Port 80 öffnen, aber sicher bleiben

7

Ich habe eine Standardinstallation von Ubuntu 10.04 und den LAMP-Stack installiert, damit ich einige Webentwicklungen lokal durchführen kann. Auf meinem Router habe ich Port 80 geöffnet, damit ich mit externen Diensten wie Paypal und Facebook entwickeln kann, da diese die Website sehen müssen, damit sie funktionieren.

Wie unsicher ist meine Entwicklungsmaschine durch das Öffnen von Port 80 geworden? Kann ich es weiter sichern und dennoch Port 80 offen lassen?

Ich frage diese Frage, weil ich in meiner Datei apache error.log eine externe IP-Adresse festgestellt habe, die versucht, auf webdav zuzugreifen, die ich nicht eingerichtet habe. Ich muss die Datei access.log noch überprüfen.

oshirowanen
quelle

Antworten:

6

Natürlich erhöhen alle Dienste, die Sie geöffnet haben, Ihre anfällige Angriffsfläche. Was hinter diesen Diensten steckt , bestimmt, wie sicher und unsicher Sie werden. Wenn Sie unsichere PHP-Skripte schreiben und diese auf Ihrer neu zugänglichen Apache-Site hosten, kann (und wird!) Die Welt sie ausnutzen. Sie sollten ernsthaft überlegen, was Sie zur Verfügung stellen und wie sicher die Skripte sind, mit denen Ihre Site ausgeführt wird.

Wenn dies nur für die Entwicklung gedacht ist, können Sie den Zugriff auf Port 80 blockieren, außer von bestimmten IP-Adressen, von denen Sie wissen, dass sie eine Verbindung zu Ihnen herstellen müssen. Wie das geht , wird in ServerFault häufig beantwortet .

Die Tatsache, dass der Port nach einem Dienst durchsucht wurde, den Sie nicht ausführen, ist nicht überraschend. Wenn sie webdav gefunden hätten, wäre der nächste Schritt, es nach bekannten Schwachstellen zu durchsuchen, die Sie nicht gepatcht haben. Das gleiche passiert mit jeder Software, die Sie hosten. Wenn Sie eine alte Version eines CMS erstellen und nicht patchen, wird es gescannt und ausgenutzt.

Caleb
quelle
Ich habe darüber nachgedacht, aber wie würde ich die IP-Adressen von Facebook- und Paypal-Servern herausfinden? Facebook scheint viele Server zu haben, und ich gehe davon aus, dass Paypal dies auch tut.
oshirowanen
Facebook ist groß genug, um große Teile der IP-Bereiche zu besitzen. Diese Diskussion (ich hasse es, auf ein Forum zu verlinken ...) in den Facebook-Entwicklerforen befasst sich mit einigen Bereichen, die möglicherweise die Bereiche abdecken, die Ihre App verwendet. Ich bin sicher, Paypal usw. wird ähnliche Setups haben: forum.developers.facebook.net/viewtopic.php?pid=139481
geeignetupgeek
Als guter Anfang, whoisund nslookupsind hilfreiche Werkzeuge.
LawrenceC