Portforwarding HTTP - Sicherheitsrisiko?
Hallo zusammen,
ich habe eine allgemeine Frage zur IT-Sicherheit bzgl. Webservern und der Weiterleitung von Port 80/HTTP.
Um kurz die Situation zu schildern: Ich habe eine Linux-Maschine mit Apache-Webserver. Hier läuft außerdem der Certbot, der das SSL-Zertifikat regelmäßig per Cronjob erneuert. Für die Validierung des SSL-Zertifikats wird leider zwingend Port 80 benötigt.
Mein Webserver ist nur über 443 erreichbar - sprich auch Aufrufe per HTTP werden automatisch auf HTTPS umgeleitet. Ist es in diesem Szenario ein vermeidbares Sicherheitsrisiko, Port 80 dauerhaft neben 443 an den Apache weiterzuleiten? Oder sollte man dieses Portforwarding in meinem konkreten Fall immer nur dann aktivieren, wenn eine Zertifikats-Erneuerung ansteht?
Vielen Dank
ich habe eine allgemeine Frage zur IT-Sicherheit bzgl. Webservern und der Weiterleitung von Port 80/HTTP.
Um kurz die Situation zu schildern: Ich habe eine Linux-Maschine mit Apache-Webserver. Hier läuft außerdem der Certbot, der das SSL-Zertifikat regelmäßig per Cronjob erneuert. Für die Validierung des SSL-Zertifikats wird leider zwingend Port 80 benötigt.
Mein Webserver ist nur über 443 erreichbar - sprich auch Aufrufe per HTTP werden automatisch auf HTTPS umgeleitet. Ist es in diesem Szenario ein vermeidbares Sicherheitsrisiko, Port 80 dauerhaft neben 443 an den Apache weiterzuleiten? Oder sollte man dieses Portforwarding in meinem konkreten Fall immer nur dann aktivieren, wenn eine Zertifikats-Erneuerung ansteht?
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666203
Url: https://administrator.de/contentid/666203
Ausgedruckt am: 05.11.2024 um 04:11 Uhr
10 Kommentare
Neuester Kommentar
Zitat von @Philzip:
LAN, gibt keine DMZ. Gedanken machen weshalb? Würde die Hintergründe gerne nachvollziehen.
LAN, gibt keine DMZ. Gedanken machen weshalb? Würde die Hintergründe gerne nachvollziehen.
Ob Du die "Fremdem" per http oder per https in Dein Netz läßt ist unerheblich. Allein daß Du sie durch ein forwarding reinläßt ist nicht sehr weise.
lks
Zitat von @Philzip:
Das ist mir klar - Wenn aber sichergestellt ist, dass dies nicht der Fall ist, sollten doch etwaige Sicherheitsfragen hinfällig sein. Oder liege ich da falsch?
Korrekt. Der Server macht technisch keinen Unterschied zwischen http und https.Das ist mir klar - Wenn aber sichergestellt ist, dass dies nicht der Fall ist, sollten doch etwaige Sicherheitsfragen hinfällig sein. Oder liege ich da falsch?
Bei https läuft quasi ein https offloader intern und es wird ein Flag gesetzt "kam per https auf 443 rein".
Stefan
Die Sicherheit hängt alleine vom Webserver und seinen Modulen ab. Hat er eine Sicherheitslücke, die sich ausnutzen lässt, so kann ein Angreifer über den Webserver auf den Wirt. Es spielt keine Rolle, ob du von 80 oder 443 kommst. Da du die Sicherheit nie gewährleisten kannst, hängt man eine exponierte Maschine sinnigerweise alleine in eine DMZ. Wenn es knallt, dann dort und deine anderen Netze bleiben unberührt.
Deine Sorge sollte also weniger sein, ob 80 oder 443 von außen erreichbar sind, sondern, was der Angreifer für Möglichkeiten hat, wenn er auf dem Webserver erst mal drauf ist. Je weniger Möglichkeiten, desto besser.
Deine Sorge sollte also weniger sein, ob 80 oder 443 von außen erreichbar sind, sondern, was der Angreifer für Möglichkeiten hat, wenn er auf dem Webserver erst mal drauf ist. Je weniger Möglichkeiten, desto besser.