Есть ли универсальный способ убедиться, что любой подключение к услуге зашифровано? Я имею в виду, что вы можете использовать HTTP для Интернета, SFTP для передачи файлов и SSMTP для почты и т. Д., Но есть ли способ гарантировать, что какая-либо служба общается через зашифрованное соединение? Вроде как туннелирование, но на стороне сервера.
Я думаю, что VPN - это вариант, но, вероятно, есть другие варианты, какие-либо предложения?
Лучший способ настроить произвольные службы для защиты - использовать туннель IPSec. Вы должны отметить, что вам необходимо настроить свойства IPSec на обоих концах, поэтому вам нужно будет настроить каждого клиента, который подключается к этой службе, для использования IPSec.
Чтобы гарантировать, что все соединения с каким-либо хостом (или удаленной сетью) зашифрованы, вероятно, лучшим вариантом будет VPN, но обратите внимание, что после завершения работы VPN трафик, исходящий с любого конца, больше не зашифрован: он безопасен только тогда, когда он транзит.
Чтобы гарантировать, что все соединения с определенной службой на хосте зашифрованы, лучшим решением будет запретить незашифрованные соединения, отключив незашифрованную версию службы (например, обслуживать веб-страницы ТОЛЬКО через HTTPS, разрешать ТОЛЬКО SFTP, Требовать STARTTLS, и т.д.)
Для HTTP есть дополнительная возможность (по крайней мере, в Apache) установить SSLRequireSSL в местах или каталогах, чтобы вы могли только добраться туда через https:// и вы получите ошибку, если попытаетесь поразить их через простой http://.
Что ж, универсальный ответ: "Это зависит от ..." :-)
Я думаю, что лучший способ начать - это ограничить то, что МОЖЕТ подключаться к вашему серверу / компьютеру с помощью брандмауэра (встроенного или стороннего), а затем защитить нужные вам службы.
Я знаю множество компаний, которые переходят на NAP (защиту доступа к сети) и встроенные брандмауэры для трафика LAN, и, если он основан на Интернете, я надеюсь, что вы пройдете через шаги, чтобы разрешить только то, что необходимо.
Что касается того, насколько «универсальный» относится к безопасности, я не думаю, что это существует.
Кто-нибудь еще?
Нет, если вы не сделаете что-то вроде SSH-туннелирование. Если вам просто нужны сервисы без VPN или туннеля, сервисы должны поддерживать SSL или TSL.
Смотрите также: http://en.wikipedia.org/wiki/Tunneling_protocol http://www.ssh.com/support/documentation/online/ssh/winhelp/32/Tunneling_Explained.html