PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheitsgrundgedanke bei Webserver


hadez16
2009-03-16, 10:14:16
Hi Folks

Folgendes:

Ich habe im internen LAN einen Webserver stehn (Apache/XAMPP).
Der Webserver soll vom Internet erreichbar sein.

Nun soll die Firewall aber nicht so konfiguriert werden, dass Zugriffe auf Port 80 zu diesem Server geleitet werden (weil über Port 80 die Firmenhomepage läuft) sondern Zugriffe auf Port X > 1023 (noch nicht festgelegt) sollen zu diesem einen Webserver durchgereicht werden.

Alles kein Problem.

Nun meine Überlegung...macht es Sicherheitstechnisch einen Unterschied oder einen Sinn, dass der interne Webserver/Apache NICHT auf seinem Port 80 lauscht?

Würde es Sinn machen den Apachen bspw. auf Port 8080 lauschen zu lassen d.h. Anfrage von Extern (port von mir aus 6758) ---> Intern:8080 ??

Wie arbeitet ein Angreifer, der Kerl setzt einen Portscanner ein und scannt nach offenen Ports. Ein gewöhnlicher Portscanner erkennt die Dienste aber doch nicht anhand der tatsächlich laufenden Diensten hinter dem Port sondern lediglich an den Dienstzuordnungen der Well Known Ports sprich "OHO ein offener Port 80, das ist ein Webserver weil Port 80 standard ist für HTTP"

Dann würde es doch keinen Sinn machen den Apachen anders lauschen zu lassen oder? Weil er bei einem offenen Port 6758 eh nicht wüsste was dahinter steckt....ODER?

Für Anregungen wäre ich sehr dankbar

kthxbye

Gast
2009-03-16, 10:34:49
Ein gewöhnlicher Portscanner erkennt die Dienste aber doch nicht anhand der tatsächlich laufenden Diensten hinter dem Port sondern lediglich an den Dienstzuordnungen der Well Known Ports sprich "OHO ein offener Port 80, das ist ein Webserver weil Port 80 standard ist für HTTP"


Naja also nmap der wohl bekannteste Portscanner hat auch eine versions erkennung (http://nmap.org/book/man-version-detection.html)
Damit ist es egal auf welchem Port dein Apache läuft, nmap erkennt ihn.

nn23
2009-03-16, 10:36:40
Wie arbeitet ein Angreifer, der Kerl setzt einen Portscanner ein und scannt nach offenen Ports. Ein gewöhnlicher Portscanner erkennt die Dienste aber doch nicht anhand der tatsächlich laufenden Diensten hinter dem Port sondern lediglich an den Dienstzuordnungen der Well Known Ports sprich "OHO ein offener Port 80, das ist ein Webserver weil Port 80 standard ist für HTTP"



Joa


Dann würde es doch keinen Sinn machen den Apachen anders lauschen zu lassen oder? Weil er bei einem offenen Port 6758 eh nicht wüsste was dahinter steckt....ODER?
kthxbye

Natürlich macht es Sinn, den WebServer anders lauschen zu lassen, da der Angreifer eigentlich nur den 80er Port scannt. Der wird nicht jeden Server auf alle Ports untersuchen, dauert viel zu lange.
Lässt du den jetzt auf Port 12005 laufen kriegt das fast keiner mit.
(weil keiner da sucht)

Bleibt das Problem mit eurer Firmenseite auf Port 80, die ist natürlich leicht zu entdecken...

hadez16
2009-03-16, 10:42:00
Bleibt das Problem mit eurer Firmenseite auf Port 80, die ist natürlich leicht zu entdecken...

mmmhhhhh...ja wir wollen es den Kunden ja auch einfach machen darauf zuzugreifen aus dem Internet, mh? :D

Der Angreifer arbeitet ja im INTERNET und nicht im LAN. Da kriegt er ja dann nur raus, dann auf Port 80 die Firmenpage läuft...das ist ja egal.

Wenn er jetzt irgendeinen Port scannt im WAN, erkennt er ja nicht direkt, dass hinterm Port XYZY ein Apache arbeitet...außer eben man hat so einen Dienstorientierten Portscanner der wirklich SCHAUT, "was ist dahinter los"...letztendlich wärs ja dann egal auf welchem Port der Webserver IM LAN (!!) lauscht

oder mein Hirn kriegt die Kurve grad nicht...

nn23
2009-03-16, 10:57:21
Ein Scanner sender immer eine Anfrage auf Port X - Antwort Ja/Nein
bei Ja ->, Antwort analysieren und schauen was für wein Dienst das ist.

bei Nein -> ignorieren und weiter scannen.

Und der externe guckt immer auf den Port im Router, welcher dann weitergeleitet wird. ja.

D. h. intern kann der Server auf port 80 laufen. Wenn der Router von 12005 auf 80 Nattet ist der Server von aussen auch nur auf 12005 erreichbar und nicht auf 80.
Daher - wenn ihr keine Angreifer von innen erwartet - ist es egal worauf der läuft.
Wichtig ist nur, auf welchem Port der von außen zu erreichen ist...

€:
jetzt hab ich glaube ich verstanden was du meinst^^
Ja, es ist egal auf welchem Port der Server intern läuft - solange ihr keinen Angriff von innen befürchtet