Me preguntaba si abriría el puerto 80 en mi enrutador y lo reenviaría al puerto 80 en mi servidor web Apache crearía un compromiso de seguridad para el resto de mi red. Estaba leyendo que los puertos abiertos no comprometen hasta que hay un servicio que se ejecuta en el puerto (como Apache). Sin embargo, mi pregunta sigue siendo: ¿puede un pirata informático hacer mucho con un servidor web? ¿Se puede hackear el servidor web y crear otras fallas de seguridad en mi red?
Su servidor Apache aún podría verse comprometido y el pirata informático puede expandir el acceso al resto de la red desde él haciendo pivotar o canalizando el tráfico, por lo que crea riesgos de seguridad. Dependiendo de cómo (qué vulnerabilidad se explotó y cómo) se comprometió el servidor Apache, el pirata informático puede hacer una amplia gama de cosas, desde catastróficas hasta menores.
Pero esto es todo asumiendo que hay un servicio (Apache u otro) ejecutándose y escuchando en un determinado puerto expuesto a Internet. Si configura el reenvío pero no hay servicios que se ejecuten en ese puerto en una máquina, no hay nada que comprometa excepto quizás DoS.
Si NECESITA abrir el puerto 80 al público, existen varias técnicas para mitigar algunos riesgos, como usar DMZ, usar un puerto personalizado poco común, ejecutar proxies, etc.
Reenviar conexiones externas a algún servicio dentro de la red interna no es un compromiso de seguridad por sí solo, pero podría resultar en uno. Si bien el reenvío de puertos solo dará acceso al servicio específico desde el exterior, no es infrecuente que una aplicación web (que ahora está disponible desde el exterior) pueda ser pirateada y que el atacante tenga acceso al sistema donde se ejecuta la aplicación. . Y a veces ni siquiera es un problema de la aplicación web, pero el servidor web permite el código remoto ejecución ya.
Si el atacante ha comprometido el sistema del servidor web de esta manera, ahora puede hacerlo aún peor: dado que este sistema comprometido está en la red interna, el atacante puede usarlo como punto de partida para comprometer el resto de la red.
Por lo tanto, si desea exponer los servidores a Internet, nunca debe reenviar las conexiones externas al interior, sino que debe colocar el servidor en un DMZ , es decir, una red separada que tiene visibilidad limitada desde Internet pero no puede acceder a la red interna. De esta manera, el propio servidor web todavía podría verse comprometido, pero es mucho más difícil extender un ataque exitoso a la red interna.
Si se trata de un compromiso o no, depende del servicio que se esté ejecutando detrás del puerto. ¿Está ese servicio web destinado a ser de acceso público? Si no, entonces es un compromiso. En caso afirmativo, ¿el servicio ejecuta un software actualizado sin vulnerabilidades conocidas? Si es así, entonces es un compromiso. Solo usted puede decidir si algo es un riesgo para usted.
Lea otras preguntas en las etiquetas port-forwarding