Zugriff des Webservers aufs Internet


Von Roman (romanf auf trash.net)


Seit unserer Plattform-Migration 2016 verwenden wir verschiedene Virtuelle Maschinen und ein Zonen-Konzept um es Angreifern schwerer zu machen unsere Systeme zu hacken und - falls doch mal einer erfolgreich ist - sich lateral auf andere Maschinen auszubreiten.

Zugriff Webserver auf das Internet

Wenn du deine Homepage hochlädst, dann kommst du logischerweise vom Internet und logst dich auf access1 (oder access2) ein (siehe Bild unten). Die hochgeladenen Daten werden über NFS von access1/2 auf den Storage geschrieben.

Der Webserver für User-Domains (wir nennen ihn liebevoll web11) hat nun seinerseits über NFS Zugriff auf die Daten und kann die Webpage somit anzeigen.

Aus sicherheitstechnischen Gründen hat web11 keinen direkten Zugang zum Internet. Das macht allfälligen Angreifern das Leben schwerer: Sie können nicht einfach so Schadcode aus dem Internet nachladen. Wie immer - es gibt keine 100%-ige Sicherheit - aber wir legen die Latte wieder 'n Stück höher.

Verwendung des Proxy

Wenn deine Homepage zwingend Daten aus dem Internet holen muss (z.B. weil sie sich selber ab und zu updaten will), dann musst du über unseren Proxy gehen:

Proxy-Server: proxy1.localProxy-Port: 3128

Wo / wie du das genau verwendest, hängt stark davon ab, wie deine Homepage auf's Internet gehen will. Standard-Pakete wie Wordpress lassen sich mit den Werten füttern, selber geschriebene PHP-Programme müssen die Werte selber setzen... Im Zweifelsfall hilft eine Frage an support wahrscheinlich weiter.

Zonen-Schema

Zonen-Konzept