web-dev-qa-db-ja.com

転送ポート80が他のポートより安全でないのはなぜですか?

私は非常に小さな会社でインターンシップをやっていて、ネットワークを構成する必要があります。彼らはCiscoルータを持っています。ログインするためのログが見つからなかったため、インターネットプロバイダーに連絡しました。どうやら彼らはCiscoルーターを構成していて、顧客がそれを構成することを許可していません。求められたときにルーターのみを構成できます。

インターネットからアクセスするサーバーをセットアップする必要があるので、ポート転送について尋ねました(初めて、ある種のDMZ後で実装する前に)。ポート転送はかなり安全ではありませんが、一時的に、いくつかのポートをサーバーに転送するように依頼しました。彼らは、ポート80を除いて、すべてのリクエストを受け入れました。

8
Xavier59

転送ポート80は、他のどのポートよりも安全です。実際、ポート転送自体は本質的に安全ではありません。セキュリティ上の問題は、通常、ある種のファイアウォールの背後で保護されているサービスに公にアクセスできることです。公開されたサービスに脆弱性や設定ミスがあると、攻撃者によってすぐに悪用される可能性があります。

他のポートの混在がどのように許可されているか(特に21-FTPおよび8080-HTTP alt/proxy、通常TLSを使用せず、安全でないと見なされる可能性がある)を見ると、懸念事項は実際にはセキュリティ指向ではなく、せいぜい虚偽。おそらく、彼らがポート80を公開したくないビジネス上の理由があるかもしれませんが、他の一般的なポートを許可する一方でポート80を許可しないようにする有効な技術的理由はありません。

5
multithr3at3d

ポート80自体は、他のどのポートよりも安全ではありません。単にそれが一般的なHTTPポートであるため、スキャンされるリスクが非常に高く、その背後にあるアプリケーションはWebアプリケーションであると予想されます。

つまり、セキュリティ管理者は赤く点滅するライトを見始めました。安全なWebアプリを作成することは可能ですが、これは実際の作業であり、通常はリバースプロキシ、管理制限サーバー、および強力な構成レビューを伴います。テストを要求し、同時にDMZを設定していないことを説明する場合、通常のマシンでWebサーバーが実行されていると考えてください。おそらく、内部ネットワークへのフルアクセスと多くのインストールされているツール。いくつかの古いPHP=スクリプトを実行すると、ライブラリのスクリプトの欠陥により、攻撃者がネットワークの他のマシンに到達するために使用できる違反が発生する可能性があります。

一方、ポート21はFTP用です。 FTPは、パスワードをクリアテキストで渡すことでclient資格情報を頻繁にリークするため、評判が非常に悪い。しかし、サーバーの観点から見ると、これは非常に単純なプロトコルであり、現在の実装は何十年もの間広くレビューされており、安全であると見なされていますサーバーの観点から

一言で言えば、HTTPSはクライアントにとって非常に安全で、HTTPは許容できると見なされますが、FTPはクライアントにとってセキュリティの悪夢ですが、サーバーにとっては無害ですが、どちらもサーバー側に強力なセキュリティ知識が必要です。そして、プロキシ管理者の仕事はサーバー側を保護することです...

4
Serge Ballesta