foundation. ali gledam neki drugi certifikati su po 100 eura. Sta su ovi skuplji bolji?

hvala puno na odgovorima
[ Qazio @ 14.02.2018. 14:58 ] @
Pa za https ti ne treba hardver, treba ti samo certificate, sto moze biti nesto free, cak i self signed, ali ces imati problem sa browserima u tom slucaju.
Https nije bi-direkcioni, recimo ti kada pristupas google ili FB nalogu to ce ici po https-u, ali oni tebi ne logicno ne mogu pristupiti, barem ne taj nacin.
Sto se tice site to site povezivanja, moze naravno prema vise korisnika, kako... Opet stvar izbora, da li ces koristiti site to site prema svima ili nesto tipa DMVPN, ne znam, ali u svakom slucaju i jedno i drugo je prilicno kompleksno, moj savet je da se ne upustas sam u te vode, jer ti si programer ocigledno, angazuj nekoga iz networkinga, ko se bavi time i prepusti to njemu, ako to budes sam radio bice tesko i pitanje je kako ce se to zavrsisti.
[ osmania @ 14.02.2018. 15:22 ] @
ma i da kupim certificate nije problem

za mene je sigurno kompleksno jer ja to ne kontam u detalje i naravno bi angazovao networkt senior admin ili expert. Ali hocu da razumijem barem sa viseg nivoa sta ima sta radi kako radi, jer tu se bolje pozicioniram kod klienta vidi klient barem nesto znam, a drugo kad nadjem nekog network admin da mi ne prosipa suplju nego da barem mogu da povezem o cemu se radi.

Ali koliko je to kompleksno za jednog senior admin da sredi?
i koliko bi to kostalo sto se tice hardware i/ili software?

sad opet imam 3 opcije:)

HTTPS
Side to Side VPN
SSL VPN
[ Predrag Supurovic @ 14.02.2018. 15:34 ] @
Problem je što je to sve u stvari prosto samo i to nikako ne razumeš.
[ Qazio @ 14.02.2018. 15:34 ] @
Ja imam jednog jako dobrog prijatelja koji je programer, i kada sam ga pitao sta ti to zapravo programiras, kaze srednji sloj...

- Cuj srednji sloj??? Sta ti je to jbt?
- kaze to ti je nesto izmedju korisnickog interface i db..
- super, ali gde ja to vidim?
- Nigde
- ti si k.... od programera, imagination programer :0

E to ti je ta neka prica, ja sam njemu napravio razvojno okruzenje gde je potupuno nezavistan od korisnika, sta pozeli od mreze dobije, i ne pita kako, samo kaze sta hoce, a ja ga i dalje zezam da je imagination programer :)

I sada se zezamo tako sto mu ja kucam neke gluposti u njegovom code prozoru, a kada se on dohvati mog CLI j... mu k...
Volimo da se salimo, ali ja ne znam njegov posao niti on moj, zajedno... Stvari funkcionisu

Dakle bavi se ti svojim poslom i budi ekspert u tome, a za povezivanje angazuj nekoga, jer koliko je meni tesko da razumem sta ti to radis u programiranju, toliko je tebi tesko da razumes sta pricam o povezivanju
[ osmania @ 14.02.2018. 15:50 ] @
hehe dobar,

hvala puno na odgovorima, sad cu da guglam malo pa cu sigurno doci sa jos pitanja.