GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Müssen alle Server das HTTPS-Protokoll verwenden oder nur öffentlich zugängliche Server?

Lösung 1:

Dies ist Ansichtssache und hat auch mit regulatorischen Fragen zu tun (falls Sie mit solchen konfrontiert sind).

Auch wenn dies derzeit nicht erforderlich ist, bin ich ein großer Befürworter, HTTPS zwischen Firewalls / Load Balancern / Front-End-Servern auf Anwendungsebene und den Back-End-Servern aktiviert zu lassen. Es ist eine Angriffsfläche weniger. Ich habe Verträge mit Orten abgeschlossen, die umgestellt werden mussten, als sensiblere Informationen weitergegeben wurden – es ist besser, dort zu beginnen.

Was ich im Allgemeinen vorschlagen würde, ist die Verwendung einer internen Zertifizierungsstelle (falls verfügbar) oder die Selbstsignierung (falls keine interne Zertifizierungsstelle) der Back-End-Server. Wir haben das Ablaufdatum weit in die Zukunft gelegt, um unnötige Änderungen zu vermeiden.

Lösung 2:

TL;DR Sie sollten den Datenverkehr verschlüsseln es sei denn, es befindet sich auf demselben Host.

Sie können Ihrem Netzwerk nicht vertrauen. Malware in Ihrem eigenen Netzwerk kann HTTP-Anfragen abfangen/modifizieren.

Es sind keine theoretischen Angriffe, sondern ein Beispiel aus dem wirklichen Leben:

  • Router (wahrscheinlich gehackt) innerhalb des Netzwerks einiger Websites, die Werbung einfügen:https://www.blackhat.com/docs/us-16/materials/us-16-Nakibly-TCP-Injection-Attacks-in-the-Wild- A-Large-Scale-Study-wp.pdf

  • Indisches Netzwerkschnüffeln zwischen Cloudfare und Backend:https://medium.com/@karthikb351/airtel-is-sniffing-and-censoring-cloudflares-traffic-in-india-and-they-don-t-even-know -it-90935f7f6d98#.hymc3785e

  • Das mittlerweile berühmte „SSL Added and remove here :-)“ von der NSA

Lösung 3:

Müssen die "vielen anderen Server" über HTTPS laufen oder können sie, da sie nicht von außen zugänglich sind, stattdessen sicher über HTTP laufen?

Dies hängt wirklich davon ab, was Sie erreichen möchten. Verstehen Sie, dass der Zweck der Verwendung von HTTPS darin besteht, Daten bei der Übertragung zwischen zwei Punkten zu schützen. Wenn Sie sich Sorgen darüber machen, dass die Daten in Ihrem Netzwerk ausspioniert werden, sollten Sie sich vielleicht zuerst darum kümmern. Wenn Sie die Daten während der Übertragung innerhalb Ihres Netzwerks schützen müssen, sagen Sie damit, dass Sie entweder Bedenken hinsichtlich der Sicherheit der Daten haben, die Ihre Systeme innerhalb Ihres Netzwerks durchlaufen, oder dass es einen Compliance-bezogenen Grund für Sie gibt, die Daten während der Übertragung zu verschlüsseln.

Dies ist wirklich eher eine Meinungsfrage, aber die Antwort ist, dass es darauf ankommt. Was versuchst du zu machen? Welche Art von Daten verschlüsseln Sie? Gegen welche Bedrohungen versuchen Sie sich zu verteidigen? Haben Sie eine gesetzliche Anforderung (z. B. PCI-DSS, HIPAA usw.), die besagt, dass Sie die Daten während der Übertragung verschlüsseln müssen? Wenn die Daten vertraulich sind und Sie befürchten, dass sie bei der Übertragung innerhalb Ihres Netzwerks missbraucht werden könnten, würde ich vorschlagen, sich mit dem Management zusammenzutun, um das Problem zu beheben. Was versuchen Sie letztendlich zu schützen und warum versuchen Sie es zu schützen?

Lösung 4:

Früher ging man davon aus, dass interne Netzwerke absolut sicher sind. Ich geriet einmal in Streit mit einem Vorgesetzten, der entsetzt darüber war, dass auf meinen internen Servern die eingebauten Firewalls liefen. "Wenn Sie Ihrem internen Netzwerk nicht vertrauen können, wem können Sie vertrauen?" Ich wies darauf hin, dass wir Studenten-Laptops in unserem internen Netzwerk hatten und dass zwischen den Studenten-Laptops und meinen Servern keine Firewall war. Er, der neu in der akademischen Welt ist, schien bei dieser Information sein Universum in Trümmer zu legen.

Interne Netzwerke gelten nicht mehr als sicher, auch wenn Sie keine Schüler-Laptops in Ihrem Netzwerk haben. Einige Beispiele finden Sie in Toms Antwort.

Das heißt, ja, es hängt davon ab, welche Informationen übertragen werden, ob es Probleme mit der Einhaltung gesetzlicher Vorschriften gibt usw. Sie könnten entscheiden, dass es Ihnen egal ist, ob jemand beispielsweise Wetterdaten erschnüffelt. Allerdings ist es möglich, dass selbst wenn die gesendeten Daten jetzt nicht vertraulich sind , kann jemand beschließen, Ihrer Anwendung später Funktionen hinzuzufügen, die vorhanden sind empfindlich, daher würde ich eine größere Paranoia (einschließlich HTTPS) empfehlen.

Lösung 5:

Heute mit spezialisierten CPU-Anweisungen zur Beschleunigung der Verschlüsselung und neuen Transportprotokollen, die überhaupt nicht oder nur mit verminderter Leistung über eine unverschlüsselte Verbindung (HTTP/2, gRPC usw.) funktionieren, ist die vielleicht bessere Frage:Gibt es welche? Warum müssen Sie eine Netzwerkverbindung auf HTTP herabstufen? Wenn es keinen bestimmten Grund gibt, lautet die Antwort:Bleiben Sie bei HTTPS.


Linux

  1. So verwenden Sie den Linux-Befehl mtr

  2. Erlauben Sie das X-Protokoll in Ihrem Netzwerk?

  3. Verwenden Sie den Netcat-Befehl zum Lesen und Schreiben von Daten über das Netzwerk unter Ubuntu 20.04

  4. Wie verwendet man das TPM, um Daten auf einem Uefi-gebooteten System zu versiegeln?

  5. Verwenden Sie Cloud Servers-Tags

So verwenden Sie den Linux-Zeitbefehl:Alles, was Sie wissen müssen

Ubuntu 20.04 LTS – Alle Gerüchte, die Sie kennen müssen

So verwenden Sie den Netcat-Befehl zum Lesen und Schreiben von Daten über das Netzwerk

Verwendung von OpenSSL und der Internet-PKI auf Linux-Systemen

So verwenden Sie den netstat-Befehl unter Linux

Welches Netzwerk-Dateifreigabeprotokoll hat die beste Leistung und Zuverlässigkeit?