Erhöhung Sicherheit - Reverse Proxy

[lenny]

Moin,

auch wenn es nicht primär um die OPN geht, mit welchen Einstellungen des HAproxys erhöht man die Sicherheit, wenn man seinen Webserver im Internet anbietet?
Stumpf den HAproxy einrichten wird nicht die Lösung sein, denke ich.
Dennoch würde ich gerne auf eine eigene DMZ verzichten wollen.

[fabian]

Dafür ist das Plugin nicht da, WAF und ähnliche Funktionalitäten sind im nginx plugin.

[banym]

Die Diskussion würde mich auch interessieren, evlt. geben ja noch ein paar mehr Leute ihren Senf dazu.

Meine Meinung:

DMZ ist dennoch unverzichtbar. Wenn eine Applikation aus dem Netz erreichbar ist, dann sollte der Server am besten in einem eigenen Netz ohne Zugriff auf interne andere Netze stehen.

WAF kann auch nur bei bekannte Angriffszenarien helfen. Hast du Lücken in der Applikation muss es genügend Interesse geben die Lücke auch für die WAF erkennbar zu machen. Wenn du eigene Anwendungen verwendest oder es sonst keinen Interessiert hast du nur gering erhöhte Sicherheit nur weil du eine WAF verwendest. Wird die Applikation dann gehackt, ist dein ganzes Netzwerk unter Umständen schon bei einer doofen Lücke kompromitiert.

Das Zwiebelkonzept hier die Dienste noch in einer DMZ stehen zu haben, gibt zumindest noch die Chance auf schnellere Erkennung und Abwehr für das interne Netzwerk dahinter.

Mit einem strengen Regelwerk von DMZ zu anderne Netzen mit Logging, IDS und Monitoring wäre zumindest eine Chance auf die Erkennung von anomalien in der DMZ einfach umzusetzen.

Wie schon geschrieben, andere Meinungen interessieren mich zu dem Thema sehr.

[fabian]

Die WAF im nginx plugin hat 2 Basen:

1: libinjection sucht nach XSS und SQL injection - das ist auch nicht konfigurierbar mit Ausnahme des Blocking-Scores

2: Regeln für Angriffsmuster werden verwendet um genetisch (zum Beispiel SQL Fragmente) zu suchen. Für spezielle Technologien und Anwendungen kann man natürlich genaueres Verhalten erwarten und ist daher genauer. Diese Richtlinien kann man auch von Hand pflegen aber zu Beginn kann man auch die Anbieterempfehlungen importieren.

Die WAF fängt garantiert nicht alles ab, aber sie ist bei manchen Applikationen notwendig, weil die sicherheitsrelevanten Bugs nicht geschlossen werden können weil es zum Beispiel ein kommerzielles Produkt handelt, welches keinen Support mehr hat (zum Beispiel weil der Hersteller pleite ist) aber von dem deine Firma abhängig ist, weil es irgendein SCADA System ist, für das du keinen Ersatz hast.

[hsiewert]

Ich kann mich hier nur anschliessen, eine (oder mehr) DMZ(en) sind wichtig.
Um so mehr Hürden für einen Angreiffer eingebaut werden um so besser ist es.
Sollte ein Server in der DMZ kompromittiert werden stehst man noch nicht ganz ohne Hosen da, zumal
der "Angriff" nicht unbedingt von draussen kommt.

Im SoHo-Umfeld kann man überlegen, ob eine DMZ Sinn macht, sicherer ist es.

[lenny]

Hab ich tatsächlich was losgetreten mit dem Thread, schön

An sich denke ich auch, dass eine DMZ deutlich sicherer ist. Dann ist jedoch die Frage, ob man nur den Webserver in der DMZ betreibt und die DB Anbindung ins LAN erlaubt oder alles auf dem DMZ Server betreibt.
Letztlich würde WAF Ressourcen deutlich einsparen.