5


2

WebサーバーをDMZに配置し、80と443以外のすべてのポートへの着信トラフィックをブロックする必要性を理解しています。 また、サーバーが危険にさらされた場合に備えて、ほとんどのアウトバウンドトラフィックをブロックする必要がある理由もわかります。

しかし、ポート80上のアウトバウンドHTTPトラフィックをブロックする必要がありますか? もしそうなら、なぜ? 最近のWebアプリケーションの多くは、外部のWebサービスやAPIからのデータの送信/取得に依存しているため、ポート80を介して発信トラフィックをブロックすると、この機能を妨げることになります。 これを正当化するのに十分有効なセキュリティ上の問題はありますか?

7 Answer


7


私が考えることができる唯一の理由はあなたのマシンがどういうわけかリモートで妥協されているならそれはそれがポート80で別のウェブサイトをDDoSすることができないことです。 私が普段していることではありません。


0


それを阻止するのではなく、抑制します。 iptables -m limitを使用してください。


0


外部Webサービスを呼び出すWebアプリケーションがいくつかあります。そのため、出力HTTPトラフィックをブロックするのは悪い考えです。 セキュリティに関心がある場合は、それをブロックして特定の送信先のみを許可することができます。


0


SQLのバージョンによっては、SQL Server 2005で証明書認証のタイムアウトの問題が発生する可能性があります。


0


最初に - 私はスロットルについて@vartecに同意します。 解決策の少なくとも一部としてiptables -m limit "を使用してください。

ただし、ポート80を常にアウトバウンドにしないという別の理由もあります。 自動セキュリティ更新を有効にしている場合、サーバーはセキュリティ更新を開始するためにポート80経由でPPAにアクセスできません。 したがって、自動セキュリティアップデートが設定されていると、それらは実行されません。 Ubuntuでは、自動セキュリティアップデートは14.04 LTSで次のコマンドで有効になります。

sudo apt-get install無人アップグレードupdate-notifier-common

もっと優雅な解決策は、あなたがAWSにいるならiptablesに加えてCLIを介してAWSセキュリティグループルールを修正することで、おそらく自動的にポートを開くアンサースクリプトです。 ステルスボックスによって開始されたAWS CLIを介して一時的に送信ルールを変更することを好みます。 これにより、更新がAWS S3ログバケットに記録されますが、サーバー自体のログには表示されません。 さらに、更新を開始するサーバーは、プライベートサブネットのACLにさえある必要はありません。

たぶん両方? あなたは時々攻撃があなたのサブネットの内部IPを中継することになるだろうと考えなければならないのでバックアップとセキュリティ更新を自動化する能力を維持しながら倍にすることへのメリットがあります。

これが役に立つことを願っています。 返信しない場合は、より具体的かつ正確になるようにコード例を追加してください。 #おげんきで !


0


マシンが危険にさらされ、ポート80のアウトバウンドトラフィックが許可されると、侵入者が収集したデータを自分自身に送り返すのが容易になります。 アウトバウンドトラフィックを許可するということは、あなたのマシンから外の世界への接続を開始できるということです。 より良いアプローチはあなたが信頼する特定のウェブサイト/アドレスへのアウトバウンドトラフィックのみを許可することです。 Microsoft Windows Update、グーグル(reCAPTCHA)、世界中のどの目的地よりも。


-2


ポート80を介したアウトバウンドトラフィックをブロックするとはどういう意味ですか。

2つの可能性があります。 このセッションでクライアントからWebサーバーへの通信を許可する動的ルールを生成します。 ステートフルファイアウォールルールを検索します。

あるいは、通常、確立された接続が相互に送受信することを許可します。

通常、ポート80を介したすべてのアウトバウンドトラフィックをブロックしていると、Webサーバーはどのクライアントにも応答できません。

あなたのWebサーバが何らかのAPIを取得する必要がある場合は、逆の方法もあります。 APIを保持しているWebサーバーと通信するために彼のPortとしてポート80を使用していないjqueryライブラリ。

あなたのウェブサーバーは通常1024以上のポートを選択し、それをリモートサーバーからAPIを取得するためのリクエストに使用します。

したがって、(接続元のポートとして)ポート80を介してすべてのトラフィックをブロックしても、サーバーがAPIなどの要求を送信するのを妨げることはありません。 彼はクライアントとして機能するときにポート80を使用しないためです。