Pourquoi le port de transfert 80 est-il plus dangereux que les autres?
Je fais un stage dans une toute petite entreprise et j'ai besoin de configurer le réseau. Ils ont un routeur Cisco. Je n'ai pas pu trouver les journaux pour me connecter, j'ai donc appelé leur fournisseur d'accès Internet. Apparemment, ils ont configuré le routeur Cisco et ne permettent pas aux clients de le configurer. Seuls eux peuvent configurer le routeur lorsque cela leur est demandé.
Je dois configurer un serveur qui sera accessible depuis Internet, je leur ai donc posé des questions sur la redirection de port (dans un premier temps, avant d'implémenter une sorte de DMZ plus tard). Je sais que la redirection de port est assez peu sûr mais temporellement, je leur ai demandé de transmettre un port à mon serveur. Ils ont accepté toute ma demande, à l'exception du port 80 car ils m'ont dit que c'était vraiment peu sûr. Pourquoi le port de transmission 80 serait-il plus dangereux que les autres ports?
Le port de transfert 80 n'est pas plus dangereux que tout autre port. En fait, la redirection de port elle-même n'est pas intrinsèquement précaire. Le problème de sécurité est qu'il permet aux services qui sont normalement protégés derrière une sorte de pare-feu d'être accessibles au public. Si le service exposé présente des vulnérabilités ou des erreurs de configuration, il peut et sera souvent rapidement exploité par des attaquants.
En voyant comment un mélange d'autres ports était autorisé (notamment 21 - FTP et 8080 - HTTP alt/proxy, qui n'utilisent généralement pas TLS et pourraient être considérés comme non sécurisés), il semble que les préoccupations ne soient pas vraiment axées sur la sécurité et soient fallacieux au mieux. Il y a peut-être une raison commerciale pour laquelle ils ne veulent pas exposer le port 80, mais il n'y a aucune raison technique valable que je puisse voir pour interdire le port 80 tout en autorisant d'autres ports communs.
Le port 80 n'est pas plus sûr en soi que tout autre port. Il s'agit simplement du port HTTP commun, il présente donc des risques très élevés d'être analysé, et les applications derrière lui devraient être des applications Web.
C'est là que les administrateurs de la sécurité commencent à voir des lumières rouges clignotantes. Il est possible de créer des applications Web sécurisées, mais c'est un vrai travail, qui implique généralement des procurations inverses, des serveurs réservés aux administrateurs et un examen approfondi de la configuration. Lorsque vous demandez cela pour des tests, et en même temps expliquez que vous n'avez pas configuré de DMZ, cela laisse penser que vous aurez un serveur Web en cours d'exécution sur votre machine normale, qui a probablement un accès complet au réseau interne et beaucoup de outils installés. Si vous exécutez un ancien script PHP dessus), il est probable que des failles dans le script des bibliothèques ouvrent une brèche qu'un attaquant pourrait utiliser pour atteindre n'importe quelle autre machine du réseau.
Le port 21 d'autre part est pour FTP. FTP a une très mauvaise réputation car il fuit souvent client informations d'identification en passant le mot de passe en texte clair. Mais d'un point de vue serveur, c'est un protocole très simple et les implémentations actuelles ont été largement examinées pendant des décennies et sont considérées comme sécurisées d'un point de vue serveur.
En bref, HTTPS est considéré comme très sécurisé pour le client et HTTP est acceptable, mais les deux nécessitent une forte connaissance du côté serveur, tandis que FTP est un cauchemar de sécurité pour le client mais sans danger pour le serveur. Et le travail de l'administrateur proxy est de protéger le côté serveur ...