Случайно возникла где дискуссия на тему: где надежнее защищен веб-сервер - в Интернете или в Локалке?Обычно веб-сервер выставляется прямо в Интернет по белому адресу, и тогда он подвержен всем видам атак на него.
Одной из защит веб-сервера от этих атак является файрволл операционной системы, которым закрываются неиспользуемые порты.Но также можно установить веб-сервер в локалке и давать к нему доступ из Интернета через NAT аппаратного роутера, которым тоже закрываются неспользуемые порты.
Раньше мне всегда казалось, что веб-сервер в локалке ^в принципе^ гораздо более надежно защищен от внешних посягательств и имеет более высокую взломоустойчивость.
Однако после возникшей дискуссии возникли сомнения, так ли это.Надеюсь, что знатоки по безопасности развеют эти сомнения.
PS. Разумееется, для корректности сравнения защищенности этих вариантов будем считать, что файрвол операционной системы и файрвол роутера одинаковы по своим защитным свойствам.
К вашему сведению - сервак в локалке с пробросом из-вне - угроза всей локалке.
Нормальные люди в таком случае делают DMZ и пихаюи сервак туда, откуда доступа к самой локалке нет.
В таком случаем, если впереди стоит актуальный WAF, например, то сервак более защищен, потому как городить всё это на самом серваке не комильфо.
Ну и по степени защищенности, с учетом использования всех возможностей:
1. сервак в DMZ
2. сервак с белым ip
3. сервак в локалке.Не стоит забывать о том, что сервак может иметь белый ip и быть за файволом.
> К вашему сведению - сервак в локалке с пробросом из-вне - угроза
> всей локалке.А если вся "локалка" состоит всего из этого одного веб-сервака? ;)
Я лишь пытаюсь подобрать для него наиболее безопасное место дя установки - то ли 85.85.85.85, то ли 192.168.1.85.
Надеюсь, вы поняли, что я имею в виду, так что давайте думать не о об угрозе локалки (которой по сути нет) а об угрозе самого веб-сервка и наиболее безопасном месте для него.Поэтому все остальное ниженаписанное вами, вероятно, было с учетом того, что локалка наполнена компьютерами, а поскольку она пуста, просьба переформуливать ваши советы с учетом этого факта.
а что тут перерформулировать то?
Я всё описал... исходя из вашей "локалки" и думайте что я написал.
А если вы "такой умный", то сразу бы писали что не локалка, а одинокая машина... что у меня указанно как DMZ.Вопросы надо правильно задавать, а не ёрничать в ответах.
Если бы у бабки был йух - сам знаешь кем бы она была.
Да кто тут ерничает? Я вижу лишь, что здесь огрызаются на ровном месте.Вопрос был задан правильно прямо - безопасность веб-сервака, и ничего больше.
Какого йуха вы полезли заботиться о самой локалке и несуществующих компьютерах в ней?
Вас об этом просили?
Вы же сами последней фразой расставили все точки над i - при одинаково настроенных фаерволах - т.е. при доступе только к 80/443 портам разницы никакой.
> Вы же сами последней фразой расставили все точки над i - при
> одинаково настроенных фаерволах - т.е. при доступе только к 80/443 портам
> разницы никакой.Да если бы я расставил все точки, а так увы, я лишь обозначил вопрос.
Ну да, доступ в обоих случаях останется по 80/443, и файеры одинаковые по свойствам, и на первый взгляд разницы действительно нет.Но все равно червячок сомнения остался. Чисто из интуиции кажется, что сервак в за NAT'ом все равно будет чувствовать себя защищеннее, потому что он не выставлен наружу в Инет, а спрятан в локалке.
Никаких пруфов у меня нет, чистая интуиция.
ИТ строится не на интуиции, а на четком понимании того, как все работает.
> ИТ строится не на интуиции, а на четком понимании того, как все
> работает.И что говорит ваше четкое понимание - что нет смысла прятать веб-сервер за NAT, пскольку это не прибавит ему защищенности?
Если да, в таком случае и DMZ тоже ее не улучшит, имхо.Жаль, если это все так и есть :-(
> И что говорит ваше четкое понимание - что нет смысла прятать веб-сервер
> за NAT, пскольку это не прибавит ему защищенности?
> Если да, в таком случае и DMZ тоже ее не улучшит, имхо.
> Жаль, если это все так и есть :-(Если взломают по 80/443 порту, то до лампочки будет, за фаерволлом или за NAT-ом сидит сервак...
> ИТ строится не на интуиции, а на четком понимании того, как все
> работает.В действительности все работает не так, как все это четко понимают айтишники. Иначе не было бы такой дисциплины, как секурити.
в папке /root
Если у вас под веб-сервером понимается апп-сервер, то без разницы. Атаковать будут не на уровне протокола, а на уровне приложения.В локалку имеет смысл убрать, если у вас винда вместо ОС - для защиты от червей.
В качестве общего правила - настраивайте любой сервер так, как если завтра будет пентест, по результатам которого вас уволят или наоборот, повысят. Концепция защищенных локалок с шлюзами, на которых происходит вся безопасность, уже серьезно устарела.
> Если взломают по 80/443 порту, то до лампочки будет, за фаерволлом или за NAT-ом сидит сервак...Так это если взломают. Ясно же, что речь идет не о 80/443, которые будем считать (теоретически) невзламываемым, а о других каких-то уязвимостях, в которых не силен, потому и возникли вопросы.
> Концепция защищенных локалок с шлюзами, на которых происходит вся безопасность, уже серьезно устарела.Вот как?? Это очень серьезное заявление!!! Оно меня чрезвычайно заинтриговало! А можно об этом поподробнее?
То-то я удивлялся, чего это все время ломают пентагоновские серваки, которые наверняка находятся за шлюзами во внутренней сетке :-)
>А можно об этом поподробнее?Не собираюсь развлекать самодовольного ламера.
>Ясно же, что речь идет не о 80/443, которые будем считать (теоретически) невзламываемым
>невзламываемымЧушь собачья.
> Не собираюсь развлекать самодовольного ламера.Потому что то, о чем ты ляпул, обычный вброс дилетанта, не имеющий никакого отношения к реальности.
> Чушь собачья.
Потому что ты читать не умеешь. А если читаешь, то не понимаешь, о чем там написано.
У тебя каша в голове.Вот смотри - беру я древнюю версию Apache с кучей дыр и сажаю на "белом" IP. Конфигурирую его на отдачу static и больше ничего. Можно ли его взломать? Это уж вряд ли - там нет никаких ресурсов, чтобы ими воспользоваться.
Теперь я беру последнюю версию HAProxy, высаживаю его на AWS VPC, оттуда новомоднейший WireGuard тащит трафик из локалки, где вообще все внешние порты закрыты. В локалке работает какая-нибудь новомодная хня вроде Express JS с новомодным фреймворком. В котором есть какой-то баг.
И меня ломанули через HTTP. При полном попустительстве HAProxy, AWS VPC, WireGuard и проч. Потому, что ломали на 7 уровне OSI.
> У тебя каша в голове.Сказали бы проще: размещение сервера сетке за шлюзом даже со всякими в этом шлюзе видами защит не повышает взломоустойчивость сервера- верно ли я понял?
> размещение сервера сетке за шлюзом даже со всякими в
> этом шлюзе видами защит не повышает взломоустойчивость сервера
> верно ли я понял?Да, и нет.
1. Повышает, но не настолько чтобы на этом можно было остановиться и считать что сервер защищён.
Древний и дырявый Apache существует не в вакууме, а скорее всего на древней и дырявой ОС. ACCA упростил пример, и негласно предположил что аккуратный админ не только сконфигурировал Apache на отдачу статичного контента, но и прикрыл ВСЕ остальные сервисы, которые могут быть уязвимы. А если админ не такой аккуратный, или требования не позволили окуклить сервер, то в локалке ему всё таки было бы лучше чем в Интернете.2. Зависит от серера. Если сервис который общается с миром дыряв, то сколько его в локалку не прячь, поломают. Пример, опять таки, тебе привели замечательный.
От себя добавлю, что так бывает и без экзотики вроде Express JS. При мне ставили энтерпразнейший WebSphere в локалку, и высунули одним портом в инет через NAT. Через месяц до него кто-то добрался, и на нас свалились ЧУЖИЕ безопасники, по поводу "чего это ваш сервер наши хосты через VPN сканирует". Было нервно и стыдно.
Если бы админ немного подумал, то выставил бы сервис через обратный прокси, а не через NAT. И не весь сервер включая админку, а только приложение которое должно было быть доступно.
А если бы это передали моей тогдашней команде, то вообще ничего не выставляли бы, а сделали бы VPN тем кому надо было на этот сервер через VPN лазить, т.к. в Интернете той стрёмной хрени делать было совсем нечего.Не грешите, и не грешимы будете.
> Древний и дырявый Apache существует не в вакууме, а скорее всего на
> древней и дырявой ОС. ACCA упростил пример, и негласно предположил чтоЯ тебе возражу про "древнюю и дырявую ОС". В 2000 году я вылез на DSL и меня ломанули через BIND. Что они получили? Засадили мне исходники трояна на C. Обнаружили, что у меня нет make, нет gcc, нет памяти и нет дискового пространства. Система загружена с floppy 2.88 в read-only.
Приходи, кто хочешь, бери, что хочешь. Ну, из того, что есть. Покушали? По камерам.
> Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я
> вылез на DSL и меня ломанули через BIND. Что они получили?Легко отделался.
В 2000 году ресус "белый IP", может быть, представлял мало интереса. А в 2020 это устройство сочли бы не слишком типичным девайсом IoT и взяли бы себе в ботнет.> нет make, нет gcc, нет памяти и нет дискового пространства.
> Система загружена с floppy 2.88 в read-only.Маргинальный кейс.
Сегодня древняя дырявая ОС зачастую идёт с каким-нибудь засранным легаси сервером, где и make, и gcc, и Гном с Google Earth, а его никто не хочет трогать т.к. "работает" и вообще как бы чего не вышло. Для общего случая, неинтересность или нехватка ресусов это не защита. "Кабана съест, и про муху скажет - тоже мясо".
Располагать сервер за натом нормально. Ненормально надеяться только на защиту периметра. Свой файервол должен быть и у сервера.