Viac ako jeden web server za verejnou IP

Re:Viac ako jeden web server za verejnou IP
« Odpověď #15 kdy: 18. 03. 2021, 18:29:45 »
No, už se vaří lepší náhrada s avizovanou podporou významnějších prohlížečů (Chrom*, Firefox, Apple): https://tools.ietf.org/id/draft-ietf-dnsop-svcb-https-02.html

To je hezky, a jak si s tim poradi firewally?

S používáním nestandardních portů?  Zatím z té mnohaměsíční diskuse okolo daného draftu nevypadá, že by zrovna tu změnu portů chtěl někdo výrazně využívat, takže tady nečekám moc rozdíl oproti současnému stavu.  Objevil se i názor tuhle část vyhodit, ale teď už nejspíš zůstane.  (už se dost odkláníme od původního tématu)


Jose D

  • *****
  • 671
    • Zobrazit profil
Re:Viac ako jeden web server za verejnou IP
« Odpověď #16 kdy: 18. 03. 2021, 19:37:29 »
To je hezky, a jak si s tim poradi firewally?
Tak port 80 a 443 mejsou nějaká magická nezměnitelná konstanta, pokud budeš poskytovat web na jiném než defaultním portu, tak si ten port budeš muset samozřejmě otevřít..

Re:Viac ako jeden web server za verejnou IP
« Odpověď #17 kdy: 18. 03. 2021, 21:38:33 »
Tak port 80 a 443 mejsou nějaká magická nezměnitelná konstanta, pokud budeš poskytovat web na jiném než defaultním portu, tak si ten port budeš muset samozřejmě otevřít..
Samozřejmě nebyl myšlen firewall na straně serveru, ale na straně klienta. A tam by ve spoustě sítí samozřejmě problém byl.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #18 kdy: 18. 03. 2021, 22:08:03 »
Když já nikdy nepochopil, čím má zákaz portů mimo 443 a 80 pomoci zabezpečení... Dokud nedělám inspekci L7, kterou mohu dělat na všech portech je úplně jedno, jestli to teče ven na 443 nebo 8080. Přijde mi, že je to takové pseudozabezpečení, které s námi zůstalo od velkých společností z osmdesátek jako best practice, aniž by se nad tím někdo skutečně zamýšlel.

Je to v jednom pytli s vynucováním nového hesla každé tři měsíce a pamětí AD 50 hesel zpět.

Tak port 80 a 443 mejsou nějaká magická nezměnitelná konstanta, pokud budeš poskytovat web na jiném než defaultním portu, tak si ten port budeš muset samozřejmě otevřít..
Samozřejmě nebyl myšlen firewall na straně serveru, ale na straně klienta. A tam by ve spoustě sítí samozřejmě problém byl.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #19 kdy: 18. 03. 2021, 22:14:06 »
Když já nikdy nepochopil, čím má zákaz portů mimo 443 a 80 pomoci zabezpečení...
Ono jde spíš o to, že se tím omezí provoz, o kterém nic nevíte. Ale že je to k ničemu, s tím souhlasím.


_Jenda

  • *****
  • 734
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Viac ako jeden web server za verejnou IP
« Odpověď #20 kdy: 18. 03. 2021, 23:40:40 »
Když já nikdy nepochopil, čím má zákaz portů mimo 443 a 80 pomoci zabezpečení...
Bývá zvykem BFUčkům zakázat 25, 139 a 445, aby jejich zavirované počítače nemohly posílat spam a útočit na další cizí nezáplatovaná Windows. Ale jinak souhlasím, že obecný zákaz je celkem k ničemu a je to hlavně opruz pro uživatele -- ale já (ani nikdo další) jsme nehodnotili, k čemu to je, ale že se to děje, nic s tím nenaděláme, a pokud chceme mít široce dostupnou službu, tak musí běžet na 443.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #21 kdy: 19. 03. 2021, 08:24:36 »
Drive to melo smysl - na 443 byl jen https, dnes je to bordel - dnes tam muze byt i ssh.

Kazdopadne jeden vliv je i sniffovani provozu - zkuste hledat problem pres vsechny porty vs port pro dany typ sluzby. Nemluve o standarizaci - kdyby si kazdy vymyslel port pro https, tak by za chvili odchozi firewally ztratily smysl.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #22 kdy: 19. 03. 2021, 12:32:08 »
Nejak sa to tu zvrhlo.
Zatial sa mi podarilo nastavit haproxy na pfsense a zda sa, ze to celkom funguje. Takze aspon nemusim pouzivat exoticke porty. A ani neviem ci by certbot fungoval na inom ako standardnom porte

Re:Viac ako jeden web server za verejnou IP
« Odpověď #23 kdy: 19. 03. 2021, 14:11:37 »
Nejak sa to tu zvrhlo.
Zatial sa mi podarilo nastavit haproxy na pfsense a zda sa, ze to celkom funguje. Takze aspon nemusim pouzivat exoticke porty. A ani neviem ci by certbot fungoval na inom ako standardnom porte

Nefungoval. Pri http overovani overuje textovy retezec na http(s)://, takze ocekava port 80(443)...

Re:Viac ako jeden web server za verejnou IP
« Odpověď #24 kdy: 19. 03. 2021, 23:19:06 »
A ani neviem ci by certbot fungoval na inom ako standardnom porte
Nefungovalo by to. Nejde ani tak o certbot ale o ACME protokol – ten ověřuje buď metodou http-01 na portu 80 nebo metodou tls-alpn-01 na portu 443. (A nebo přes DNS.) Je to z důvodu bezpečnosti – na počítači, kde běží webový server, mohou být jiné uživatelské účty, které by mohly na vysokém portu spustit svůj proces, který by provedl validaci a získal by certifikát pro danou doménu. Právo získat certifikát ale má mít jen správce webového serveru a správce DNS serveru, nikdo jiný.

Re:Viac ako jeden web server za verejnou IP
« Odpověď #25 kdy: 20. 03. 2021, 13:56:46 »
Nejak sa to tu zvrhlo.
Zatial sa mi podarilo nastavit haproxy na pfsense a zda sa, ze to celkom funguje. Takze aspon nemusim pouzivat exoticke porty. A ani neviem ci by certbot fungoval na inom ako standardnom porte

Pokud máš PfSense tak haproxy je nejideálnější cesta ;-)
Když chceš, dokážeš vše!

Re:Viac ako jeden web server za verejnou IP
« Odpověď #26 kdy: 27. 03. 2021, 11:47:24 »
Zaujmalo by ma este ako je to s certifikatmi od letsencrypt. Ako som uz napisal, (je to len test, nebudem to tak prevadzkovat, bude to len docasne, ale zaujma ma to) za jednou verejnou IP mam 2 web servery na 192.168.1.10 a 192.168.1.11. Ked som nastavil haproxy, tak vsetka komunikacia prichadza na haproxy. Je mozne vytvorit 1 certifikat na haproxy a na vsetkych ostatnych domenach (serveroch) ho uz nemusim pouzivat ?
Alebo na haproxy certifikat nedavat a ponechat ho na ostatnych domenach/serveroch ?

Re:Viac ako jeden web server za verejnou IP
« Odpověď #27 kdy: 27. 03. 2021, 12:06:21 »
Zaujmalo by ma este ako je to s certifikatmi od letsencrypt. Ako som uz napisal, (je to len test, nebudem to tak prevadzkovat, bude to len docasne, ale zaujma ma to) za jednou verejnou IP mam 2 web servery na 192.168.1.10 a 192.168.1.11. Ked som nastavil haproxy, tak vsetka komunikacia prichadza na haproxy. Je mozne vytvorit 1 certifikat na haproxy a na vsetkych ostatnych domenach (serveroch) ho uz nemusim pouzivat ?
Alebo na haproxy certifikat nedavat a ponechat ho na ostatnych domenach/serveroch ?

Certifikát/certifikáty budou na HAproxy – tam se musí komunikace od klienta dešifrovat, zjistit, s jakým cílovým serverem chce klient komunikovat, a podle toho se naváže spojení se správným cílovým serverem. Toto spojení už nemusí být šifrované (třeba pokud je cílový server na stejném počítači nebo v bezpečné síti).

Dnes už by díky SNI nebylo nutné mít certifikát na HAproxy ale až na cílových serverech, HAproxy by pak do komunikace vůbec neviděla. Ale je to méně časté řešení. Navíc HAproxy pak nemůže třeba dělat čištění provozu, protože nevidí dovnitř šifrované komunikace.