8080/8443 numaralı bağlantı noktaları üzerinden HTTP / HTTPS sunmak güvenli midir?

9

Bir altyapı sınırlaması nedeniyle, dünyaya bir HTTP hizmeti sunmak için önerilen çözümlerden biri, 8080 ve 8443 numaralı bağlantı noktaları üzerinden bunu sunmaktır.

Benim endişem, bazı kullanıcıların standart bağlantı noktalarında çalışmadığı için bu hizmetlere erişemeyebilmeleri ve içeriğin (örneğin) kurumsal ağ politikasının bir parçası olarak filtrelenmesi olabilir.

Öyleyse ... İnternet'ten bir kullanıcının bu hizmetlere erişememesi ne kadar olasıdır?

web-server  http  https  port 
müsrif
kaynak
adresi 80 ve 443 numaralı bağlantı noktalarına proxy yapamaz mısınız?
Froggiz
1
Azure Cloud hizmetlerinde Web ve Çalışan rollerini kullanıyoruz. Azure VM'lerine geçmediğimiz sürece, farklı bir makineye ikinci bir VIP'yi işaret etmek mümkün değil. Diğer seçenekler, ön uç web sunucusunun tamamını bir proxy ile değiştirmeyi içerir, ancak açıkçası farklı bağlantı noktaları kullanmak bu sorunu daha az masrafla çözecektir.
harcama
Froggiz
2
Burada eksik görünen bir endişeye değinmek istiyorum. Bağlantı noktalarını kullanamayacağınız 80veya 443paylaşılan bir sunucuda çalıştığınızı gösterebileceği gerçeği . Eğer öyleyse, sizin çalışmayı durdurduysa başka bir kullanıcının bu portlara bağlanma olasılığı vardır . Bu kullanıcı daha sonra web sitenizi taklit edebilir (ancak SSL bunu azaltmaya yardımcı olabilir).
Nathan Osman
@NathanOsman, sanırım kullanıcı erişimi ve kullanıcı güvenlik duvarları konusunda endişeli.
Pacerier

Yanıtlar:

7

Şirket ağları genellikle aşağıdaki gibi kurallara göre varsayılan olarak ayarlanır:

deny all; allow 80; allow 443; allow 21; allow 22; etc...

65,535 kullanılabilir bağlantı noktasının% 99'unu açıkça reddetmek yerine bu şekilde yapılandırmak çok daha kolaydır.

Bununla birlikte, ağ sınırlamaları nedeniyle standart olmayan bir bağlantı noktası kullanan müşteriye dönük bir portalı devraldım; NAT ayrıntılarını bilmiyorum. Her neyse, bu, kullanıcılarımızın / ziyaretçilerin yaklaşık% 50'sinin siteye erişmesini imkansız hale getirdi ve bu sorunu bildirmek için bizi ne zaman arayacaklarsa, izin verme kuralını uygulamak için mevcut olmayan BT'leriyle koordinasyon yapmamız gerekirdi.

Altyapı sınırlamalarınızın ayrıntılarını bilmiyorum ama 80/443'te başka bir şeyin çalıştığını hayal ediyorum

Bu durumda, tek çekiminiz dahili bir proxy kullanmak veya anahtarı, istekleri uygun şekilde yönlendirebilen daha gelişmiş NAT özelliklerine sahip bir şeye yükseltmek olabilir.

TL; DR

Halihazırda standart bir bağlantı noktası olan halka açık hizmetler için standart olmayan bir bağlantı noktası kullanmayın.

MonkeyZeus
kaynak
1
"65,535 kullanılabilir bağlantı noktasının% 99'unu açıkça reddetmek yerine bu şekilde yapılandırmak çok daha kolaydır." - limanların% 99'unu açıkça inkar etseler bile aynı etkiyi yaratacaktır.
user253751
Diğer bağlantı noktalarında sunulan hizmetlere proxy istekleri göndermek için ana web sunucusunu kullandık. Diğer hizmetlerin ağ sınırlarına ulaşmalarından ziyade ek işlem gücü için ölçeklendirilmesi gerektiğinden ve istek ve yanıtların boyutu nispeten düşük olduğundan, bu düzenleme, proxy'nin maliyetini kolayca emen ana yük dengeli web sitesi ile çok güzel çalışır.
harcama
@spender İstemciye dönük standart dışı bağlantı noktaları kullanmadan çalışabildiğinizi duyduğuma sevindim :)
MonkeyZeus
6

Özellikle kurumsal ağlarda veya halka açık kablosuz ağlarda engellenmesi çok muhtemeldir. Normal bir ev internet bağlantısında daha az olasıdır.

İş ağımda kesinlikle engellenecekti.

Buna ek olarak, insanlar sitenize ulaşmak için bağlantı noktası numarasını yazmayı hatırlamak zorunda kalacaklar, bu da uğraşmak istemediğiniz ekstra bir baş ağrısıdır. İç veya özel siteler için bu büyük bir sorun değil, ancak bu genel halk için ise standart bağlantı noktalarını kullanarak çok daha fazla başarı elde edeceksiniz.

hibe
kaynak
Söz konusu hizmetler hiçbir zaman tarayıcıya yazılmaz ... bunun yerine normal bağlantı noktaları üzerinden sunulan kaynaklardan bahsedilir. Ancak, yaklaşımımın güvenilirliğiyle ilgili kaygılarım haklı görünüyor.
harcama
neden engelleneceğini açıklayabilir misiniz? Ben hatta 800 google SEO araçları ve referans ile sorunsuz uzun süre bağlantı noktası 800 kullanılır ..
Froggiz
1
İşlerimden biri, shoutcast akışlarını endeksleyen bir web sitesi çalıştırıyor ve şirket ağlarının arkasındaki bazı kullanıcıların standart olmayan bağlantı noktaları üzerinden çalışan akışları dinleyememeleri yaygın bir şikayet. Ancak, 8080 ve 8443 biraz özel gibi görünüyor , ama muhtemelen yeterince özel değil. 800'de bir hizmetin çalıştırılmasının özellikle riskli olduğunu söyleyebilirim çünkü engellenme olasılığı daha yüksek olan "tanınmış" bağlantı noktalarının altına girer.
harcama
Sunucunuzu 8080/8443 numaralı bağlantı noktasında ve güvenlik duvarında 80/443 - 8080/8443 numaralı NAT / ileri bağlantı noktalarında çalışır durumda bırakmak kolay bir çözümdür.
SnakeDoc
1
@SnakeDoc Kabul ediyorum, cevabımda proxy seçeneğini
kapsadım
2

Tarayıcınızı tıklatmak zor değil http://example.com:8080/index.html , ancak şirket politikalarından bahsettiğinizde, zor görünen standart dışı bağlantı noktalarını engelleyen.

Bir çeşit Yük dengeleme ayarınız varsa, uygulamalarınızı standart bir bağlantı noktasında çalışacak şekilde ayarlayabilir ve yük dengeleyici bağlantı noktasını dahili olarak tek bağlantı noktasına yönlendirebilirsiniz. Yük dengelemeniz olmasa bile, standart olmayan bir dahili bağlantı noktasına ileri doğru bağlantı yolu bulabileceğinize eminim.

Dahili olarak, kullanıcılar tek bir bağlantı noktasından erişebilir (engellenecek şirket politikanızın bir parçası değilse), harici olarak http://example.com adresini görürler .

Bunu yapmanın birçok yolu vardır, karşılaştığınız birlikte gösterim türlerine bağlı olarak biraz yaratıcı olmanız gerekir. Her zaman bir meydan okuma!

Brett Salmiery
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.