10
Portforwarding HTTP - Sicherheitsrisiko?
Hallo zusammen,
ich habe eine allgemeine Frage zur IT-Sicherheit bzgl. Webservern und der Weiterleitung von Port 80/HTTP.
Um kurz die Situation zu schildern: Ich habe eine Linux-Maschine mit Apache-Webserver. Hier läuft außerdem der Certbot, der das SSL-Zertifikat regelmäßig per Cronjob erneuert. Für die Validierung des SSL-Zertifikats wird leider zwingend Port 80 benötigt.
Mein Webserver ist nur über 443 erreichbar - sprich auch Aufrufe per HTTP werden automatisch auf HTTPS umgeleitet. Ist es in diesem Szenario ein vermeidbares Sicherheitsrisiko, Port 80 dauerhaft neben 443 an den Apache weiterzuleiten? Oder sollte man dieses Portforwarding in meinem konkreten Fall immer nur dann aktivieren, wenn eine Zertifikats-Erneuerung ansteht?
Vielen Dank
ich habe eine allgemeine Frage zur IT-Sicherheit bzgl. Webservern und der Weiterleitung von Port 80/HTTP.
Um kurz die Situation zu schildern: Ich habe eine Linux-Maschine mit Apache-Webserver. Hier läuft außerdem der Certbot, der das SSL-Zertifikat regelmäßig per Cronjob erneuert. Für die Validierung des SSL-Zertifikats wird leider zwingend Port 80 benötigt.
Mein Webserver ist nur über 443 erreichbar - sprich auch Aufrufe per HTTP werden automatisch auf HTTPS umgeleitet. Ist es in diesem Szenario ein vermeidbares Sicherheitsrisiko, Port 80 dauerhaft neben 443 an den Apache weiterzuleiten? Oder sollte man dieses Portforwarding in meinem konkreten Fall immer nur dann aktivieren, wenn eine Zertifikats-Erneuerung ansteht?
Vielen Dank
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666203
Url: https://administrator.de/contentid/666203
Printed on: April 24, 2024 at 02:04 o'clock
10 Comments
Latest comment
Läuft der Apache in einer DMZ oder im LAN?
Wenn der in der DMZ steckt, ist das unproblematisch. Wenn der im LAN läuft, solltest Du Dir Gedanken darüber machen, den in eine DMZ zu stecken.
lks
Wenn der in der DMZ steckt, ist das unproblematisch. Wenn der im LAN läuft, solltest Du Dir Gedanken darüber machen, den in eine DMZ zu stecken.
lks
LAN, gibt keine DMZ. Gedanken machen weshalb? Würde die Hintergründe gerne nachvollziehen.
Also die Hintergrunde zum Möglichen Sicherheitsrisiko von Port 80 in meinem genannten Szenario - nicht über die DMZ, da sind mir die Vorteile durchaus geläufig
Zitat von @Philzip:
LAN, gibt keine DMZ. Gedanken machen weshalb? Würde die Hintergründe gerne nachvollziehen.
LAN, gibt keine DMZ. Gedanken machen weshalb? Würde die Hintergründe gerne nachvollziehen.
Ob Du die "Fremdem" per http oder per https in Dein Netz läßt ist unerheblich. Allein daß Du sie durch ein forwarding reinläßt ist nicht sehr weise.
lks
Moin,
wenn dud generell kein http willst, dann binde doch einfach den Port 80 im apache gar nicht und lass certbot mit --standalone laufen...
lg,
Slainte
wenn dud generell kein http willst, dann binde doch einfach den Port 80 im apache gar nicht und lass certbot mit --standalone laufen...
lg,
Slainte
Interessant, das kannte ich noch nicht. Werde ich mir definitiv anschauen.
Hallo,
der Sicherheitsunterschied liegt daran, dass der Server grundsätzlich http annimmt.
Wenn ein vhosts oder eine Anwendung dies nun nicht korrekt auf https umleitet bleibt eine Verbindung unverschlüsselt.
Welche Auswirkungen das auf Dich hat, musst Du selber einschätzen.
Stefan
der Sicherheitsunterschied liegt daran, dass der Server grundsätzlich http annimmt.
Wenn ein vhosts oder eine Anwendung dies nun nicht korrekt auf https umleitet bleibt eine Verbindung unverschlüsselt.
Welche Auswirkungen das auf Dich hat, musst Du selber einschätzen.
Stefan
Das ist mir klar - Wenn aber sichergestellt ist, dass dies nicht der Fall ist, sollten doch etwaige Sicherheitsfragen hinfällig sein. Oder liege ich da falsch?
Thema ist technisch erledigt, frage nur noch aus Interesse.
Thema ist technisch erledigt, frage nur noch aus Interesse.
Zitat von @Philzip:
Das ist mir klar - Wenn aber sichergestellt ist, dass dies nicht der Fall ist, sollten doch etwaige Sicherheitsfragen hinfällig sein. Oder liege ich da falsch?
Korrekt. Der Server macht technisch keinen Unterschied zwischen http und https.Das ist mir klar - Wenn aber sichergestellt ist, dass dies nicht der Fall ist, sollten doch etwaige Sicherheitsfragen hinfällig sein. Oder liege ich da falsch?
Bei https läuft quasi ein https offloader intern und es wird ein Flag gesetzt "kam per https auf 443 rein".
Stefan
Die Sicherheit hängt alleine vom Webserver und seinen Modulen ab. Hat er eine Sicherheitslücke, die sich ausnutzen lässt, so kann ein Angreifer über den Webserver auf den Wirt. Es spielt keine Rolle, ob du von 80 oder 443 kommst. Da du die Sicherheit nie gewährleisten kannst, hängt man eine exponierte Maschine sinnigerweise alleine in eine DMZ. Wenn es knallt, dann dort und deine anderen Netze bleiben unberührt.
Deine Sorge sollte also weniger sein, ob 80 oder 443 von außen erreichbar sind, sondern, was der Angreifer für Möglichkeiten hat, wenn er auf dem Webserver erst mal drauf ist. Je weniger Möglichkeiten, desto besser.
Deine Sorge sollte also weniger sein, ob 80 oder 443 von außen erreichbar sind, sondern, was der Angreifer für Möglichkeiten hat, wenn er auf dem Webserver erst mal drauf ist. Je weniger Möglichkeiten, desto besser.
