Организация доступа к БД через Интернет

	Этапы внедрения
	Инсталляция
	Организация доступа к БД через Интернет (из удаленных филиалов)

Возможность обеспечения работы всех удаленных филиалов компании в рамках единой инфраструктуры делает Hardware Inspector Client/Server просто уникальным. Это значительно облегчает взаимодействие всех подразделений и делает учет прозрачным.

Для обеспечения доступа удаленных филиалов с Hardware Inspector Client к единой базе данных через сеть Интернет необходимо в центральном офисе настроить функцию "виртуальный сервер" в маршрутизаторе (роутере), через который организация подключена к интернет, а также (если интернет раздается через специализированный компьютер) маршрутизацию TCP/IP пакетов из сетевого интерфейса локальной сети на сетевой интерфейс, идущий к маршрутизатору.

Помимо доступа к ИТ инфраструктуре через GUI интерфейс приложения Hardware Inspector Client можно обеспечить доступ к ней из интернета и через веб-интерфейс.

Схема работы при наличии VPN

В случае если основная сеть, в которой находится Hardware Inspector Server, и удаленные сети связаны по VPN, то проблем никаких нет. Из удаленной сети Вы работаете с Hardware Inspector Server как будто находитесь в локальной сети сервера.

Схема работы из удаленной сети при отсутствии VPN

В большинстве компаний в центральном офисе компьютеры локальной сети выходят в сеть Интернет через роутер, который подключен к провайдеру. В этом случае достаточно открыть в роутере порты, необходимые для работы Hardware Inspector Server, и настроить через функцию "виртуальный сервер" проброс пакетов, которые приходят на них из сети интернет, на машину, на которой работает Hardware Inspector Server. Задача типовая и любой администратор справится с этим с закрытыми глазами.

Далее рассмотрим один из более сложных примеров организации одновременного доступа через GUI интерфейс приложения Hardware Inspector Client к Hardware Inspector Server из сети интернет и локальной сети, когда между роутером, обеспечивающим выход в интернет, и локальной сетью есть прокси-сервер. Этот сервер может использоваться для программного управления трафиком из интернета на уровне пользователей. Либо для решения каких-то других задач. Конечно, в наше время чаще всего эти задачи решаются аппаратными средствами маршрутизатора, через который идет выход в интернет. Но на всякий случай рассмотрим и экзотический случай с программным шлюзом.

Схема работы при использовании прокси-сервера

В центральном офисе имеем сервер с двумя сетевыми интерфейсами. Один из них «смотрит» в локальную сеть организации и имеет IP-адрес 192.168.1.1. Ко второму сетевому интерфейсу с адресом 192.168.2.1 подключен маршрутизатор, который подключен к интернет-провайдеру.

На сервере установлен прокси-сервер, с помощью которого организован доступ рабочих станций в локальной сети к интернет.

Также на сервере инсталлирован Hardware Inspector Server, который по-умолчанию слушает порт 14584 (а также несколько следующих после него по порядку портов, число которых отображается во вкладке «Настройки»; для примера будем рассматривать, что приложение использует еще и порт 14585) на сетевом интерфейсе с адресом 192.168.2.1 (адрес в сторону интернет-провайдера).

Даже самые дешевые маршрутизаторы позволяют настроить переадресацию TCP/IP пакетов, приходящих из интернет на определенный порт и IP-адрес в локальной сети.

В нашем случае, через интерфейс настройки маршрутизатора (как правило через веб-интерфейс) необходимо создать правило(а), которое будет переадресовывать пакеты приходящие из интернета в порт 14584 (и 14585) на порт 14584 (и 14585) локального адреса 192.168.2.1.

В удаленном же филиале для подключения к серверу на клиентской части нужно будет указать статический внешний IP адрес, через который выходит в интернет центральный офис и порт 14584.

Так как мы настроили Hardware Inspector Server на 192.168.2.1, который не принадлежит локальной сети, а «смотрит» в сторону провайдера, то нам необходимо настроить переадресацию пакетов из локальной сети на этот адрес.

Для этого в настройках прокси-сервера требуется создать правило(а), которое будет переадресовывать сетевые пакеты приходящие в 192.168.1.1:14584 и 192.168.1.1:14585 на, соответственно, 192.168.2.1:14584 и 192.168.2.1:14585.

При этом для подключения к серверу операторов, находящихся в локальной сети, нужно указывать IP-адрес 192.168.1.1 и порт 14584.

Безопасность

Любое решение, которое предполагает доступ к корпоративным ресурсам извне, должно обеспечивать высокий уровень безопасности. Поэтому данному вопросу было уделено особенно пристальное внимание.

В случае с Hardware Inspector Client/Server используются следующие меры:

• Авторизация пользователя в GUI по паролю и уникальному коду сервера.
• Авторизация пользователя в веб-интерфейсе по паролю, с ручным вводом логина вместо выбора пользователя из списка. Принудительный перевод посетителя на https протокол. Блокировка авторизации с пустым паролем.
• Настройка произвольного порта, который используется сервером для входящих соединений.
• Сжатие и кодирование трафика для защиты от снифферов.
• Разграничение прав доступа на уровне дерева оргструктуры, карты, типов устройств и функционала программы. Это позволит для операторов удаленного филиала дать права доступа только к рабочим местам их филиала.
• Отсутствие полного доступа операторов к таблицам базы данных, в отличии от файлового варианта Hardware Inspector.
• Протокол обмена является разработкой нашей компании и публично не документирован, что усложняет его анализ.

Также можно предпринять следующие меры:

• Настройка модема с ограничением диапазона внешних IP адресов, для которых будут работать правила виртуального сервера. То есть только с этих IP-адресов возможно будет подключение к Hardware Inspector Server из сети Интернет.
• Использование VPN для подключения локальной сети филиала к локальной сети центрального офиса.
• Запуск на сервере приложения Hardware Inspector Server под локальным пользователем с ограниченными правами доступа к ресурсам сервера. В частности, можно дать локальному пользователю права на чтение и запись только к папкам жесткого диска, которые реально нужны для работы приложения Hardware Inspector Server.