Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Erhöhung Sicherheit - Reverse Proxy
« previous
next »
Print
Pages: [
1
]
Author
Topic: Erhöhung Sicherheit - Reverse Proxy (Read 2177 times)
lenny
Full Member
Posts: 239
Karma: 5
Erhöhung Sicherheit - Reverse Proxy
«
on:
January 30, 2020, 10:25:22 am »
Moin,
auch wenn es nicht primär um die OPN geht, mit welchen Einstellungen des HAproxys erhöht man die Sicherheit, wenn man seinen Webserver im Internet anbietet?
Stumpf den HAproxy einrichten wird nicht die Lösung sein, denke ich.
Dennoch würde ich gerne auf eine eigene DMZ verzichten wollen.
Logged
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: Erhöhung Sicherheit - Reverse Proxy
«
Reply #1 on:
January 30, 2020, 12:49:45 pm »
Dafür ist das Plugin nicht da, WAF und ähnliche Funktionalitäten sind im nginx plugin.
Logged
banym
Sr. Member
Posts: 468
Karma: 31
Free Human Being, FreeBSD, Linux and Mac nerd
Re: Erhöhung Sicherheit - Reverse Proxy
«
Reply #2 on:
January 30, 2020, 04:38:19 pm »
Die Diskussion würde mich auch interessieren, evlt. geben ja noch ein paar mehr Leute ihren Senf dazu.
Meine Meinung:
DMZ ist dennoch unverzichtbar. Wenn eine Applikation aus dem Netz erreichbar ist, dann sollte der Server am besten in einem eigenen Netz ohne Zugriff auf interne andere Netze stehen.
WAF kann auch nur bei bekannte Angriffszenarien helfen. Hast du Lücken in der Applikation muss es genügend Interesse geben die Lücke auch für die WAF erkennbar zu machen. Wenn du eigene Anwendungen verwendest oder es sonst keinen Interessiert hast du nur gering erhöhte Sicherheit nur weil du eine WAF verwendest. Wird die Applikation dann gehackt, ist dein ganzes Netzwerk unter Umständen schon bei einer doofen Lücke kompromitiert.
Das Zwiebelkonzept hier die Dienste noch in einer DMZ stehen zu haben, gibt zumindest noch die Chance auf schnellere Erkennung und Abwehr für das interne Netzwerk dahinter.
Mit einem strengen Regelwerk von DMZ zu anderne Netzen mit Logging, IDS und Monitoring wäre zumindest eine Chance auf die Erkennung von anomalien in der DMZ einfach umzusetzen.
Wie schon geschrieben, andere Meinungen interessieren mich zu dem Thema sehr.
Logged
Twitter: banym
Mastodon: banym@bsd.network
Blog:
https://www.banym.de
fabian
Hero Member
Posts: 2769
Karma: 200
OPNsense Contributor (Language, VPN, Proxy, etc.)
Re: Erhöhung Sicherheit - Reverse Proxy
«
Reply #3 on:
January 30, 2020, 04:53:06 pm »
Die WAF im nginx plugin hat 2 Basen:
1: libinjection sucht nach XSS und SQL injection - das ist auch nicht konfigurierbar mit Ausnahme des Blocking-Scores
2: Regeln für Angriffsmuster werden verwendet um genetisch (zum Beispiel SQL Fragmente) zu suchen. Für spezielle Technologien und Anwendungen kann man natürlich genaueres Verhalten erwarten und ist daher genauer. Diese Richtlinien kann man auch von Hand pflegen aber zu Beginn kann man auch die Anbieterempfehlungen importieren.
Die WAF fängt garantiert nicht alles ab, aber sie ist bei manchen Applikationen notwendig, weil die sicherheitsrelevanten Bugs nicht geschlossen werden können weil es zum Beispiel ein kommerzielles Produkt handelt, welches keinen Support mehr hat (zum Beispiel weil der Hersteller pleite ist) aber von dem deine Firma abhängig ist, weil es irgendein SCADA System ist, für das du keinen Ersatz hast.
Logged
hsiewert
Jr. Member
Posts: 69
Karma: 3
Re: Erhöhung Sicherheit - Reverse Proxy
«
Reply #4 on:
January 31, 2020, 10:15:51 am »
Ich kann mich hier nur anschliessen, eine (oder mehr) DMZ(en) sind wichtig.
Um so mehr Hürden für einen Angreiffer eingebaut werden um so besser ist es.
Sollte ein Server in der DMZ kompromittiert werden stehst man noch nicht ganz ohne Hosen da, zumal
der "Angriff" nicht unbedingt von draussen kommt.
Im SoHo-Umfeld kann man überlegen, ob eine DMZ Sinn macht, sicherer ist es.
Logged
lenny
Full Member
Posts: 239
Karma: 5
Re: Erhöhung Sicherheit - Reverse Proxy
«
Reply #5 on:
January 31, 2020, 10:25:06 am »
Hab ich tatsächlich was losgetreten mit dem Thread, schön
An sich denke ich auch, dass eine DMZ deutlich sicherer ist. Dann ist jedoch die Frage, ob man nur den Webserver in der DMZ betreibt und die DB Anbindung ins LAN erlaubt oder alles auf dem DMZ Server betreibt.
Letztlich würde WAF Ressourcen deutlich einsparen.
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Erhöhung Sicherheit - Reverse Proxy