https://www.opennet.me/openforum/vsluhforumID10/5561.html Случайно возникла где дискуссия на тему: где надежнее защищен веб-сервер - в [b]Интернете[/b] или в [b]Локалке[/b]?<br><br>Обычно веб-сервер выставляется прямо в Интернет по белому адресу, и тогда он подвержен всем видам атак на него.<br>Одной из защит веб-сервера от этих атак является файрволл операционной системы, которым закрываются неиспользуемые порты.<br><br>Но также можно установить веб-сервер в локалке и давать к нему доступ из Интернета через NAT аппаратного роутера, которым тоже закрываются неспользуемые порты.<br><br>Раньше мне всегда казалось, что веб-сервер в локалке ^в принципе^ гораздо более надежно защищен от внешних посягательств и имеет более высокую взломоустойчивость.<br>Однако после возникшей дискуссии возникли сомнения, так ли это.<br><br>Надеюсь, что знатоки по безопасности развеют эти сомнения.<br><br><br>PS. Разумееется, для корректности сравнения защищенности этих вариантов будем считать, что файрвол операционной системы и файрвол роутера одинаковы по своим защитным свойствам.<br> https://www.opennet.me/openforum/vsluhforumID10/5561.html#23 Thu, 19 Nov 2020 19:54:03 GMT <br>&gt; Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я <br>&gt; вылез на DSL и меня ломанули через BIND. Что они получили? <br><br>Легко отделался.<br>В 2000 году ресус "белый IP", может быть, представлял мало интереса. А в 2020 это устройство сочли бы не слишком типичным девайсом IoT и взяли бы себе в ботнет.<br><br>&gt; нет make, нет gcc, нет памяти и нет дискового пространства.<br>&gt; Система загружена с floppy 2.88 в read-only.<br><br>Маргинальный кейс.<br>Сегодня древняя дырявая ОС зачастую идёт с каким-нибудь засранным легаси сервером, где и make, и gcc, и Гном с Google Earth, а его никто не хочет трогать т.к. "работает" и вообще как бы чего не вышло. Для общего случая, неинтересность или нехватка ресусов это не защита. "Кабана съест, и про муху скажет - тоже мясо".<br> https://www.opennet.me/openforum/vsluhforumID10/5561.html#22 Thu, 19 Nov 2020 06:18:58 GMT &gt; Древний и дырявый Apache существует не в вакууме, а скорее всего на <br>&gt; древней и дырявой ОС. ACCA упростил пример, и негласно предположил что <br><br>Я тебе возражу про "древнюю и дырявую ОС". В 2000 году я вылез на DSL и меня ломанули через BIND. Что они получили? Засадили мне исходники трояна на C. Обнаружили, что у меня нет make, нет gcc, нет памяти и нет дискового пространства. Система загружена с floppy 2.88 в read-only.<br><br>Приходи, кто хочешь, бери, что хочешь. Ну, из того, что есть. Покушали? По камерам.<br> https://www.opennet.me/openforum/vsluhforumID10/5561.html#21 Sun, 15 Nov 2020 12:23:07 GMT Располагать сервер за натом нормально. Ненормально надеяться только на защиту периметра. Свой файервол должен быть и у сервера. <br><br><br><br> https://www.opennet.me/openforum/vsluhforumID10/5561.html#20 Wed, 11 Nov 2020 19:09:42 GMT &gt; размещение сервера сетке за шлюзом даже со всякими в <br>&gt; этом шлюзе видами защит не повышает взломоустойчивость сервера<br>&gt; верно ли я понял?<br><br>Да, и нет.<br><br>1. Повышает, но не настолько чтобы на этом можно было остановиться и считать что сервер защищён.<br>Древний и дырявый Apache существует не в вакууме, а скорее всего на древней и дырявой ОС. ACCA упростил пример, и негласно предположил что аккуратный админ не только сконфигурировал Apache на отдачу статичного контента, но и прикрыл ВСЕ остальные сервисы, которые могут быть уязвимы. А если админ не такой аккуратный, или требования не позволили окуклить сервер, то в локалке ему всё таки было бы лучше чем в Интернете.<br><br>2. Зависит от серера. Если сервис который общается с миром дыряв, то сколько его в локалку не прячь, поломают. Пример, опять таки, тебе привели замечательный.<br><br>От себя добавлю, что так бывает и без экзотики вроде Express JS. При мне ставили энтерпразнейший WebSphere в локалку, и высунули одним портом в инет через NAT. Через месяц до него кт https://www.opennet.me/openforum/vsluhforumID10/5561.html#17 Tue, 10 Nov 2020 15:12:55 GMT &gt; У тебя каша в голове.<br><br>Сказали бы проще: размещение сервера сетке за шлюзом даже со всякими в этом шлюзе видами защит не повышает взломоустойчивость сервера- верно ли я понял?<br> https://www.opennet.me/openforum/vsluhforumID10/5561.html#16 Tue, 10 Nov 2020 02:24:59 GMT У тебя каша в голове.<br><br>Вот смотри - беру я древнюю версию Apache с кучей дыр и сажаю на "белом" IP. Конфигурирую его на отдачу static и больше ничего. Можно ли его взломать? Это уж вряд ли - там нет никаких ресурсов, чтобы ими воспользоваться.<br><br>Теперь я беру последнюю версию HAProxy, высаживаю его на AWS VPC, оттуда новомоднейший WireGuard тащит трафик из локалки, где вообще все внешние порты закрыты. В локалке работает какая-нибудь новомодная хня вроде Express JS с новомодным фреймворком. В котором есть какой-то баг.<br><br>И меня ломанули через HTTP. При полном попустительстве HAProxy, AWS VPC, WireGuard и проч. Потому, что ломали на 7 уровне OSI.<br> https://www.opennet.me/openforum/vsluhforumID10/5561.html#15 Mon, 09 Nov 2020 21:44:33 GMT &gt; Не собираюсь развлекать самодовольного ламера.<br><br>Потому что то, о чем ты ляпул, обычный вброс дилетанта, не имеющий никакого отношения к реальности.<br><br>&gt; Чушь собачья.<br><br>Потому что ты читать не умеешь. А если читаешь, то не понимаешь, о чем там написано.<br><br><br> https://www.opennet.me/openforum/vsluhforumID10/5561.html#14 Mon, 09 Nov 2020 20:17:44 GMT &gt; ИТ строится не на интуиции, а на четком понимании того, как все <br>&gt; работает.<br><br>В действительности все работает не так, как все это четко понимают айтишники. Иначе не было бы такой дисциплины, как секурити.<br> https://www.opennet.me/openforum/vsluhforumID10/5561.html#13 Mon, 09 Nov 2020 20:16:08 GMT &gt;А можно об этом поподробнее?<br><br>Не собираюсь развлекать самодовольного ламера.<br><br>&gt;Ясно же, что речь идет не о 80/443, которые будем считать (теоретически) невзламываемым<br>&gt;невзламываемым<br><br>Чушь собачья.<br>