philzip
Goto Top

Portforwarding HTTP - Sicherheitsrisiko?

Hallo zusammen,

ich habe eine allgemeine Frage zur IT-Sicherheit bzgl. Webservern und der Weiterleitung von Port 80/HTTP.

Um kurz die Situation zu schildern: Ich habe eine Linux-Maschine mit Apache-Webserver. Hier läuft außerdem der Certbot, der das SSL-Zertifikat regelmäßig per Cronjob erneuert. Für die Validierung des SSL-Zertifikats wird leider zwingend Port 80 benötigt.

Mein Webserver ist nur über 443 erreichbar - sprich auch Aufrufe per HTTP werden automatisch auf HTTPS umgeleitet. Ist es in diesem Szenario ein vermeidbares Sicherheitsrisiko, Port 80 dauerhaft neben 443 an den Apache weiterzuleiten? Oder sollte man dieses Portforwarding in meinem konkreten Fall immer nur dann aktivieren, wenn eine Zertifikats-Erneuerung ansteht?

Vielen Dank face-smile

Content-ID: 666203

Url: https://administrator.de/contentid/666203

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 28.04.2021 um 14:30:59 Uhr
Goto Top
Läuft der Apache in einer DMZ oder im LAN?

Wenn der in der DMZ steckt, ist das unproblematisch. Wenn der im LAN läuft, solltest Du Dir Gedanken darüber machen, den in eine DMZ zu stecken.

lks
Philzip
Philzip 28.04.2021 um 14:34:05 Uhr
Goto Top
LAN, gibt keine DMZ. Gedanken machen weshalb? Würde die Hintergründe gerne nachvollziehen.
Philzip
Philzip 28.04.2021 um 14:35:34 Uhr
Goto Top
Also die Hintergrunde zum Möglichen Sicherheitsrisiko von Port 80 in meinem genannten Szenario - nicht über die DMZ, da sind mir die Vorteile durchaus geläufig face-smile
Lochkartenstanzer
Lochkartenstanzer 28.04.2021 aktualisiert um 14:41:22 Uhr
Goto Top
Zitat von @Philzip:

LAN, gibt keine DMZ. Gedanken machen weshalb? Würde die Hintergründe gerne nachvollziehen.


Ob Du die "Fremdem" per http oder per https in Dein Netz läßt ist unerheblich. Allein daß Du sie durch ein forwarding reinläßt ist nicht sehr weise.

lks
SlainteMhath
SlainteMhath 28.04.2021 um 14:43:51 Uhr
Goto Top
Moin,

wenn dud generell kein http willst, dann binde doch einfach den Port 80 im apache gar nicht und lass certbot mit --standalone laufen...

lg,
Slainte
Philzip
Philzip 28.04.2021 um 14:48:31 Uhr
Goto Top
Interessant, das kannte ich noch nicht. Werde ich mir definitiv anschauen.
StefanKittel
StefanKittel 28.04.2021 um 16:50:56 Uhr
Goto Top
Hallo,

der Sicherheitsunterschied liegt daran, dass der Server grundsätzlich http annimmt.
Wenn ein vhosts oder eine Anwendung dies nun nicht korrekt auf https umleitet bleibt eine Verbindung unverschlüsselt.
Welche Auswirkungen das auf Dich hat, musst Du selber einschätzen.

Stefan
Philzip
Philzip 28.04.2021 um 17:45:56 Uhr
Goto Top
Das ist mir klar - Wenn aber sichergestellt ist, dass dies nicht der Fall ist, sollten doch etwaige Sicherheitsfragen hinfällig sein. Oder liege ich da falsch?

Thema ist technisch erledigt, frage nur noch aus Interesse.
StefanKittel
StefanKittel 28.04.2021 um 17:51:28 Uhr
Goto Top
Zitat von @Philzip:
Das ist mir klar - Wenn aber sichergestellt ist, dass dies nicht der Fall ist, sollten doch etwaige Sicherheitsfragen hinfällig sein. Oder liege ich da falsch?
Korrekt. Der Server macht technisch keinen Unterschied zwischen http und https.

Bei https läuft quasi ein https offloader intern und es wird ein Flag gesetzt "kam per https auf 443 rein".

Stefan
it-fraggle
it-fraggle 28.04.2021 um 20:56:30 Uhr
Goto Top
Die Sicherheit hängt alleine vom Webserver und seinen Modulen ab. Hat er eine Sicherheitslücke, die sich ausnutzen lässt, so kann ein Angreifer über den Webserver auf den Wirt. Es spielt keine Rolle, ob du von 80 oder 443 kommst. Da du die Sicherheit nie gewährleisten kannst, hängt man eine exponierte Maschine sinnigerweise alleine in eine DMZ. Wenn es knallt, dann dort und deine anderen Netze bleiben unberührt.

Deine Sorge sollte also weniger sein, ob 80 oder 443 von außen erreichbar sind, sondern, was der Angreifer für Möglichkeiten hat, wenn er auf dem Webserver erst mal drauf ist. Je weniger Möglichkeiten, desto besser.