The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Где надежнее защита веб-сервера?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Проблемы с безопасностью)
Изначальное сообщение [ Отслеживать ]

"Где надежнее защита веб-сервера?"  –1 +/
Сообщение от Аноним (0), 08-Ноя-20, 21:29 
Случайно возникла где дискуссия на тему: где надежнее защищен веб-сервер - в  Интернете или в Локалке?

Обычно веб-сервер выставляется прямо в Интернет по белому адресу, и тогда он подвержен всем видам атак на него.
Одной из защит веб-сервера от этих атак является файрволл операционной системы, которым закрываются неиспользуемые порты.

Но также можно установить веб-сервер в локалке и давать к нему доступ из Интернета через NAT аппаратного роутера, которым тоже закрываются неспользуемые порты.

Раньше мне всегда казалось, что веб-сервер в локалке ^в принципе^ гораздо более надежно защищен от внешних посягательств и имеет более высокую взломоустойчивость.
Однако после возникшей дискуссии возникли сомнения, так ли это.

Надеюсь, что знатоки по безопасности развеют эти сомнения.


PS. Разумееется, для корректности сравнения защищенности этих вариантов будем считать, что файрвол операционной системы и файрвол роутера одинаковы по своим защитным свойствам.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Где надежнее защита веб-сервера?"  +2 +/
Сообщение от shadow_alone (ok), 08-Ноя-20, 22:02 
К вашему сведению - сервак в локалке с пробросом из-вне - угроза всей локалке.
Нормальные люди в таком случае делают DMZ и пихаюи сервак туда, откуда доступа к самой локалке нет.
В таком случаем, если впереди стоит актуальный WAF, например, то сервак более защищен, потому как городить всё это на самом серваке не комильфо.
Ну и по степени защищенности, с учетом использования всех возможностей:
1. сервак в DMZ
2. сервак с белым ip
3. сервак в локалке.

Не стоит забывать о том, что сервак может иметь белый ip и быть за файволом.


Ответить | Правка | Наверх | Cообщить модератору

2. "Где надежнее защита веб-сервера?"  –1 +/
Сообщение от Аноним (0), 08-Ноя-20, 23:09 
> К вашему сведению - сервак в локалке с пробросом из-вне - угроза
> всей локалке.

А если вся "локалка" состоит всего из этого одного веб-сервака? ;)
Я лишь пытаюсь подобрать для него наиболее безопасное место дя установки - то ли 85.85.85.85, то ли 192.168.1.85.
Надеюсь, вы поняли, что я имею в виду, так что давайте думать не о об угрозе локалки (которой по сути нет) а об угрозе самого веб-сервка и наиболее безопасном месте для него.

Поэтому все остальное ниженаписанное вами, вероятно, было с учетом того, что локалка наполнена компьютерами, а поскольку она пуста, просьба переформуливать ваши советы с учетом этого факта.

Ответить | Правка | Наверх | Cообщить модератору

3. "Где надежнее защита веб-сервера?"  +/
Сообщение от shadow_alone (ok), 08-Ноя-20, 23:15 
а что тут перерформулировать то?
Я всё описал... исходя из вашей "локалки" и думайте что я написал.
А если вы "такой умный", то сразу бы писали что не локалка, а одинокая машина... что у меня указанно как DMZ.

Вопросы надо правильно задавать, а не ёрничать в ответах.
Если бы у бабки был йух - сам знаешь кем бы она была.

Ответить | Правка | Наверх | Cообщить модератору

4. Скрыто модератором  –1 +/
Сообщение от Аноним (0), 08-Ноя-20, 23:25 
Ответить | Правка | Наверх | Cообщить модератору

5. "Где надежнее защита веб-сервера?"  +/
Сообщение от anonymous (??), 08-Ноя-20, 23:42 
Вы же сами последней фразой расставили все точки над i - при одинаково настроенных фаерволах - т.е. при доступе только к 80/443 портам разницы никакой.
Ответить | Правка | Наверх | Cообщить модератору

6. "Где надежнее защита веб-сервера?"  +/
Сообщение от Аноним (0), 09-Ноя-20, 00:06 
> Вы же сами последней фразой расставили все точки над i - при
> одинаково настроенных фаерволах - т.е. при доступе только к 80/443 портам
> разницы никакой.

Да если бы я расставил все точки, а так увы, я  лишь обозначил вопрос.
Ну да, доступ в обоих случаях останется по 80/443, и файеры одинаковые по свойствам, и на первый взгляд  разницы действительно нет.

Но все равно червячок сомнения остался. Чисто из интуиции кажется, что сервак в за NAT'ом все равно будет чувствовать себя защищеннее, потому что он не выставлен наружу в Инет, а спрятан в локалке.
Никаких пруфов у меня нет, чистая интуиция.

Ответить | Правка | Наверх | Cообщить модератору

7. "Где надежнее защита веб-сервера?"  +/
Сообщение от Виктор (??), 09-Ноя-20, 00:11 
ИТ строится не на интуиции, а на четком понимании того, как все работает.
Ответить | Правка | Наверх | Cообщить модератору

8. "Где надежнее защита веб-сервера?"  +/
Сообщение от Аноним (0), 09-Ноя-20, 01:01 
> ИТ строится не на интуиции, а на четком понимании того, как все
> работает.

И что говорит ваше четкое понимание - что нет смысла прятать веб-сервер за NAT, пскольку это не прибавит ему защищенности?
Если да, в таком случае и DMZ тоже ее не улучшит, имхо.

Жаль, если это все так и есть :-(

Ответить | Правка | Наверх | Cообщить модератору

9. "Где надежнее защита веб-сервера?"  +/
Сообщение от Виктор (??), 09-Ноя-20, 09:27 
> И что говорит ваше четкое понимание - что нет смысла прятать веб-сервер
> за NAT, пскольку это не прибавит ему защищенности?
> Если да, в таком случае и DMZ тоже ее не улучшит, имхо.
> Жаль, если это все так и есть :-(

Если взломают по 80/443 порту, то до лампочки будет, за фаерволлом или за NAT-ом сидит сервак...

Ответить | Правка | Наверх | Cообщить модератору

14. "Где надежнее защита веб-сервера?"  +/
Сообщение от Аноним (14), 09-Ноя-20, 23:17 
> ИТ строится не на интуиции, а на четком понимании того, как все
> работает.

В действительности все работает не так, как все это четко понимают айтишники. Иначе не было бы такой дисциплины, как секурити.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

10. "Где надежнее защита веб-сервера?"  +/
Сообщение от Анонимчек (?), 09-Ноя-20, 12:51 
в папке /root
Ответить | Правка | Наверх | Cообщить модератору

11. "Где надежнее защита веб-сервера?"  +/
Сообщение от Аноним (14), 09-Ноя-20, 16:28 
Если у вас под веб-сервером понимается апп-сервер, то без разницы. Атаковать будут не на уровне протокола, а на уровне приложения.

В локалку имеет смысл убрать, если у вас винда вместо ОС - для защиты от червей.

В качестве общего правила - настраивайте любой сервер так, как если завтра будет пентест, по результатам которого вас уволят или наоборот, повысят. Концепция защищенных локалок с шлюзами, на которых происходит вся безопасность, уже серьезно устарела.

Ответить | Правка | Наверх | Cообщить модератору

12. "Где надежнее защита веб-сервера?"  +/
Сообщение от Аноним (0), 09-Ноя-20, 17:37 
> Если взломают по 80/443 порту, то до лампочки будет, за фаерволлом или за NAT-ом сидит сервак...

Так это если взломают. Ясно же, что речь идет не о 80/443, которые будем считать (теоретически) невзламываемым, а о других каких-то уязвимостях, в которых не силен, потому и возникли вопросы.


> Концепция защищенных локалок с шлюзами, на которых происходит вся безопасность, уже серьезно  устарела.

Вот как?? Это очень серьезное заявление!!! Оно меня чрезвычайно заинтриговало! А можно об этом поподробнее?

То-то я удивлялся, чего это все время ломают пентагоновские серваки, которые наверняка находятся за шлюзами во внутренней сетке :-)


Ответить | Правка | Наверх | Cообщить модератору

13. "Где надежнее защита веб-сервера?"  +/
Сообщение от Аноним (14), 09-Ноя-20, 23:16 
>А можно об этом поподробнее?

Не собираюсь развлекать самодовольного ламера.

>Ясно же, что речь идет не о 80/443, которые будем считать (теоретически) невзламываемым
>невзламываемым

Чушь собачья.

Ответить | Правка | Наверх | Cообщить модератору

15. "Где надежнее защита веб-сервера?"  –1 +/
Сообщение от Аноним (0), 10-Ноя-20, 00:44 
> Не собираюсь развлекать самодовольного ламера.

Потому что то, о чем ты ляпул, обычный вброс дилетанта, не имеющий никакого отношения к реальности.

> Чушь собачья.

Потому что ты читать не умеешь.  А если читаешь, то не понимаешь, о чем там написано.


Ответить | Правка | Наверх | Cообщить модератору

16. "Где надежнее защита веб-сервера?"  +1 +/
Сообщение от ACCA (ok), 10-Ноя-20, 05:24 
У тебя каша в голове.

Вот смотри - беру я древнюю версию Apache с кучей дыр и сажаю на "белом" IP. Конфигурирую его на отдачу static и больше ничего. Можно ли его взломать? Это уж вряд ли - там нет никаких ресурсов, чтобы ими воспользоваться.

Теперь я беру последнюю версию HAProxy, высаживаю его на AWS VPC, оттуда новомоднейший WireGuard тащит трафик из локалки, где вообще все внешние порты закрыты. В локалке работает какая-нибудь новомодная хня вроде Express JS с новомодным фреймворком. В котором есть какой-то баг.

И меня ломанули через HTTP. При полном попустительстве HAProxy, AWS VPC, WireGuard и проч. Потому, что ломали на 7 уровне OSI.

Ответить | Правка | Наверх | Cообщить модератору

17. "Где надежнее защита веб-сервера?"  +/
Сообщение от Аноним (0), 10-Ноя-20, 18:12 
> У тебя каша в голове.

Сказали бы проще: размещение сервера сетке за шлюзом даже со всякими в этом шлюзе видами защит не повышает взломоустойчивость сервера- верно ли я понял?

Ответить | Правка | Наверх | Cообщить модератору

20. "Где надежнее защита веб-сервера?"  +/
Сообщение от Licha Morada (ok), 11-Ноя-20, 22:09 
> размещение сервера сетке за шлюзом даже со всякими в
> этом шлюзе видами защит не повышает взломоустойчивость сервера
> верно ли я понял?

Да, и нет.

1. Повышает, но не настолько чтобы на этом можно было остановиться и считать что сервер защищён.
Древний и дырявый Apache существует не в вакууме, а скорее всего на древней и дырявой ОС. ACCA упростил пример, и негласно предположил что аккуратный админ не только сконфигурировал Apache на отдачу статичного контента, но и прикрыл ВСЕ остальные сервисы, которые могут быть уязвимы. А если админ не такой аккуратный, или требования не позволили окуклить сервер, то в локалке ему всё таки было бы лучше чем в Интернете.

2. Зависит от серера. Если сервис который общается с миром дыряв, то сколько его в локалку не прячь, поломают. Пример, опять таки, тебе привели замечательный.

От себя добавлю, что так бывает и без экзотики вроде Express JS. При мне ставили энтерпразнейший WebSphere в локалку, и высунули одним портом в инет через NAT. Через месяц до него кто-то добрался, и на нас свалились ЧУЖИЕ безопасники, по поводу "чего это ваш сервер наши хосты через VPN сканирует". Было нервно и стыдно.
Если бы админ немного подумал, то выставил бы сервис через обратный прокси, а не через NAT. И не весь сервер включая админку, а только приложение которое должно было быть доступно.
А если бы это передали моей тогдашней команде, то вообще ничего не выставляли бы, а сделали бы VPN тем кому надо было на этот сервер через VPN лазить, т.к. в Интернете той стрёмной хрени делать было совсем нечего.

Не грешите, и не грешимы будете.

Ответить | Правка | Наверх | Cообщить модератору

22. "Где надежнее защита веб-сервера?"  +/
Сообщение от ACCA (ok), 19-Ноя-20, 09:18 
> Древний и дырявый Apache существует не в вакууме, а скорее всего на
> древней и дырявой ОС. ACCA упростил пример, и негласно предположил что

Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я вылез на DSL и меня ломанули через BIND. Что они получили? Засадили мне исходники трояна на C. Обнаружили, что у меня нет make, нет gcc, нет памяти и нет дискового пространства. Система загружена с floppy 2.88 в read-only.

Приходи, кто хочешь, бери, что хочешь. Ну, из того, что есть. Покушали? По камерам.

Ответить | Правка | Наверх | Cообщить модератору

23. "Где надежнее защита веб-сервера?"  +/
Сообщение от Licha Morada (ok), 19-Ноя-20, 22:54 

> Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я
> вылез на DSL и меня ломанули через BIND. Что они получили?

Легко отделался.
В 2000 году ресус "белый IP", может быть, представлял мало интереса. А в 2020 это устройство сочли бы не слишком типичным девайсом IoT и взяли бы себе в ботнет.

> нет make, нет gcc, нет памяти и нет дискового пространства.
> Система загружена с floppy 2.88 в read-only.

Маргинальный кейс.
Сегодня древняя дырявая ОС зачастую идёт с каким-нибудь засранным легаси сервером, где и make, и gcc, и Гном с Google Earth, а его никто не хочет трогать т.к. "работает" и вообще как бы чего не вышло. Для общего случая, неинтересность или нехватка ресусов это не защита. "Кабана съест, и про муху скажет - тоже мясо".

Ответить | Правка | Наверх | Cообщить модератору

21. "Где надежнее защита веб-сервера?"  +/
Сообщение от Павел Отредиезemail (?), 15-Ноя-20, 15:23 
Располагать сервер за натом нормально. Ненормально надеяться только на защиту периметра. Свой файервол должен быть и у сервера.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру