forum.opennet.ru

Форум Информационная безопасность (Проблемы с безопасностью)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Где надежнее защита веб-сервера?, Аноним (0), 08-Ноя-20, (0) [смотреть все] –1

К вашему сведению - сервак в локалке с пробросом из-вне - угроза всей локалке Но, shadow_alone (ok), 22:02 , 08-Ноя-20, (1) +2 //

А если вся локалка состоит всего из этого одного веб-сервака Я лишь пытаюсь, Аноним (0), 23:09 , 08-Ноя-20, (2) –1 //

а что тут перерформулировать то Я всё описал исходя из вашей локалки и дума, shadow_alone (ok), 23:15 , 08-Ноя-20, (3) //

Скрыто модератором, Аноним (0), 23:25 , 08-Ноя-20, (4) –1

Вы же сами последней фразой расставили все точки над i - при одинаково настроенн, anonymous (??), 23:42 , 08-Ноя-20, (5) //

Да если бы я расставил все точки, а так увы, я лишь обозначил вопрос Ну да, до, Аноним (0), 00:06 , 09-Ноя-20, (6) //

ИТ строится не на интуиции, а на четком понимании того, как все работает , Виктор (??), 00:11 , 09-Ноя-20, (7) //

И что говорит ваше четкое понимание - что нет смысла прятать веб-сервер за NAT, , Аноним (0), 01:01 , 09-Ноя-20, (8)

Если взломают по 80 443 порту, то до лампочки будет, за фаерволлом или за NAT-ом, Виктор (??), 09:27 , 09-Ноя-20, (9)

В действительности все работает не так, как все это четко понимают айтишники Ин, Аноним (14), 23:17 , 09-Ноя-20, (14)

в папке root, Анонимчек (?), 12:51 , 09-Ноя-20, (10)
Если у вас под веб-сервером понимается апп-сервер, то без разницы Атаковать буд, Аноним (14), 16:28 , 09-Ноя-20, (11) //

Так это если взломают Ясно же, что речь идет не о 80 443, которые будем считать, Аноним (0), 17:37 , 09-Ноя-20, (12) //

Не собираюсь развлекать самодовольного ламера Чушь собачья , Аноним (14), 23:16 , 09-Ноя-20, (13) //

Потому что то, о чем ты ляпул, обычный вброс дилетанта, не имеющий никакого отно, Аноним (0), 00:44 , 10-Ноя-20, (15) –1

У тебя каша в голове Вот смотри - беру я древнюю версию Apache с кучей дыр и саж, ACCA (ok), 05:24 , 10-Ноя-20, (16) +1 //

Сказали бы проще размещение сервера сетке за шлюзом даже со всякими в этом шлюз, Аноним (0), 18:12 , 10-Ноя-20, (17) //

Да, и нет 1 Повышает, но не настолько чтобы на этом можно было остановиться и с, Licha Morada (ok), 22:09 , 11-Ноя-20, (20) //

Я тебе возражу про древнюю и дырявую ОС В 2000 году я вылез на DSL и меня лом, ACCA (ok), 09:18 , 19-Ноя-20, (22)

Легко отделался В 2000 году ресус белый IP , может быть, представлял мало интер, Licha Morada (ok), 22:54 , 19-Ноя-20, (23)

Располагать сервер за натом нормально Ненормально надеяться только на защиту пе, Павел Отредиез (?), 15:23 , 15-Ноя-20, (21)

Сообщения [Сортировка по времени | RSS]

17. "Где надежнее защита веб-сервера?" +/–

Сообщение от Аноним (0), 10-Ноя-20, 18:12

> У тебя каша в голове.
Сказали бы проще: размещение сервера сетке за шлюзом даже со всякими в этом шлюзе видами защит не повышает взломоустойчивость сервера- верно ли я понял?

Ответить | Правка | Наверх | Cообщить модератору

20. "Где надежнее защита веб-сервера?" +/–

Сообщение от Licha Morada (ok), 11-Ноя-20, 22:09

> размещение сервера сетке за шлюзом даже со всякими в
> этом шлюзе видами защит не повышает взломоустойчивость сервера
> верно ли я понял?
Да, и нет.
1. Повышает, но не настолько чтобы на этом можно было остановиться и считать что сервер защищён.
Древний и дырявый Apache существует не в вакууме, а скорее всего на древней и дырявой ОС. ACCA упростил пример, и негласно предположил что аккуратный админ не только сконфигурировал Apache на отдачу статичного контента, но и прикрыл ВСЕ остальные сервисы, которые могут быть уязвимы. А если админ не такой аккуратный, или требования не позволили окуклить сервер, то в локалке ему всё таки было бы лучше чем в Интернете.
2. Зависит от серера. Если сервис который общается с миром дыряв, то сколько его в локалку не прячь, поломают. Пример, опять таки, тебе привели замечательный.
От себя добавлю, что так бывает и без экзотики вроде Express JS. При мне ставили энтерпразнейший WebSphere в локалку, и высунули одним портом в инет через NAT. Через месяц до него кто-то добрался, и на нас свалились ЧУЖИЕ безопасники, по поводу "чего это ваш сервер наши хосты через VPN сканирует". Было нервно и стыдно.
Если бы админ немного подумал, то выставил бы сервис через обратный прокси, а не через NAT. И не весь сервер включая админку, а только приложение которое должно было быть доступно.
А если бы это передали моей тогдашней команде, то вообще ничего не выставляли бы, а сделали бы VPN тем кому надо было на этот сервер через VPN лазить, т.к. в Интернете той стрёмной хрени делать было совсем нечего.
Не грешите, и не грешимы будете.

Ответить | Правка | Наверх | Cообщить модератору

22. "Где надежнее защита веб-сервера?" +/–

Сообщение от ACCA (ok), 19-Ноя-20, 09:18

> Древний и дырявый Apache существует не в вакууме, а скорее всего на
> древней и дырявой ОС. ACCA упростил пример, и негласно предположил что
Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я вылез на DSL и меня ломанули через BIND. Что они получили? Засадили мне исходники трояна на C. Обнаружили, что у меня нет make, нет gcc, нет памяти и нет дискового пространства. Система загружена с floppy 2.88 в read-only.
Приходи, кто хочешь, бери, что хочешь. Ну, из того, что есть. Покушали? По камерам.

Ответить | Правка | Наверх | Cообщить модератору

23. "Где надежнее защита веб-сервера?" +/–

Сообщение от Licha Morada (ok), 19-Ноя-20, 22:54

> Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я
> вылез на DSL и меня ломанули через BIND. Что они получили?
Легко отделался.
В 2000 году ресус "белый IP", может быть, представлял мало интереса. А в 2020 это устройство сочли бы не слишком типичным девайсом IoT и взяли бы себе в ботнет.
> нет make, нет gcc, нет памяти и нет дискового пространства.
> Система загружена с floppy 2.88 в read-only.
Маргинальный кейс.
Сегодня древняя дырявая ОС зачастую идёт с каким-нибудь засранным легаси сервером, где и make, и gcc, и Гном с Google Earth, а его никто не хочет трогать т.к. "работает" и вообще как бы чего не вышло. Для общего случая, неинтересность или нехватка ресусов это не защита. "Кабана съест, и про муху скажет - тоже мясо".

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	17. "Где надежнее защита веб-сервера?"	+/–
	Сообщение от Аноним (0), 10-Ноя-20, 18:12
	> У тебя каша в голове. Сказали бы проще: размещение сервера сетке за шлюзом даже со всякими в этом шлюзе видами защит не повышает взломоустойчивость сервера- верно ли я понял?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Где надежнее защита веб-сервера?"	+/–
	Сообщение от Licha Morada (ok), 11-Ноя-20, 22:09
	> размещение сервера сетке за шлюзом даже со всякими в > этом шлюзе видами защит не повышает взломоустойчивость сервера > верно ли я понял? Да, и нет. 1. Повышает, но не настолько чтобы на этом можно было остановиться и считать что сервер защищён. Древний и дырявый Apache существует не в вакууме, а скорее всего на древней и дырявой ОС. ACCA упростил пример, и негласно предположил что аккуратный админ не только сконфигурировал Apache на отдачу статичного контента, но и прикрыл ВСЕ остальные сервисы, которые могут быть уязвимы. А если админ не такой аккуратный, или требования не позволили окуклить сервер, то в локалке ему всё таки было бы лучше чем в Интернете. 2. Зависит от серера. Если сервис который общается с миром дыряв, то сколько его в локалку не прячь, поломают. Пример, опять таки, тебе привели замечательный. От себя добавлю, что так бывает и без экзотики вроде Express JS. При мне ставили энтерпразнейший WebSphere в локалку, и высунули одним портом в инет через NAT. Через месяц до него кто-то добрался, и на нас свалились ЧУЖИЕ безопасники, по поводу "чего это ваш сервер наши хосты через VPN сканирует". Было нервно и стыдно. Если бы админ немного подумал, то выставил бы сервис через обратный прокси, а не через NAT. И не весь сервер включая админку, а только приложение которое должно было быть доступно. А если бы это передали моей тогдашней команде, то вообще ничего не выставляли бы, а сделали бы VPN тем кому надо было на этот сервер через VPN лазить, т.к. в Интернете той стрёмной хрени делать было совсем нечего. Не грешите, и не грешимы будете.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Где надежнее защита веб-сервера?"	+/–
	Сообщение от ACCA (ok), 19-Ноя-20, 09:18
	> Древний и дырявый Apache существует не в вакууме, а скорее всего на > древней и дырявой ОС. ACCA упростил пример, и негласно предположил что Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я вылез на DSL и меня ломанули через BIND. Что они получили? Засадили мне исходники трояна на C. Обнаружили, что у меня нет make, нет gcc, нет памяти и нет дискового пространства. Система загружена с floppy 2.88 в read-only. Приходи, кто хочешь, бери, что хочешь. Ну, из того, что есть. Покушали? По камерам.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Где надежнее защита веб-сервера?"	+/–
	Сообщение от Licha Morada (ok), 19-Ноя-20, 22:54
	> Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я > вылез на DSL и меня ломанули через BIND. Что они получили? Легко отделался. В 2000 году ресус "белый IP", может быть, представлял мало интереса. А в 2020 это устройство сочли бы не слишком типичным девайсом IoT и взяли бы себе в ботнет. > нет make, нет gcc, нет памяти и нет дискового пространства. > Система загружена с floppy 2.88 в read-only. Маргинальный кейс. Сегодня древняя дырявая ОС зачастую идёт с каким-нибудь засранным легаси сервером, где и make, и gcc, и Гном с Google Earth, а его никто не хочет трогать т.к. "работает" и вообще как бы чего не вышло. Для общего случая, неинтересность или нехватка ресусов это не защита. "Кабана съест, и про муху скажет - тоже мясо".
	Ответить \| Правка \| Наверх \| Cообщить модератору