Unverschlüsselte Verbindung zwischen Reverse-Proxy und Webserver
Hallo zusammen,
ich hätte da folgendes Szenario:
Hier soll es erstmal nicht um die fehlende Segmentierung gehen. Dass das ein massives Risiko ist, ist uns bewusst und das Thema soll auch angegangen werden. Mir geht es mir um die Absicherung der Webanwendungen.
Ich würde zur einfacheren Verwaltung gern einen NGinX Reverse-Proxy nutzen. Ich hatte mir das wie folgt vorgestellt:
Hätten wir eine anständige Segmentierung, würde ich den Reverse-Proxy einfach als Edge-Server nutzen und hätte keine Schmerzen damit, dass der Datenverkehr innerhalb des Serversegments unverschlüsselt abläuft. Aber das ist bei uns ja nicht so. Soll bedeuten: Welche Hebel und Möglichkeiten hat ein Angreifer, Zugangsdaten aus dem Verkehr zwischen Webserver und Reverse-Proxy auszulesen und wie hoch ist das Risiko einzuschätzen? Sollte ich lieber gleich jeden Server gesondert absichern und den Plan verwerfen?
Vielen Dank schon einmal für Hilfe und Ideen.
Viele Grüße
Daniel
ich hätte da folgendes Szenario:
- Hausnetz besteht aus mehreren Subnetzen, die leider nicht durch eine FW voneinander getrennt sind. Routing übernehmen die Switche.
- Es gibt ein Client-Segment und ein Server-Segment, die jedoch wie oben geschrieben so gut wie nicht getrennt sind.
- Wir haben in unserem internen Netz einige Webanwendungen, die bisher nie SSL-verschlüsselt wurden, diese sollen nun abgesichert werden.
Hier soll es erstmal nicht um die fehlende Segmentierung gehen. Dass das ein massives Risiko ist, ist uns bewusst und das Thema soll auch angegangen werden. Mir geht es mir um die Absicherung der Webanwendungen.
Ich würde zur einfacheren Verwaltung gern einen NGinX Reverse-Proxy nutzen. Ich hatte mir das wie folgt vorgestellt:
- Auf dem NGinX sollen alle verschlüsselten Verbindungen terminieren.
- Die Webserver werden so konfiguriert, dass sie nur noch mit dem Reverse-Proxy sprechen dürfen und keine anderen Anfragen mehr beantworten.
- Die Verbindung zwischen Webserver und Reverse-Proxy ist unverschlüsselt.
Hätten wir eine anständige Segmentierung, würde ich den Reverse-Proxy einfach als Edge-Server nutzen und hätte keine Schmerzen damit, dass der Datenverkehr innerhalb des Serversegments unverschlüsselt abläuft. Aber das ist bei uns ja nicht so. Soll bedeuten: Welche Hebel und Möglichkeiten hat ein Angreifer, Zugangsdaten aus dem Verkehr zwischen Webserver und Reverse-Proxy auszulesen und wie hoch ist das Risiko einzuschätzen? Sollte ich lieber gleich jeden Server gesondert absichern und den Plan verwerfen?
Vielen Dank schon einmal für Hilfe und Ideen.
Viele Grüße
Daniel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 715484634
Url: https://administrator.de/forum/unverschluesselte-verbindung-zwischen-reverse-proxy-und-webserver-715484634.html
Ausgedruckt am: 27.12.2024 um 05:12 Uhr
13 Kommentare
Neuester Kommentar
Sofern jemand den Netzwerkverkehr mitlesen kann, kann der alles mitlesen.
Das erreicht man bei Switchen z.B. durch MAC-Flooding, sodass der zum Hub wird, da die MAC-Tabelle für die Ports voll sind.
Spricht etwas dagegen, den Verkehr zw. Proxy und Server zu verschlüsseln?
Ggf. auch hierfür einfach ein eigenes, abgekapseltes Netz nehmen, entweder per VLAN oder mit physikalischem Kabel.
Man kann lokal auf den Servern z.B. iptables mit ufw einrichten, bei Windows gibt es auch eine Firewall.
Das kann man vereinfachen, indem man den eigentlichen Webserver auf einen anderen Port legt und dann dem Reverse-Proxy sagt, dass er nur damit kommunizieren darf.
Dem Webserver sagt man das gleiche, nur umgekehrt.
Bedenke aber, dass du weiterhin per SPI-FW ausgehende Verbindungen für Updates erlauben musst.
Auch ICMP(v6) darf nicht vergessen werden.
Das erreicht man bei Switchen z.B. durch MAC-Flooding, sodass der zum Hub wird, da die MAC-Tabelle für die Ports voll sind.
Spricht etwas dagegen, den Verkehr zw. Proxy und Server zu verschlüsseln?
Ggf. auch hierfür einfach ein eigenes, abgekapseltes Netz nehmen, entweder per VLAN oder mit physikalischem Kabel.
Man kann lokal auf den Servern z.B. iptables mit ufw einrichten, bei Windows gibt es auch eine Firewall.
Das kann man vereinfachen, indem man den eigentlichen Webserver auf einen anderen Port legt und dann dem Reverse-Proxy sagt, dass er nur damit kommunizieren darf.
Dem Webserver sagt man das gleiche, nur umgekehrt.
Bedenke aber, dass du weiterhin per SPI-FW ausgehende Verbindungen für Updates erlauben musst.
Auch ICMP(v6) darf nicht vergessen werden.