this post was submitted on 05 Aug 2023
0 points (NaN% liked)
de_EDV
3806 readers
1 users here now
Ableger von r/de_EDV auf Lemmy.
News, Diskussionen und Hilfestellung zu Hard- und Software
Diese Community dient als Anlaufstelle für alle IT-Interessierten, egal ob Profi oder blutiger Anfänger. Stellt eure Fragen und tauscht euch aus!
Weitere IT Communitys:
!informationstechnik@feddit.de
founded 1 year ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Der Dienst ist im Internet und auf Port 8090 ansprechbar. Wir erlauben an der Firewall für Web nur 80/443 ausgehend. Das ganze Web spielt sich ja im Prinzip auf 80/443 ab.
Diese Logik habe ich noch nie verstanden. Also insbesondere das Blocken von ausgehenden Ports. Es gibt genug Dienste, die auf anderen Ports laufen. z. B. MySQL 3306, Postgres 5432, MongoDB 27015 etc. Klar kann man das alles über einen Reverse-Proxy lösen, aber genau deswegen macht es ein System ja nicht sicherer. Malware wird natürlich nur über 80/443 Daten exfiltrieren.
Ja klar - aber alles was du nennst sind auch keine Web Dienste. Unsere Firewall ist recht restriktiv. Und ich würde auch nicht wollen das unsere Andwender nach außen eine MySQL Datenbank ansprechen. Für Dienste die etabliert und standardisiert sind werden dann Regeln angelegt.
Ok, dann leg die Regel halt an. "Kennen wir nicht, ham wir keine Lust zu" ist als Grund ein bisschen schwach. Wäre die API denn sicherer oder besser, wenn sie auf Port 80 oder 443 liefe? Da würdest Du nicht mal mitbekommen, dass jemand sie benutzt.
Die API wäre dann vermutlich nicht besser, aber mein Gefühl bei einem Dienstleister (?), der zu faul / planlos ist, seine Webservices auf Standardports ansprechbar zu machen ist nicht gut. Das riecht nach "da hat der Praktikant mal was mit nem Framework auf gebastelt und das ist jetzt produktiv"
Ist mehr ein Gesamteindruck-Bauchgefühl als eine ganz stringente Herleitung, aber ich kann OPs Bedenken durchaus nachvollziehen.
Insbesondere, weil es halt mit "Port auf" nicht getan ist. Da wollen dann noch SSL-Inspection und der Rest vom Regelwerk angepasst werden.