13 Jun
2020
13 Jun
'20
11:28 a.m.
2) Šifrování mezi proxy a backendem
Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti
mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili
privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto
jsem se chtěl zeptat, zda byste v našem prostředí považovali za
bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a
backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je
možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda to
není overkill.
Žádné VLAN - jestli si to dobře pamatuju, tak mezi každou VPS a jejím
hostitelem existuje jedna dvoučlenná síť, takže není možné
odposlouchávání na síti ze strany jiné VPS (což nic neříká o možnostech
odposlouchávání na fyzické síti mezi hostiteli, ale to už je něco
jiného, na to byste se z té VPS musel prohákovat ven do hostitele, nebo
se nějak dostat k síťovým prvků mezi hostiteli.)
Ohledně SSL mezi proxy a backendem je jedna věc ke zvážení: jestli
všechny weby, které provozujete, budou schopny detekovat SSL spojení i
na HTTP. Mluvím o funkci "přesměrování na HTTPS", kde aplikace zjišťuje,
jestli je příchozí spojení šifrované, z informací od svého webserveru -
který vždy uvidí HTTP.
Toto se řeší například tím, že proxy do požadavku předávaného backendu
přidá hlavičku (třeba) X-Forwarded-Proto, ale pokud ji aplikace nebude
umět použít, tak se všechny požadavky zacyklí do přesměrování na https
3) SSH tunel na proxy
Aktuálně mám na serveru jednu stránku, pro kterou Nginx poslouchá na
127.0.0.1 a klienti se k ní propojují pomocí SSH tunelu a port
forwardingu. V případě nasazení jako "proxy - backend" bych na proxy
opět udělal server poslouchající na 127.0.0.1 a předávající požadavky na
proxy. Bude stačit, když na backendu pro tuto stránku nastavím omezení
přístupu jen z IP adresy proxy? Nebo bych to měl ošetřit ještě nějak dál?
Záleží na tom, jak paranoidní budete :-) Tím serverem poslouchajícím na
proxy na 127.0.0.1 může být SSH klient, který bude mít vytvořený tunel
na backend server a předávat spojení na jeho 127.0.0.1