Безопасное открытие порта

Question 1

Есть много способов сделать это, но правильный из них зависит от того, какие еще механизмы безопасности у вас есть. Примеры:

Клиентские сертификаты. Это вполне возможно, если только вы не хотите использовать порт 80, который обычно не зашифрован. Вам нужно будет перенастроить ваш веб-сервер или поставить перед ним прокси, но это, безусловно, возможно. Как это сделать с Apache, описано здесь,https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html#allclients
Фильтрация по IP или MAC-адресу на сетевом уровне, т.е. в брандмауэре.
Используйте VPN, как вы упомянули. Это можно сделать достаточно прозрачным для пользователей.
Проверьте наличие заголовка аутентификации на веб-сервере или на прокси-сервере перед ним.

Несомненно, их больше. Некоторые из них не подходят, если у вас нет дополнительных методов аутентификации, например, MAC-адреса легко подделываются. Другие варианты становятся доступными, если вы ослабляете требование к сетевому порту выглядеть закрытым, поскольку многие методы аутентификации не работают, пока порт не открыт.

Answer

Есть много способов сделать это, но правильный из них зависит от того, какие еще механизмы безопасности у вас есть. Примеры:

Клиентские сертификаты. Это вполне возможно, если только вы не хотите использовать порт 80, который обычно не зашифрован. Вам нужно будет перенастроить ваш веб-сервер или поставить перед ним прокси, но это, безусловно, возможно. Как это сделать с Apache, описано здесь,https://httpd.apache.org/docs/2.4/ssl/ssl_howto.html#allclients
Фильтрация по IP или MAC-адресу на сетевом уровне, т.е. в брандмауэре.
Используйте VPN, как вы упомянули. Это можно сделать достаточно прозрачным для пользователей.
Проверьте наличие заголовка аутентификации на веб-сервере или на прокси-сервере перед ним.

Несомненно, их больше. Некоторые из них не подходят, если у вас нет дополнительных методов аутентификации, например, MAC-адреса легко подделываются. Другие варианты становятся доступными, если вы ослабляете требование к сетевому порту выглядеть закрытым, поскольку многие методы аутентификации не работают, пока порт не открыт.

Question 2

Ваш вопрос как-то обобщён. Вы можете сделать одно или несколько из следующих:

Требуйте действительное имя пользователя/пароль для доступа к вашему веб-приложению. Это можно сделать на уровне приложения или на уровне веб-сервера (например: apache2).
Защитите доступ к этому IP/порту, настроив брандмауэр. Разрешены только определенные IP. Другие запрещены. Для этого вам необходимо получить список IP-адресов ваших пользователей.
Перенаправьте пользователей с http (порт 80) на https (порт 443) для защиты от атак типа «man-in-the-middle».
Обеспечьте конфиденциальность доступа к серверу и направляйте трафик пользователей в вашу сеть (одно из решений VPN, требующих аутентификации).

Answer

Ваш вопрос как-то обобщён. Вы можете сделать одно или несколько из следующих:

Требуйте действительное имя пользователя/пароль для доступа к вашему веб-приложению. Это можно сделать на уровне приложения или на уровне веб-сервера (например: apache2).
Защитите доступ к этому IP/порту, настроив брандмауэр. Разрешены только определенные IP. Другие запрещены. Для этого вам необходимо получить список IP-адресов ваших пользователей.
Перенаправьте пользователей с http (порт 80) на https (порт 443) для защиты от атак типа «man-in-the-middle».
Обеспечьте конфиденциальность доступа к серверу и направляйте трафик пользователей в вашу сеть (одно из решений VPN, требующих аутентификации).

Безопасное открытие порта

решение1

решение2

Связанный контент