[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Admin] Upgrades wegen OpenSSL/HeartBleed, Re-Strukturierung der Web-Dienste und Reverse-Proxy

Subject: [Admin] Upgrades wegen OpenSSL/HeartBleed, Re-Strukturierung der Web-Dienste und Reverse-Proxy
From: Raphael Eiselstein <rabe@xxxxxxxxx>
Date: Thu, 10 Apr 2014 23:36:31 +0200
To: uugrn@xxxxxxxxxxxxxxx

Hallo zusammen,

ich habe aus aktuellem Anlass Anfang der Woche nahezu alle UUGRN-Jails 
aktualisiert (d.h. nicht die der Mitglieder!). 

Laut ssl-Labs haben wir jetzt wieder auf allen relevanten externen 
SSL-Diensten (zBhttps://www.ssllabs.com/ssltest/analyze.html?d=wiki.uugrn.org) 
ein "unbedenkliches" Setup am laufen, zuletzt mit der Note "A+"
bewertet. Das SSL-Setup hatte ich letztens hier schon diskutiert.

Die Zertifikate (und vor allem Keys) werden demnaechst getauscht, sie 
laufen ohnehin in ca 30 Tagen ab. 

Letztes Wochenende hatte ich schon fuer die 3 Webdienste "Wiki", "Blogs" 
und "Pad" jeweils eigene Jails mit ausschliesslich interner IP-Adresse
(RfC1918) eingerichtet. 

Durch die Auftrennung von Wordpress (PHP), MediaWiki (PHP) und EtherPad 
(node.js) in jeweils eigene Jails koennen Verwundbarkeiten in einem Dienst 
nicht die Sicherheit der anderen Dienste mit gefaehrden, gerade Wordpress 
will zB Schreibrechte fuer den Webserver im DocumentRoot haben und waere 
somit zB ueber ein kompromittiertes MediaWiki zusaetzlich gefaehrdet. 
Apache bietet hier zwar Methoden das gut voneinander zu trennen, der Aufwand 
ist aber deutlich hoeher als einfach 3 Jails aus einem Jail-Image abzuwerfen. 

Die "internen Jails" haben keine "Default-Route" und koennen ausschliesslich 
via WebProxy (squid) auf externe Web-Dienste zugreifen (Updates, REST-APIs). 

Damit verhindere ich, dass ein kompromitierter Dienst z.B. fuer den Versand 
von SPAM oder andere Schadroutinen missbraucht  werden kann.

Diese Dienste werden nun ueber einen Reverse-Proxy angesprochen, der aussen 
IPv4, IPv6 und SSL spricht. Mein Erwartungswert ist, dass WinXP+IE-User 
auf diese Services gar nicht mehr zugreifen koennen (SNI, kein 3DES), zumal 
die Services auch nicht per plain HTTP angeboten werden.

https://wiki.uugrn.org/UUGRN:Dienste/Proxy

Ich habe ausserdem eine Reihe von kleineren oder experimentelle 
Web-Diensten stillgelegt, die entweder gruselig oder verspammt waren:

* calendar.uugrn.org    --> sollte ein Calernder-Backend werden
* dudle.uugrn.org       --> Abstimmungstool
* mugrn.uugrn.org       --> irgendwas mit MacOS
* pastebin.uugrn.org    --> gruseliger PHP-Code und viel Spam!
* planet.uugrn.org      --> gruseliger PHP-Code
* rss.uugrn.org         --> huebsches Tool, keine Nutzer (ausser jemand vermisst
                        es, dann kann ich es reaktivieren)
* s.uugrn.org           --> short-URL Service, hatte leider viel Spam

Mehr Infos: https://wiki.uugrn.org/UUGRN:Dienste

Viele Gruesse aus dem Maschinenraum
Raphael

PS: nmap -oG - -p 443 164.177.171.0/26  | grep -F "443/open"

-- 
Raphael Eiselstein <rabe@xxxxxxxxx>               http://rabe.uugrn.org/
PGP (neu):            4E63 5307 6F6A 036D 518D  3C4F 75EE EA14 F625 DB4E
.........|.........|.........|.........|.........|.........|.........|..




-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/