Port 80 auf Entwicklungsserver geöffnet

C

converge

New Member
Hallo zusammen,

wir arbeiten derzeit dezentralisiert an einem Projekt. Der Entwicklungsserver steht in unserem Büro, es müssen aber mehrere externe Parteien per SSH wie auch auf das Webfrontend zugreifen. Hierzu habe ich den SSH-Port verlegt und ein Portforwarding des entsprechenden Ports eingestellt.

Das verschiedene Leute auch auf die TYPO3-Installation zugreifen können, habe ich ebenfalls direkt über die Fritzbox ein Portforwarding auf Port 80 gemacht und lasse somit Zugriffe auf das Webfrontend zu. Allerdings gefällt es mir nicht sonderlich, dass ich dies dadurch komplett öffentlich gemacht habe. Wie kann ich dies einschränken und nur bestimmte Benutzer drauf zulassen? Kann dies auf bestimmte IP-Adressen beschränkt werden? Oder bringt es was, den Port von 80 auf einen anderen zu verlegen?

Vielen Dank im Voraus.
 
Allerdings gefällt es mir nicht sonderlich, dass ich dies dadurch komplett öffentlich gemacht habe.
Click to expand...
Wie wäre es mit einem VPN? Für Entwicklung sollte es akzeptabel sein

Wie kann ich dies einschränken und nur bestimmte Benutzer drauf zulassen?
Click to expand...
Siehe vorherigen Post

Kann dies auf bestimmte IP-Adressen beschränkt werden?
Click to expand...
Ja. Wenn die IP's aber halbwegs dynamisch sind ist dies inakzeptabler Aufwand

Oder bringt es was, den Port von 80 auf einen anderen zu verlegen?
Click to expand...
Security by obscurity is no security.
 
Ist eine Lösung per htaccess nicht pro VirtualHost? Es wäre der geringste Aufwand, allerdings möchte ich dies generell sperren.

Was mir jetzt selbst noch einkam: Kann ich nicht per iptables alles eingehenden Verbindung auf Port 80 blockieren und diese nur für bestimmte Kriterien (wie z.B. IP) zulassen?
 
Der Ordner in dem ein .htaccess File liegt wird geschützt. Egal in welchem VHost dieser Ordner eingebunden ist. Wenn es mehrere Websites gibt, braucht man halt für jede ein .htaccess und ein .htpasswd File.

http://www.webmaster-toolkit.com/htaccess-generator.shtml kann da helfen.

Nochmals: IP basierte Filterung macht nur Sinn, wenn die externen Partner feste IP Adressen haben. Bei den typischerweise dynamisch vergebenen DSL IP Adressen funktioniert das nicht (24 Std Zwangstrennung).
 
OK, danke.

Ich habe es jetzt so gemacht, dass das komplette Apache-Wurzelverzeichnis per htpasswd geschützt ist.

Zudem habe ich den Port, auf den Apache hört, geändert. Das dürfte doch jetzt sicher sein...
 
Sofern die externen Parteien bei sich einen dynamischen DNS-Dienst nutzen, kann man dies mittels eines 3-zeiligen Shell-Skript lösen.

Bei Boot eine globale Regel setzen:

/sbin/iptables -I INPUT -p tcp --dport 80 -j DROP

Und das Skript meinetwegen alle 5 Minuten per Cron laufen lassen:

#!/bin/sh

/bin/ping -c 1 DYNDNS-ADRESSE

/sbin/iptables -R INPUT 1 -s DYNDNS-ADRESSE -p tcp --dport 80 -j ACCEPT
 
Code: 
Da darf ich d4f nochmals wiederholen: Security by obscurity is no security.

Das ist richtig. Ich habe es auch gelesen. Deswegen habe ich ja das ganze DocumentRoot, welches Apache "zur Verfügung stellt", per htaccess geschützt. Ich denke, dies ist die höchst mögliche Sicherheit bei nicht statischen IP's und wenig Zeitaufwand.

Zumindest kann ich durch Minimierung des Risikos gut schlafen. Die virtuelle Maschine ist so konfiguriert, dass potentielle Angreifer nicht aus der Maschine rausdürfen. So würde sich der Schaden auf die Entwicklungsmaschine beschränken, was schlimm wäre, aber kein Worst Case...
 
Portknocking wäre eine Möglichkeit die ziemlich sicher ist.
Deine Fritzbox unterstützt das sobald du deine Firmware gegen die von Freetz austauscht.

MFG Lord-EXE
 
You must log in or register to reply here.
Back
Top