Có an toàn không khi phục vụ HTTP / HTTPS qua các cổng 8080/8443

9

Do hạn chế về cơ sở hạ tầng, một trong những giải pháp được đề xuất để phục vụ dịch vụ HTTP cho thế giới là cung cấp dịch vụ này qua các cổng 8080 và 8443.

Mối quan tâm của tôi là một số người dùng có thể không truy cập được các dịch vụ này vì họ không chạy trên các cổng tiêu chuẩn và nội dung có thể được lọc bởi (ví dụ) như một phần của chính sách mạng công ty.

Vậy ... nhiều khả năng người dùng từ internet có thể không truy cập được các dịch vụ này như thế nào?

web-server  http  https  port 
người chi tiêu
nguồn
bạn không thể ủy quyền địa chỉ cho cổng 80 & 443?
Froggiz
1
Chúng tôi đang sử dụng vai trò Web và Worker trong các dịch vụ Azure Cloud. Theo như tôi có thể nói, không thể trỏ VIP thứ hai vào một máy khác trừ khi chúng tôi chuyển sang máy ảo Azure. Các tùy chọn khác bao gồm thay thế toàn bộ máy chủ web mặt trước bằng proxy, nhưng rõ ràng sử dụng các cổng khác nhau sẽ giải quyết vấn đề này với chi phí thấp hơn.
tiêu
Froggiz
2
Tôi muốn giải quyết một mối quan tâm dường như đang thiếu ở đây. Thực tế là bạn không thể sử dụng các cổng 80hoặc 443có thể gợi ý rằng bạn đang chạy trên một máy chủ được chia sẻ. Nếu vậy, khả năng tồn tại là một người dùng khác có thể liên kết với các cổng đó nếu bạn ngừng hoạt động . Người dùng đó sau đó có thể mạo danh trang web của bạn (mặc dù SSL có thể giúp giảm thiểu điều này).
Nathan Osman
@NathanOsman, tôi nghĩ rằng anh ấy lo lắng về quyền truy cập của người dùng và tường lửa người dùng.
Pacerier

Câu trả lời:

7

Mạng công ty thường sẽ được mặc định theo quy tắc như thế này:

deny all; allow 80; allow 443; allow 21; allow 22; etc...

Việc cấu hình theo cách này sẽ dễ dàng hơn nhiều so với việc từ chối rõ ràng 99% trong số 65.535 cổng có sẵn.

Như đã nói, tôi đã tiếp quản một cổng thông tin khách hàng sử dụng cổng không chuẩn do các giới hạn mạng; Tôi không biết chi tiết về NAT. Dù sao, điều này khiến khoảng 50% người dùng / khách truy cập của chúng tôi không thể truy cập trang web và bất cứ khi nào họ gọi cho chúng tôi để báo cáo vấn đề này, chúng tôi sẽ phải phối hợp với CNTT không tồn tại của họ để thử và thực hiện quy tắc cho phép.

Tôi không biết chi tiết về các hạn chế cơ sở hạ tầng của bạn nhưng tôi sẽ tưởng tượng rằng một cái gì đó khác đang chạy trên 80/443

Nếu đây là trường hợp thì cú đánh duy nhất của bạn có thể là sử dụng proxy nội bộ hoặc nâng cấp công tắc lên thứ gì đó có khả năng NAT tiên tiến hơn có thể định tuyến các yêu cầu một cách thích hợp.

TL; DR

Không sử dụng cổng không chuẩn cho các dịch vụ công khai đã có cổng chuẩn.

Khỉ
nguồn
1
"Việc cấu hình theo cách này dễ dàng hơn nhiều so với việc từ chối rõ ràng 99% trong số 65.535 cổng có sẵn." - ngay cả khi họ đã từ chối rõ ràng 99% các cổng thì nó cũng có tác dụng tương tự.
dùng253751
Chúng tôi đã kết thúc bằng cách sử dụng máy chủ web chính để yêu cầu proxy đến các dịch vụ được cung cấp trên các cổng khác. Do các dịch vụ khác cần mở rộng quy mô cho sức mạnh xử lý bổ sung thay vì chúng đạt giới hạn mạng và kích thước của yêu cầu và phản hồi tương đối thấp, sự sắp xếp này hoạt động rất độc đáo với trang web cân bằng tải chính dễ dàng giảm chi phí ủy quyền.
tiêu
@spender Tôi rất vui khi biết các bạn đã có thể làm việc mà không cần sử dụng các cổng không chuẩn đối diện với khách hàng :)
MonkeyZeus
6

Rất có khả năng những thứ đó sẽ bị chặn, đặc biệt là trong các mạng công ty hoặc trên wifi công cộng. Ít có khả năng trên một kết nối internet nhà thông thường.

Nó chắc chắn sẽ bị chặn trên mạng làm việc của tôi.

Ngoài ra, mọi người sẽ phải nhớ nhập số cổng để truy cập trang web của bạn, đây là một vấn đề đau đầu mà bạn không muốn đối phó. Đối với các trang web nội bộ hoặc riêng tư, đây không phải là vấn đề lớn nhưng nếu điều này là dành cho công chúng, bạn sẽ có nhiều thành công hơn khi sử dụng các cổng tiêu chuẩn.

Ban cho
nguồn
Các dịch vụ được đề cập không bao giờ được nhập vào trình duyệt ... thay vào đó chúng được trỏ đến từ các tài nguyên được phục vụ trên các cổng thông thường. Tuy nhiên, dường như những lo ngại của tôi về độ tin cậy của phương pháp của tôi là hợp lý.
tiêu
bạn có thể giải thích tại sao nó sẽ bị chặn? Tôi đã sử dụng cổng 800 trong thời gian dài mà không gặp rắc rối nào ngay cả với các công cụ SEO của Google và tham khảo ..
Froggiz
1
Một trong những công việc của tôi là điều hành một trang web lập chỉ mục các luồng shoutcast và một khiếu nại phổ biến là một số người dùng đằng sau các mạng công ty không thể nghe các luồng đang chạy trên các cổng không chuẩn. Tuy nhiên, 8080 và 8443 có vẻ hơi đặc biệt, nhưng có lẽ không đủ đặc biệt. Tôi muốn nói rằng việc chạy một dịch vụ trên 800 đặc biệt rủi ro vì nó nằm trong các cổng "nổi tiếng" có khả năng bị chặn đáng kể.
tiêu
Một giải pháp dễ dàng là để máy chủ của bạn chạy trên cổng 8080/8443 và tại tường lửa, các cổng NAT / chuyển tiếp 80/443 đến 8080/8443.
SnakeDoc
1
@SnakeDoc Đồng ý, tôi đã bao gồm tùy chọn proxy trong câu trả lời của mình :-)
MonkeyZeus
2

Không khó để làm cho trình duyệt của bạn thành hit http://example.com:8080/index.html , nhưng khi bạn nói về các chính sách của công ty chặn các cổng không chuẩn có vẻ khó khăn.

Nếu bạn có một số loại cân bằng tải được thiết lập, bạn vẫn có thể thiết lập các ứng dụng của mình để chạy trên một cổng tiêu chuẩn và có cổng cân bằng tải chuyển tiếp đến cổng lẻ bên trong. Ngay cả khi bạn không có cân bằng tải, tôi chắc chắn bạn có thể tìm cách chuyển tiếp sang cổng nội bộ không chuẩn.

Trong nội bộ, người dùng có thể truy cập vào một cổng lẻ (nếu không phải là một phần của chính sách công ty của bạn để chặn), bên ngoài họ thấy http://example.com .

Có nhiều cách để làm điều này, bạn sẽ phải có một chút sáng tạo tùy thuộc vào các loại rào cản bạn gặp phải. Nó luôn luôn là một thách thức!

Brett Salmiery
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.