Perché la porta di inoltro 80 è più insicura rispetto alle altre?

8

Sto facendo uno stage in una piccola azienda e ho bisogno di configurare la rete. Hanno un router Cisco. Non sono riuscito a trovare i log per l'accesso, quindi ho chiamato il loro provider internet. Apparentemente hanno configurato il router Cisco e non consentono ai clienti di configurarlo. Solo loro possono configurare il router quando richiesto.

Ho bisogno di configurare un server a cui accedere da internet, così ho chiesto loro di port forwarding (in una prima volta, prima di implementare una sorta di DMZ in seguito). So che il port forwarding è piuttosto insicuro ma temporalmente, ho chiesto loro di inoltrare qualche porta al mio server. Hanno accettato tutte le mie richieste, tranne il porto 80, che mi hanno detto che era davvero insicuro. Perché la porta di inoltro 80 sarebbe più insicura delle altre porte?

    
posta Xavier59 16.11.2017 - 11:00
fonte

2 risposte

5

La porta di inoltro 80 non è più insicura di qualsiasi altra porta. In effetti, il port forwarding non è intrinsecamente insicuro. La preoccupazione per la sicurezza è che consente ai servizi normalmente protetti da una sorta di firewall di essere accessibili pubblicamente. Se il servizio esposto presenta vulnerabilità o errate configurazioni, può e, spesso, verrà rapidamente sfruttato dagli autori di attacchi.

Vedendo come una combinazione di altre porte era consentita (in particolare 21 - FTP e 8080 - HTTP alt / proxy, che in genere non usano TLS e potrebbero essere considerate insicure), sembra che le preoccupazioni non siano realmente orientate alla sicurezza e sono fallaci al meglio. Forse c'è qualche ragione di business che non vogliono esporre la porta 80, ma non c'è un valido motivo tecnico che possa vedere per disabilitare la porta 80 mentre consente altre porte comuni.

    
risposta data 25.12.2017 - 19:53
fonte
4

La porta 80 non è più insicura di per sé rispetto a qualsiasi altra porta. Semplicemente è la porta HTTP comune quindi ha rischi molto elevati di essere scansionata, e le applicazioni dietro di essa dovrebbero essere applicazioni web.

Cioè gli amministratori della sicurezza hanno cominciato a vedere luci rosse lampeggianti. È possibile creare app Web sicure, ma si tratta di un lavoro reale, che di solito comporta proxy inversi, server con privilegi di amministratore e una strong revisione della configurazione. Quando lo chiedi per i test, e allo stesso tempo ti spieghi che non hai impostato una DMZ, che pensi di avere un server web in esecuzione nella tua macchina normale, che probabilmente ha pieno accesso alla rete interna e molto strumenti installati. Se si esegue un vecchio script PHP, è probabile che i difetti nello script delle librerie aprano una violazione che un utente malintenzionato potrebbe utilizzare per raggiungere qualsiasi altra macchina della rete.

La porta 21 d'altra parte è per FTP. FTP ha una reputazione molto scarsa perché spesso perde le credenziali client passando la password in chiaro. Ma dal punto di vista del server, è un protocollo molto semplice e le implementazioni attuali sono state ampiamente riviste per decenni e considerate sicure sul punto di vista del server .

Per farla breve, HTTPS è considerato molto sicuro per il client e HTTP è accettabile, ma entrambi richiedono una solida conoscenza del server di sicurezza mentre l'FTP è un incubo per la sicurezza del client ma è innocuo per il server. E il compito dell'amministratore del proxy è proteggere il lato server ...

    
risposta data 26.12.2017 - 11:10
fonte

Leggi altre domande sui tag