Asegurando apache por IP con .htaccess

Navega tus respuestas
0

Tengo una carpeta a la que no quiero que se pueda acceder desde fuera de la red LAN de mi red. Parece que todo el tráfico del mundo exterior pasa por mi firewall (192.168.1.39). Así que hice mi .htaccess de la siguiente manera: 

Order Allow,Deny
Allow from all
Deny from 192.168.1.39

Mi idea es que permite todo el tráfico, excepto el tráfico que es redirigido por mi servidor de seguridad: es decir, todo el tráfico externo.

¿Hay algo que me esté perdiendo? ¿Alguna forma de que un hacker pase por alto el firewall para llegar directamente al servidor? ¿Alguna forma de utilizar la suplantación de IP para evitar el .htaccess? etc?

EDITAR: No puedo permitir desde la LAN local con una subred o dominio, porque el tráfico externo parece provenir de la LAN local. Se está redirigiendo desde mi firewall, un forig dentro de la red.

    
pregunta Shane 14.07.2014 - 22:43
fuente

3 respuestas

2

Debes permitir específicamente que las direcciones IP que tienen acceso al recurso y Denegar todo lo demás. 

order deny,allow
deny from all
allow from [your ip address] OR Allow from 10.0.0.0/24

Dependiendo de la configuración de su red, las solicitudes al servidor desde Internet pueden incluir direcciones IP públicas. Normalmente, los enrutadores solo proporcionan NAT desde la red LAN a la red WAN, no al revés.

    
respondido por el ap288 15.07.2014 - 07:20
fuente
0

Puede otorgar Permitir desde un dominio si desea dar acceso a la red local. Entonces puedes controlar las máquinas en el dominio. 

<Directory /> 
    Order deny,allow
    Deny from all
    Allow from local.example.com
</Directory>

De todos modos, permitir todo y negar desde 192.168.1.39 es una mala idea ya que la lista negra no es muy segura.

respondido por el Kasun 15.07.2014 - 07:57
fuente
0

Mi primer orden de trabajo sería bloquear el tráfico que llega desde la interfaz externa / no confiable del firewall con una dirección / puerto de destino que coincida con su servidor web. Este es el punto central de tener un firewall.

Cuando se trata de su servidor web, evitaría usar un archivo .htaccess a menos que usted no controle el servidor y tenga que confiar en los controles de nivel de usuario. Su publicación me hace pensar que tiene el control completo de su servidor y que puede editar http.conf y hacer los cambios allí. Si bien puede usar las directivas Denegar / Permitir para limitar el acceso, es posible que desee considerar restringir el zócalo de escucha y el host virtual a una dirección IP interna antes de adoptar el enfoque de lista negra / negra.

Si controla su servidor, también le recomendaría que deshabilite el uso de .htaccess completamente estableciendo "AllowOverride None" en la configuración de Apache. Hay dos razones para esto, primero htaccess causa un impacto en el rendimiento de su servidor, segundo, deja una gran superficie de ataque para los piratas informáticos. He creado un proyecto que ilustra por qué los archivos .htaccess deben inhabilitarse desde una perspectiva de seguridad: enlace

    
respondido por el wireghoul 30.09.2014 - 01:46
fuente

Lea otras preguntas en las etiquetas

¿Debe permitirse el acceso remoto (RDP / SSH) solo para clientes VPN? ¿O deberían abrirse al público RDP y SSH? ¿Es posible detectar el nombre y la versión de IDS?