REST API Server im Netz nach außen verfügbar machen

Mitglied: wieoderwas

wieoderwas (Level 1) - Jetzt verbinden

25.11.2020, aktualisiert 10:03 Uhr, 831 Aufrufe, 5 Kommentare

Hallo zusammen,

ich bräuchte mal eure Meinung bzw. Unterstützung bei einem Szenario.

Das Unternehmen bekommt eine neue Webseite und in dieser Webseite ist ein Webshop integriert der über eine REST-API Schnittstelle Daten aus dem ERP beziehen soll.

Dieser API Server ist bei uns im Netz als VM installiert. Nun soll es so sein, dass der Webshop auf den API Server zugreifen soll.

Ich habe den API Server als Objekt auf der Firewall in einem eigenen Subnetz angelegt.

Meine Überlegung wäre nun diesen in eine DMZ zu setzen und dann nur den Zugriff von extern zu diesem REST-API Server zu gestatten.
Über Firewallregeln würde ich dann noch die Kommunikation zwischen ERP System und REST-API beschränken.

Soweit meine Idee.

Es handelt sich um eine LANCOM Firewall GPA 300
Mitglied: schleeke
25.11.2020 um 10:04 Uhr
Moin,

ich würde mich bei der Kommunikationseinschränkung nicht nur auf die F/W verlassen und im Backend CORS und CRSF aktivieren/implementieren, so dass nur der Shop Anfragen an die API senden darf...

VG,
schleeke
Bitte warten ..
Mitglied: wieoderwas
25.11.2020 um 10:23 Uhr
Vielen Dank für deine Rückmeldung. Ehrlich gesagt kenn ich mich damit nicht aus. Wenn man sich dazu ein paar Artikel durchliest wird davon aber immer abgeraten. Ich kann mir darüber aber natürlich nicht wirklich eine Meinung bilden, da ich mich damit noch nicht tiefgründiger beschäftigt habe.

https://www.securai.de/veroeffentlichungen/blog/was-ist-cors-und-welche- ...

"Da die Applikation aber zusätzlich so offen im Bezug auf Cross Origin Requests war, konnte mit einem einfachen JavaScript Code ein erfolgreicher CSRF-Angriff auf die REST API über die Web-Applikation durchgeführt werden.

Grundsätzlich ist zu empfehlen, CORS nur zu implementieren, wenn es absolut notwendig ist und dann so restriktiv wie möglich."
Bitte warten ..
Mitglied: LordGurke
25.11.2020 um 11:10 Uhr
Wenn ich das richtig verstehe, kommen die API-Amfragen allesamt vom Backend des Webshops an die API, nicht vom Nutzer.
Dann ist CORS ohne Funktion und würde keinen Mehrwert bieten.
In dem Fall reicht es aus, den Zugriff auf die IP oder das Subnetz des Backends zu beschränken und ordentliches TLS zu machen.
Bitte warten ..
Mitglied: wieoderwas
25.11.2020, aktualisiert um 11:56 Uhr
Folgende Aussage des Herstellers:

"Die Rest API ist nun bei XXX im Netzwerk aufgesetzt. Um XXX diese auch verfügbar zu machen, müsste der Webserver nach Außen geöffnet werden. Wir empfehlen dazu den Einsatz eines zusätzlichen Proxyservers, da der API-Server direkten Zugriff auf die Datenbank hat"

Ich verstehe es so, dass der Webshop von außen auf die Rest API zugreifen soll und dann Daten aus der Datenbank in den Webshop hochlädt.

Somit bin ich eigentlich der Meinung, dass meine Idee schon die richtige ist!?

API Server in ein eigenes Subnetz / DMZ setzen. Die Zugriffe von extern auf diesen Server von nur dieser einen externen IP zulassen und dann mittels Firewall Regeln den Zugriff von dem API Server auf die Datenbank über gewisse Ports zulassen.

Oder bin ich hier komplett auf dem Holzweg?
Bitte warten ..
Mitglied: Dani
25.11.2020 um 21:11 Uhr
Moin,
API Server in ein eigenes Subnetz / DMZ setzen.
wenn die DMZ richtig entworfen und entsprechend gepflegt ist, muss es doch kein separates Subnetz sein. Denn normalweise sind gerade dort die Firewalls der Server so eng wie möglich abgesteckt. So dass der Aufruf der API theoretisch gar nicht möglch ist.

Die Zugriffe von extern auf diesen Server von nur dieser einen externen IP zulassen
Korrekt. Am Besten ist es, wenn dein Projekt/Applikation einen dedizierten Server hat und somit die öffentliche IP-Adresse ausschließlich nur du nutzt.

ann mittels Firewall Regeln den Zugriff von dem API Server auf die Datenbank über gewisse Ports zulassen.
Korrekt.


Gruß,
Dani
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerke
Heimnetzwerk für mobiles Arbeiten
Matthias182Vor 1 TagFrageNetzwerke14 Kommentare

Hallo zusammen, Die Corona Pandemie treibt viele Veränderungen, so auch bei uns. Seit Wochen arbeiten meine Frau und ich wieder von zu Hause. Und ...

Firewall
Pfsense plus für Geschäftskunden
Looser27Vor 1 TagInformationFirewall13 Kommentare

Netgate wird in Zukunft die Open Source Firewall pfSense hauptsächlich als kommerzielle Version unter dem Namen pfSense Plus vermarkten. Die "Community Version" wird weiter ...

TK-Netze & Geräte
Hybrid-Telefon für Betrieb an ISDN- sowie VoIP-Anschluss
Datax87Vor 1 TagFrageTK-Netze & Geräte30 Kommentare

Hallo, ich habe eine Frage zu einer geplanten TK-Anlagen-Umstellung. An der betreffenden ISDN-TK-Anlage sind zurzeit 6 ISDN-Telefone angeschlossen. Der dazugehörige Telefon-/Internetanschluss ist zurzeit ein ...

Router & Routing
Wie DMZ ohne doppeltes NAT am VF-Kabel-Internetzugang realisieren?
OldermanVor 1 TagFrageRouter & Routing24 Kommentare

Hallo und guten Tag allerseits! Ich habe mich nach einiger Zeit des Lesens der aufschlussreichen und wertvollen Beiträge hier zum Thema echtes DMZ mit ...

Batch & Shell
Benutzeranmeldung mit Einschränkung
gelöst FreeBSDVor 1 TagFrageBatch & Shell8 Kommentare

Hallo zusammen, ich habe da ein kleines Problemchen und zwar versuche ich mich im PowerShell einzulernen, habe da eine kleine Aufgabe bekommen, dennoch krieg ...

Webentwicklung
Webseite LAMP auf USB-Stick mit Minimalsystem?
mirmichVor 15 StundenFrageWebentwicklung11 Kommentare

Hallo, eine Webseite soll "archiviert" aber lokal lauffähig bleiben. Die "neue Webseite" läuft auf einer aktuellen PHP Version - die "alte Webseite" auf einer ...

DSL, VDSL
VDSL Controller bei C886VA und C896VA einmalig für acht Sekunden UP
gelöst santonioVor 1 TagFrageDSL, VDSL9 Kommentare

Hallo, das Thema Cisco und VDSL wurde ja bereits umfangreich in zahlreichen Posts diskutiert. Ich bin diese auch durchgegangen, komme aber dennoch nicht weiter ...

Backup
Backupmöglichkeit Teamviewer
greenhorn1Vor 9 StundenFrageBackup7 Kommentare

Hallo, ich habe bei meiner Teamviewer Lizenz die Möglichkeit ein Backup des PC´s durchzuführen. Leider funktioniert das nicht! Nach Rückfrage an Teamviewer erhielt ich ...