ardorun666
Goto Top

Website durch Weiterleitung absichern

Hallöchen zusammen!
Ich hoffe ihr hattet frohe Festtage face-smile

Ich stehe privat vor folgendem Problem:
Mittlerweile nutze ich zahlreiche Dienste auf Linuxservern, die via Webbrowser erreichbar sind.
Da ich wenig Lust habe mir von allen die URL immer zu merken, habe ich mir eine kleine Seite gebastelt, auf der alle schön sortiert sind und mittels Button in einem neuen Tab geöffnet werden. Der Einfachheit nenne ich diese hier nun apps.test.de

Um die diversen Websites besser abzusichern, würde ich nun gerne folgendes einstellen:
Alle Seiten sollen ausschließlich in zwei Fällen erreichbar sein:

Fall 1: Aus meinem produktiv Netz zu Hause
Fall 2: Von überall aus dem Internet, aber aussschließlich nach Weiterleitung von apps.test.de aus.

Der erste Fall sollte für mich unproblematisch sein.
Beim zweiten Fall bin ich aktuell jedoch ratlos, nach welchen Schlagwörtern ich genau suchen muss, um eine brauchbare Anleitung oder wenigstens einen Denkanstoß zu bekommen.

Problematisch bei der Sache: die Webserver sind auf verschiedene Hostsysteme aufgeteilt. Teilweise intern bei mir im Netzwerk (überlege noch diese evtl. via DMZ freizugeben, oder Zugriff ausschließlich via VPN zu ermöglichen) und teilweise auf verschiedenen Cloudservern. Sonst wäre die Sache vermutlich relativ einfach mit einer internen Weiterleitung auf dem Server zu bewerkstelligen.

Hat jemand eine Idee, bzw. kann mich in die richtige Richtung lenken?
Vielen Dank!

P.S.
Eventuelle technische Fehler meinerseits gerne korrigieren.
Da meine Ausbildung noch nicht allzu lang her ist und diesen Bereich kaum abgedeckt hat, kann ich Fehler meinerseits nicht ausschließen, freue mich aber, wenn ich durch euch mehr lernen kann ;)

Content-ID: 22809775549

Url: https://administrator.de/forum/website-durch-weiterleitung-absichern-22809775549.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Vision2015
Vision2015 28.12.2023 um 13:59:43 Uhr
Goto Top
Moin...
mach es doch über ein VPN... dann bleibt alles zuhause, auch von unterwegs!

Frank
ardorun666
ardorun666 28.12.2023 um 14:11:45 Uhr
Goto Top
Zitat von @Vision2015:

Moin...
mach es doch über ein VPN... dann bleibt alles zuhause, auch von unterwegs!

Frank

Ganz so einfach mache ich es euch nicht :D
Die Dienste auf meinem Heimserver bei mir in der Wohnung, ausschließlich über VPN erreichbar zu machen, ist ja okay. Hatte ich ja selbst überlegt.

Die Dienste auf den Cloudservern jedoch benötige/möchte ich auch ohne VPN nutzen.
Diese apps.test.de wird mit fail2ban und 2FA abgesichert.
Alle danach folgenden Seiten sind weiterhin mit Anmeldedaten gesichert.
Dennoch möchte ich, dass diese nur nach Weiterleitung durch apps.test.de erreichbar sind.
10138557388
10138557388 28.12.2023 aktualisiert um 15:17:06 Uhr
Goto Top
Dennoch möchte ich, dass diese nur nach Weiterleitung durch apps.test.de erreichbar sind.
Das kannst du mit dem Referer Header auf den Seiten checken, dieser enthält bei einem Aufruf einer Seite die URL von dem der User auf die Zielseite gelangt ist. Es sollte aber klar sein das das keine Authentifizierung ist sondern nur Security by Obscurity weil sich dieser einfach fälschen lässt.

Das was du suchst kann ein Reverse-Proxy leisten, einmal am Reverse-Proxy authentifiziert kannst du beliebige Domains/Seiten über den Proxy an interne Systeme weiterleiten ohne diese direkt ans Internet hängen zu müssen.

pj
Cleanairs
Cleanairs 28.12.2023 um 15:15:54 Uhr
Goto Top
Moin.

Ein Reverse Proxy kann beide Fälle abdecken. Entweder per Cloud-Dienst wie Cloudflare oder Amazon CloudFront oder, wenn du die Reverse-Proxy-Lösung selbst implementieren möchtest, kannst du dies mit einem beliebigen Webserver tun, der Reverse-Proxy-Funktionen unterstützt. Beispiele hierfür sind Apache, Nginx und HAProxy.

Erstere Lösung ist schon einfacher und kostet bei Deinem Traffic vermutlich sehr wenig...
ardorun666
ardorun666 28.12.2023 um 15:16:44 Uhr
Goto Top
Zitat von @10138557388:

Den Referer Header auf den Seiten checken, dieser enthält bei einem Aufruf einer Seite die URL von dem der User auf die Zielseite gelangt ist. Es sollte aber klar sein das das keine Authentifizierung ist sondern nur Security by Obscurity.

Schaue ich mir mal an, danke!
Dass dies keine Authentifizierung darstellt ist mir klar.
Jede der Seiten wird letztendlich nochmal eine eigene Authentifizierung besitzen.
Dennoch finde ich den Aspekt gut, dass es "Angreifern" schwerer gemacht wird, überhaupt zur Authentifizierung zu gelangen face-smile

Das was du suchst ist ein Reverse-Proxy, einmal am Reverse-Proxy authentifiziert kannst du beliebige Domains/Seiten über den Proxy an interne Systeme weiterleiten.

Mir scheint, als müsste ich mich noch mehr mit Reverse Proxy beschäftigen.
Habe bislang schon mehrere im Einsatz, aber, dass man damit auch eine Authentifizierung regeln kann, war mir nicht bekannt.
Danke!
Dani
Dani 28.12.2023 um 16:01:41 Uhr
Goto Top
Moin,
Erstere Lösung ist schon einfacher und kostet bei Deinem Traffic vermutlich sehr wenig...
definiere einmal sehr wenig...

Habe bislang schon mehrere im Einsatz, aber, dass man damit auch eine Authentifizierung regeln kann, war mir nicht bekannt.
Welche Produkte nutzt du dafür bisher?


Gruß,
Dani
ardorun666
ardorun666 28.12.2023 um 16:08:11 Uhr
Goto Top
Zitat von @Dani:

Moin,
Erstere Lösung ist schon einfacher und kostet bei Deinem Traffic vermutlich sehr wenig...
definiere einmal sehr wenig...

Da dieses Zitat nicht von mir stammt, kann ich dir das nicht beantworten.
Generell kostet mich Traffic auf meinen Cloudservern aber nix und so viel Traffic entsteht bei mir auch nicht...
Sollte aus meiner Sicht irrelevant sein.

Habe bislang schon mehrere im Einsatz, aber, dass man damit auch eine Authentifizierung regeln kann, war mir nicht bekannt.
Welche Produkte nutzt du dafür bisher?

Was meinst du genau mit Produkten?
Als Reverse Proxy nutze ich sowohl nginx, als auch apache2.
Grundsätzlich sind bei mir, bis auf wenige Ausnahmen, alles Debian Systeme.

Bislang nutze ich allerdings keine für Authentifizierung oder anderes, sondern ausschließlich dafür um mehrere webserver unter verschiedenen subdomains auf der selben IP Adresse verfügbar zu machen