Как я могу защитить свое удаленное поле/пользователя?
Я собираюсь произвести некоторую техническую разработку на стороне незнакомцу. Я хотел бы бежать по своей установке и что я сделал к настоящему времени для принятия некоторых предупредительных мер. Я надеюсь, что можно предоставить мне еще некоторый совет, глюки или вещи рассмотреть.
- Сервер запускает Windows 7 Ultimate.
- Я нахожусь позади маршрутизатора Linksys.
- Я установил бесплатную версию антивирусного программного обеспечения AVG.
- Дистанционная работа разработчика в сервер будет иметь 'пользовательские' полномочия и потребует имени пользователя и пароля.
- Я использую свободный DynDNS сервисное и клиентское приложение для управления статическим URL для доступа.
- Настройки безопасности Windows по умолчанию на: брандмауэр, uac, и т.д.
- Другой ПК в сети защищен паролем.
- Среда исходного кода будет в песочнице: никакие живые строки подключения, данные или способность к ftp. Для меня определят задачу с QA и выпуском нового программного обеспечения.
Как эта установка? Что Вы сделали бы по-другому? Что, если что-нибудь должно, я делаю по-другому для защиты моей машины и сети?
Спасибо.
2 ответа
В зависимости от навыка "незнакомца" Вы ни в чем не можете действительно быть уверены. Я или зеркально отразил бы его сессию и наблюдал бы на том, что он делает, записывает экран (сколько времени он идет ot работать над этим?). Однако лучший подход должен был бы создать виртуальную среду "песочница", таким образом, он может играть вокруг и сделать свою техническую разработку. Или сделайте, чтобы он сделал разработку на своей собственной машине и когда он сделан, он должен вручить от работы Вам, и Вы развертываете ее на производственной машине.
Я рекомендовал бы выполнить отдельный компьютер (виртуальный или физический), и перенаправил бы входящее соединение с этим полем. Если входящие соединения должны быть совместно использованы Вами и разработчиком, могло бы стоить иметь отдельное соединение DSL или другой IP-адрес. Защита паролем не могла бы быть достаточно. Если бы Вы действительно хотите быть безопасными, я поместил бы компьютер разработчика на соединение отдельной сети внутри также. Если Вы хотите совместно использовать файлы между своими другими компьютерами и ПК разработчика, у Вас могло быть двойное соединение на компьютере/сервере, который совместно использует файлы, а также ПК разработчика.
Другая вещь, которую Вы могли сделать, состоит в том, чтобы изменить фактический IP и сетевую маску компьютера разработчика, таким образом, IP маршрутизатора и компьютера разработчика очень друг близко к другу, как 192.168.1.12 (маршрутизатор) и 192.168.1.13 (разработчика). Затем вызовите сетевую маску или 255.255.255.252, например. Это означает, что от его ПК, разработчик может только достигнуть маршрутизатора, ничего иного. Удостоверьтесь, что разработчик не может изменить такую конфигурацию, если он когда-нибудь узнает об этом. Я знаю, это - "безопасность через мрак", но каждый бит помогает.