Mi chiedevo se avrei dovuto aprire la porta 80 sul mio router e inoltrarla alla porta 80 sul mio server web Apache avrebbe creato un compromesso di sicurezza per il resto della mia rete. Stavo leggendo che le porte aperte non stanno compromettendo finché non c'è un servizio in esecuzione sulla porta (come Apache). Comunque la mia domanda rimane, può un hacker fare molto con un server web. Il server Web può essere violato e creare altri problemi di sicurezza nella mia rete?
Il tuo server Apache potrebbe ancora venire compromesso e l'hacker può espandere l'accesso al resto della rete ruotando o facendo il tunneling del traffico, quindi crea rischi per la sicurezza. A seconda di come (quale vulnerabilità è stata sfruttata e in che modo) il server Apache è stato compromesso, l'hacker può fare una vasta gamma di cose dal catastrofico al minore.
Ma tutto ciò presuppone che esista un servizio (Apache o altro) in esecuzione e in ascolto su una determinata porta esposta a Internet. Se imposti l'inoltro ma non ci sono servizi in esecuzione su quella porta su una macchina, non c'è nulla da compromettere tranne forse il DoS.
Se è necessario aprire la porta 80 in pubblico, esistono varie tecniche per attenuare alcuni rischi come l'utilizzo di DMZ, l'uso di una porta personalizzata non comune, l'esecuzione di proxy, ecc.
L'inoltro di connessioni esterne ad alcuni servizi all'interno della rete interna non è un compromesso di sicurezza da solo, ma potrebbe risultare in uno. Mentre il port forwarding consentirà solo l'accesso al servizio specifico dall'esterno, non è raro che un'applicazione web (che è ora disponibile dall'esterno) possa essere violato e che l'utente malintenzionato possa accedere al sistema su cui è in esecuzione l'applicazione . E a volte non è nemmeno un problema dell'applicazione web, ma il server web stesso consente il codice remoto esecuzione già.
Se l'attaccante ha compromesso il sistema del server web in questo modo, ora può fare anche peggio: poiché questo sistema compromesso si trova sulla rete interna, l'attaccante può usarlo come punto di partenza per compromettere il resto della rete.
Quindi se vuoi esporre i server a Internet non devi mai inoltrare le connessioni esterne all'interno, ma inserire il server in un DMZ , ovvero una rete separata che ha visibilità limitata da Internet ma non può accedere alla rete interna. In questo modo il server Web potrebbe essere ancora compromesso, ma diventa molto più difficile estendere un attacco riuscito alla rete interna.
Il fatto che sia un compromesso dipende da quale servizio è in esecuzione dietro la porta. Il servizio web è destinato ad essere pubblicamente accessibile? Se No, allora è un compromesso. Se Sì, allora il servizio esegue un software aggiornato senza vulnerabilità note? Se sì, allora è un compromesso. Solo tu puoi decidere se qualcosa è un rischio per te.
Leggi altre domande sui tag port-forwarding