- К вашему сведению - сервак в локалке с пробросом из-вне - угроза всей локалке Но, shadow_alone (ok), 22:02 , 08-Ноя-20 (1) +2
К вашему сведению - сервак в локалке с пробросом из-вне - угроза всей локалке. Нормальные люди в таком случае делают DMZ и пихаюи сервак туда, откуда доступа к самой локалке нет. В таком случаем, если впереди стоит актуальный WAF, например, то сервак более защищен, потому как городить всё это на самом серваке не комильфо. Ну и по степени защищенности, с учетом использования всех возможностей: 1. сервак в DMZ 2. сервак с белым ip 3. сервак в локалке.Не стоит забывать о том, что сервак может иметь белый ip и быть за файволом.
- Вы же сами последней фразой расставили все точки над i - при одинаково настроенн, anonymous (??), 23:42 , 08-Ноя-20 (5)
Вы же сами последней фразой расставили все точки над i - при одинаково настроенных фаерволах - т.е. при доступе только к 80/443 портам разницы никакой.
- в папке root, Анонимчек (?), 12:51 , 09-Ноя-20 (10)
- Если у вас под веб-сервером понимается апп-сервер, то без разницы Атаковать буд, Аноним (14), 16:28 , 09-Ноя-20 (11)
Если у вас под веб-сервером понимается апп-сервер, то без разницы. Атаковать будут не на уровне протокола, а на уровне приложения.В локалку имеет смысл убрать, если у вас винда вместо ОС - для защиты от червей. В качестве общего правила - настраивайте любой сервер так, как если завтра будет пентест, по результатам которого вас уволят или наоборот, повысят. Концепция защищенных локалок с шлюзами, на которых происходит вся безопасность, уже серьезно устарела.
- У тебя каша в голове Вот смотри - беру я древнюю версию Apache с кучей дыр и саж, ACCA (ok), 05:24 , 10-Ноя-20 (16) +1
У тебя каша в голове.Вот смотри - беру я древнюю версию Apache с кучей дыр и сажаю на "белом" IP. Конфигурирую его на отдачу static и больше ничего. Можно ли его взломать? Это уж вряд ли - там нет никаких ресурсов, чтобы ими воспользоваться. Теперь я беру последнюю версию HAProxy, высаживаю его на AWS VPC, оттуда новомоднейший WireGuard тащит трафик из локалки, где вообще все внешние порты закрыты. В локалке работает какая-нибудь новомодная хня вроде Express JS с новомодным фреймворком. В котором есть какой-то баг. И меня ломанули через HTTP. При полном попустительстве HAProxy, AWS VPC, WireGuard и проч. Потому, что ломали на 7 уровне OSI.
- Располагать сервер за натом нормально Ненормально надеяться только на защиту пе, Павел Отредиез (?), 15:23 , 15-Ноя-20 (21)
Располагать сервер за натом нормально. Ненормально надеяться только на защиту периметра. Свой файервол должен быть и у сервера.
|