Protezione di un sito Web esistente

2

Utilizziamo un software CRM accessibile dal browser nel nostro ufficio. Principalmente si tratta di una soluzione desktop, ma con l'accesso al browser installato, è disponibile anche tramite https (certificato autofirmato). Fino ad ora, ci permettevamo di accedervi solo sulla rete locale, quindi chiunque volesse usarlo dall'esterno è connesso al nostro server OpenVPN. Il problema è che alcuni utenti sono semplicemente stupidi e non possono usare il client VPN per connettersi (anche se ho creato video tutorial :() e si dimenticano sempre di disconnettersi, sfruttando così le risorse dei nostri server (più come larghezza di banda).

Inoltre, gli utenti usano password stupidamente semplici (sì ...), quindi non è possibile aprire il sito all'esterno. Esiste una soluzione per assicurare un così grande buco di sicurezza? Ho pensato di creare qualcosa nel mezzo che autentica gli utenti sulla base di un certificato pre-distribuito, forse possono installare il certificato una volta nel loro browser, ma non so quanto sarebbe sicuro.

Modifica:

I client utilizzano i propri dispositivi personali per connettersi ai nostri server. Fino ad ora, hanno utilizzato OpenVPN, ma vorremmo interrompere questo metodo di connessione e consentire solo l'utilizzo del sito web. Il sito Web apre una pagina di accesso se lo si apre (utilizza una sorta di autenticazione SAML2, richiede l'accettazione di due certificati), dopo di che è necessario fornire un nome utente e una password, che è lo stesso che si utilizzerebbe nell'applicazione desktop . Queste password non sono sicure, troppo facili da indovinare e gli utenti non vogliono cambiarle. Ho bisogno di un'opzione, dove con il minimo lavoro possibile, un utente finale può configurare un accesso sicuro a questo sito Web e dopo aver superato quel primo livello di autenticazione, può accedere con la sua password non protetta.

Posso accedere alla configurazione del sito Web, ma non c'è molto che posso fare in merito a questo problema. Ecco perché ho pensato di risolverlo prima della pagina di accesso al sito web.

(La piattaforma è SAP Business One 9.2 Server, con SAP GateKeeper / Browser Access per B1 9.2. Sia l'accesso a SAP Server che a SAP Browser è ospitato su Windows Server 2012R2, ma su macchine separate, l'accesso al browser è un uno virtuale e il SAP Server è dedicato.Abbiamo anche un pfSense Router)

    
posta appl3r 27.03.2017 - 12:12
fonte

1 risposta

5

Potresti:

  • applica password complesse sul sito
  • installa i certificati lato client
  • specifica un timeout della connessione sulla VPN
  • implementa l'autenticazione a due fattori sull'accesso CRM

Per l'utilizzo remoto, devi installare un certificato da un'autorità di certificazione riconosciuta e applicare la connettività su TLS.

    
risposta data 27.03.2017 - 12:37
fonte

Leggi altre domande sui tag