Система довольно гибкая, посмотрел ссылки, классно оформлена вебская часть, вот тут
[ссылка заблокирована по решению администрации проекта] - все отлично, просто наверное слишком сложно для некоторых, но и вы все неправильно описали тут, видимо на лету, но сама мысль - нравится, цены слишком завышены, но оно того стоит. Не обращайте внимание на маты, и на критику, такое всегда было и будет, желаю вам процветания
Подключение требует пройти 7 кратную авторизацию.
Клиент, находится в стране Америка.
Сервер находится в стране Россия.
Клиент в Америке приобретает выделенный IP адрес.
Мы создаем для него специальный VPN сервер который по фаерволлу разрешает подключится только с выделенного IP адреса клиента из США, остальные коннекты дропяться. У клиента в компе для OpenVPN используется EFS шифрование, даже если ключ украдут, не смогут пользоваться им.
После подключения к VPN серверу клиент по RDP подключается к серверу под Windows 10, лицензированную и обновленную (Корп. версия). Данный RDP сервер доверяет только IP адресу VPN сервера, который доверяет только конкретному IP адресу из США, где ключ зашифрован EFS-ом. Остальные коннекты дропятся.
Далее клиент после подключения по RDP уже в сервере Windows подключается к второму VPN серверу который доверяет только IP адресу Windows сервера. После чего у клиента в файле HOSTS указан URL к определенному IP адресу, сервер дроппит все соединения к IP кроме случая, если к нему обратились по этому домену, а поддомен не указан в DNS. Его знает лишь VPN сервер. После чего, сервер LINUX проверяет, IP адрес подключившего к нему, если это не вторычный IP, чьей VPN сервер доверяет только Windows серверу, если нет, то показывает 403 ошибка доступа, если да, то выпрашивает SSL ключ доступа к серверу (Авторизация по TLS сертификату 8192 бит, SHA512). Который тоже зашифрован EFS, его ключ уничтожен, все файлы CHROME зашифрованы EFS-ом в Win сервере. Если нет SSL сертификата, то отказывается в соединении по ошибке 401 bad SSL certificate. Если сертификат есть и он подписан правильно (8192 бит SHA512 клиент) - (16384 бит, SHA 512 CA) - то разрешает доступ. Далее выпрашивается пароль и логин к серверу с вычетом логина и пароля верховного регистра и нижнего, пароль и логин обе 8192 бит, сохранены в Windows сервере и зашифрованы EFS. В такой папке, о котором знает лишь клиент, в Windows с именем очень похожего на системный файл Windows и разным форматом, например SYS. Далее после авторизации в NGINX панель управления VESTACP требует ввести логин и пароль пользователя админ. Оно тоже длинное и скрыто под другой системный файл в сервере Windows. После ввода, пользователь получает доступ к управлению сервером. Фаерволл дроппит все соединения к серверу по всем портам, кроме 80 котрый форварируется к 443, и сам 443 который требуется для работы с сайтом. SSLLabs и Security headers, показывают A+ результат. SSH можно подключить только после подключения к вторычному VPN серверу, для подключения которого нужно сначала подключится к серверу Windows, который доверяет IP адресу, в котором ключ зашифрован и не может быть украден.
Синхронизация с Google отключена, сертификат только локальный.
Сам SSL сертификат сайта 8192 Бит RSA, сертификат к VPN 8192 бит, сертификат доступа к серверу 8192 бит, нужно подключится к VPN, потом к серверу Windows, потом в виндовс подключится к еще одному VPN, далее пройти авторизацию по HPKP, обязательное использование HTTPS по HSTS протоколу, далее авторизоваться по SSL сертификату закрытый ключ которого зашифрован в сервере Windows, далее пароль к NGINX, далее пароль к LINUX.
На разработку такой системы безопасности ушло 5 лет, со стороны теории легко, но сложно было собрать. Есть еще пару трюков о котором молчим. Просто скажите свое мнение :)