Protegiendo el sitio web con redireccionamiento nginx 301 y firewall HTTP

3

Estoy configurando un sitio web de hobby y tratando de hacerlo lo más seguro posible. El backend es nginx + uwsgi. He configurado la conexión HTTPS. Para las solicitudes que no son SSL, tengo las siguientes reglas en nginx.conf:

server {
    listen 80;
    server_name xxx.net;
    return 301 https://xxx.net$request_uri;
}

server {
    listen 80;
    server_name www.xxx.net;
    return 301 https://xxx.net$request_uri;
}

Por lo tanto, todas las solicitudes http: // se redirigen 301 a https: //. El sitio también está configurado para usar HSTS, por lo que los navegadores realizarán una redirección 306 después de la primera visita.

En paralelo, siguiendo algunas otras lecturas orientadas a la seguridad, también configuré el firewall UFW para denegar el acceso al puerto 80 (valor predeterminado de HTTP). Me pregunto si ese paso adicional en realidad agrega algo de seguridad y, en lugar de eso, no introduce confusión.

¿El firewall bloqueará el tráfico HTTP antes de que nginx tenga la oportunidad de asumir el control y redirigir, o el redireccionamiento ocurre primero? Si la redirección ocurre, ¿esta regla agrega algo? ¿Es una buena práctica (como una capa de seguridad adicional) o completamente redundante?

    
pregunta texnic 28.03.2017 - 10:31
fuente

1 respuesta

2

Puedes redireccionar http (80) a https (443) o bloquear el puerto 80.

No puedes hacer ambas cosas

redirige http (80) a https (443):

  • Ayuda a los usuarios al redirigirlos
  • Puede filtrar la primera solicitud

bloque de puerto 80:

  • No filtra la primera solicitud
  • Pero el usuario no será redirigido

El puerto de bloqueo 80 tiene una (muy poca) ventaja de seguridad y un enorme impacto negativo en términos de usabilidad.

Si realmente desea mejorar la seguridad, debe usar la precarga de HSTS y HSTS .

Vea también enlace

    
respondido por el Tom 28.03.2017 - 10:54
fuente

Lea otras preguntas en las etiquetas