[Intet]

Har en fundering som jag skulle vilja ha synpunkter på.

Funderar på att göra ett intranät tillgängligt publikt. Jag har inga tidigare erfarenheter av detta och är osäker på hur man skall gå till väga på bästa sätt. Min tanke var att stänga av "anonymous access" via IIS på intranätets webbsajt och sedan låta användarna logga in för att få access. Jag fick dock mothugg av en kollega som såg det som en stor säkerhetsrisk. Han förslog VPN (pptp) istället. Min första tanke är dock att både VPN och IIS (utan anonymous access) skyddas av ett användarnamn och lösenord, varför skulle VPN vara säkrare än publik sida via IIS som är lösenordsskyddad ?

Finns stor risk för att jag är ute o cyklar, så "feel free to lecture".

PS

När jag pratar om säkerhetsrisk så pratar jag enbart om risken för att obehörig skall komma åt intranätet.

[patrikweb]

Med VPN skyddar du dig mot säkerhetshål som kan finnas i din Windows server om den blir helt public mot nätet.

Med VPN hindrar du avlyssning av lösenord samt annan information som skickas.

Kan dock säga att PPTP går att avlyssna utan större problem, ska det vara säkert så ska kryptering ske med båda statiska och dynamiska nycklar.

[jonny]

Aktivera SSL och kör https, så får du en krypterad anslutning. Även användarnamn och lösenord bör då överföras krypterat.

[Intet]

Ok, tack.

Men ingen som hävdar att det är större risk att köra t.ex. SSL än att köra med VPN ?

[patrikweb]

Självklart är det större risk att bara köra SSL utan någon VPN, servern ligger ändå helt öppen mot internet då för attacker.

[Intet]

Om servern redan har en publik webbsajt?
Som jag skrev i tråden, vi pratar bara om säkerhetsrisken för att komma åt intranätet.