8080/8443 বন্দরগুলির মধ্যে HTTP / HTTPS পরিবেশন করা কি নিরাপদ?


9

একটি অবকাঠামো সীমাবদ্ধতার কারণে, বিশ্বের কাছে এইচটিটিপি পরিষেবা দেওয়ার জন্য প্রস্তাবিত সমাধানগুলির মধ্যে একটি হ'ল এটি 8080 এবং 8443 বন্দরগুলির মাধ্যমে অফার করা।

আমার উদ্বেগ হ'ল কিছু ব্যবহারকারী এই পরিষেবাগুলিতে অ্যাক্সেস করতে পারবেন না কারণ তারা মানক বন্দরগুলিতে চলছে না, এবং সামগ্রীটি কর্পোরেট নেটওয়ার্ক নীতির অংশ হিসাবে (উদাহরণস্বরূপ) দ্বারা ফিল্টার করা হতে পারে।

সুতরাং ... সম্ভবত ইন্টারনেট থেকে কোনও ব্যবহারকারী এই পরিষেবাগুলি অ্যাক্সেস করতে না পারার সম্ভাবনা কতটা?


আপনি 80 এবং 443 পোর্টে ঠিকানাটি প্রক্সি করতে পারবেন না?
ফ্রগজিজ

1
আমরা অ্যাজুরে ক্লাউড পরিষেবাদিতে ওয়েব এবং কর্মীদের ভূমিকা ব্যবহার করছি। আমি যতদূর বলতে পারি, যদি না আমরা অ্যাজুরি ভিএমগুলিতে স্যুইচ না করি তবে অন্য কোনও মেশিনে দ্বিতীয় ভিআইপি নির্দেশ করা সম্ভব নয়। অন্যান্য বিকল্পগুলির মধ্যে সম্পূর্ণ ফ্রন্ট-এন্ড ওয়েবসার্ভারকে প্রক্সি দিয়ে প্রতিস্থাপন করা অন্তর্ভুক্ত থাকে তবে স্পষ্টতই বিভিন্ন বন্দর ব্যবহার করা কম ব্যয় করে এই সমস্যাটি সমাধান করবে।
ব্যয়কারী

আমি এর অর্থ হ'ল
ইউএস

2
আমি এমন একটি উদ্বেগের সমাধান করতে চাই যা মনে হচ্ছে এখানে অনুপস্থিত। আপনি বন্দরগুলি ব্যবহার করতে পারবেন না 80বা 443আপনি কোনও ভাগ করা সার্ভারে চলছে বলে মনে করতে পারে। যদি তা হয় তবে সম্ভাবনা রয়েছে যে আপনার ব্যবহার কাজ বন্ধ করে দিলে অন্য কোনও ব্যবহারকারী সেই পোর্টগুলিতে বাঁধতে পারে । সেই ব্যবহারকারী তখন আপনার ওয়েবসাইটটি ছদ্মবেশে প্রকাশ করতে পারে (যদিও এসএসএল এটি হ্রাস করতে সহায়তা করতে পারে)।
নাথান ওসমান

@ নাথানঅসমান, আমি মনে করি তিনি ব্যবহারকারীর অ্যাক্সেস এবং ব্যবহারকারীর ফায়ারওয়াল সম্পর্কে চিন্তিত।
পেসারিয়ার

উত্তর:


7

কর্পোরেট নেটওয়ার্কগুলি সাধারণত এই জাতীয় নিয়মগুলিতে খেলাপি হবে:

deny all; allow 80; allow 443; allow 21; allow 22; etc...

65,535 টি উপলব্ধ বন্দরগুলির মধ্যে 99% স্পষ্টভাবে অস্বীকার করার চেয়ে এই উপায়ে কনফিগার করা অনেক সহজ।

এই কথাটি বলে, আমি একটি ক্লায়েন্ট-মুখী পোর্টাল নিয়েছি যা নেটওয়ার্ক সীমাবদ্ধতার কারণে একটি অ-মানক বন্দর ব্যবহার করেছে; আমি নাট সম্পর্কিত তথ্য জানি না। যাইহোক, এটি আমাদের ব্যবহারকারী / দর্শকদের প্রায় 50% এর পক্ষে সাইটে অ্যাক্সেস করা অসম্ভব করে তুলেছে এবং যখনই তারা এই সমস্যাটির প্রতিবেদন করার জন্য আমাদের ডাকবেন, আমরা তাদের অস্তিত্বহীন আইটিটির সাথে সমন্বয় করতে হবে এবং একটি অনুমতি বিধি কার্যকর করার চেষ্টা করতে হবে।


আমি আপনার অবকাঠামো সীমাবদ্ধতার বিবরণ জানি না তবে আমি কল্পনা করব যে 80/443 এ অন্য কিছু চলছে

যদি এটি হয় তবে আপনার কেবল শটটি হতে পারে কোনও অভ্যন্তরীণ প্রক্সি ব্যবহার করা বা আরও উন্নত NAT ক্ষমতা সহ এমন কোনওটিতে স্যুইচ আপগ্রেড করা যা অনুরোধগুলিকে যথাযথভাবে রুট করতে পারে।


টি এল; ডিআর

ইতিমধ্যে একটি মানক বন্দর রয়েছে এমন পাবলিক-ফেসিং পরিষেবাগুলির জন্য একটি অ-মানক বন্দর ব্যবহার করবেন না।


1
"উপলব্ধ 65,535 বন্দরগুলির 99% স্পষ্টভাবে অস্বীকার করার চেয়ে এই উপায়ে কনফিগার করা আরও সহজ" " - এমনকি যদি তারা 99% বন্দরকে স্পষ্টভাবে অস্বীকার করে তবে এর একই প্রভাব থাকবে।
ব্যবহারকারী 253751

আমরা অন্যান্য বন্দরগুলিতে প্রদত্ত পরিষেবাদির প্রক্সি অনুরোধগুলির জন্য মূল ওয়েবসারভারটি ব্যবহার করে শেষ করেছি। যেহেতু অন্যান্য পরিষেবাদিগুলি নেটওয়ার্কের সীমাবদ্ধতার চেয়ে বেশি সংখ্যক প্রক্রিয়াকরণ শক্তির জন্য স্কেল করা প্রয়োজন, এবং অনুরোধ এবং প্রতিক্রিয়াগুলির আকার তুলনামূলকভাবে কম, মূল লোড-ভারসাম্যযুক্ত ওয়েবসাইট সহজেই প্রক্সিংয়ের ব্যয়কে শোষিত করে এই ব্যবস্থাটি খুব সুন্দরভাবে কাজ করে।
ব্যয়কারী

@ স্পেন্ডার শুনে আপনি খুশী হলেন যে লোকেরা ক্লায়েন্ট-মুখোমুখী অ-মানক বন্দরগুলি ব্যবহার না করেই এটির কাজটি করতে সক্ষম হয়েছিল :)
MonkeyZeus

6

এটি সম্ভবত ব্লক করা হবে সম্ভবত বিশেষত কর্পোরেট নেটওয়ার্কগুলিতে বা সর্বজনীন ওয়াইফাইতে। নিয়মিত হোম ইন্টারনেট সংযোগের সম্ভাবনা কম।

এটি অবশ্যই আমার কাজের নেটওয়ার্কে অবরুদ্ধ হবে।

তদতিরিক্ত, লোকেরা আপনার সাইটে যেতে পোর্ট নম্বরটি টাইপ করতে হবে, যা আপনি ব্যবহার করতে চান না এমন একটি অতিরিক্ত মাথাব্যথা। অভ্যন্তরীণ বা ব্যক্তিগত সাইটগুলির জন্য এটি কোনও বড় সমস্যা নয় তবে এটি যদি সাধারণ মানুষের জন্য হয় তবে আপনি মানক বন্দরগুলি ব্যবহার করে অনেক বেশি সাফল্য পাবেন।


প্রশ্নযুক্ত পরিষেবাদিগুলি কখনই ব্রাউজারে টাইপ করা হয় না ... বরং এগুলি স্বাভাবিক বন্দরগুলির উপর পরিবেশন করা সংস্থানগুলি থেকে দেখানো হয়। তবে এটি দেখে মনে হচ্ছে যে আমার পদ্ধতির নির্ভরযোগ্যতা সম্পর্কে আমার উদ্বেগগুলি যথাযথভাবে ন্যায়সঙ্গত।
ব্যয়কারী

কেন আপনি এটি ব্লক করা যাবে ব্যাখ্যা করতে পারেন? আমি গুগল এসইও সরঞ্জাম এবং রেফারেন্স সহ কোনও সমস্যা ছাড়াই দীর্ঘকাল ধরে 800 বন্দর ব্যবহার করেছি ..
ফ্রোগজিজ

1
আমার একটি চাকরি এমন একটি ওয়েবসাইট চালাচ্ছে যা শোককাস্ট স্ট্রিমগুলি সূচী করে এবং কর্পোরেট নেটওয়ার্কগুলির পিছনে কিছু ব্যবহারকারী অ-মানক বন্দরগুলির উপর দিয়ে চলমান স্ট্রিমগুলি শুনতে পারে না এটি একটি সাধারণ অভিযোগ। যাইহোক, 8080 এবং 8443 টি কিছুটা বিশেষ বলে মনে হচ্ছে তবে এটি যথেষ্ট বিশেষ নয়। আমি বলব যে 800 এ পরিষেবা চালানো বিশেষত ঝুঁকিপূর্ণ কারণ এটি "সুপরিচিত" বন্দরগুলির অধীনে চলে যা সম্ভবত আরও বেশি অবরুদ্ধ হওয়ার সম্ভাবনা রয়েছে।
ব্যয়কারী

একটি সহজ সমাধান হ'ল আপনার সার্ভারটি 8080/8443 পোর্টে চলমান রাখা এবং ফায়ারওয়ালে NAT / ফরোয়ার্ড পোর্টগুলি 80/443 থেকে 8080/8443।
স্নেকডোক

1
@ স্নেকডোক সম্মত হয়েছে, আমি আমার উত্তরে প্রক্সি বিকল্পটি কভার করেছি :-)
মনি জিউস

2

আপনার ব্রাউজারটিকে http://example.com:8080/index.html বলতে হিট করা কঠিন নয় , তবে আপনি যখন কর্পোরেট নীতিগুলি অ-স্ট্যান্ডার্ড পোর্টকে অবরুদ্ধ করে যা শক্তিশালী বলে মনে করছেন তাদের সম্পর্কে কথা বলুন।

আপনার যদি কিছু প্রকারের ভারসাম্য বজায় থাকে তবে আপনি একটি আদর্শ পোর্টে চলতে আপনার অ্যাপ্লিকেশনগুলি সেট আপ করতে পারেন এবং অভ্যন্তরীণভাবে লোড ব্যালান্সার পোর্টটি বিজোড় বন্দরে এগিয়ে রাখতে পারেন। আপনার লোড ব্যালেন্সিং না থাকলেও, আমি নিশ্চিত যে আপনি কোনও অভ্যন্তরীণ বন্দরের কাছে পোর্ট করার কোনও উপায় খুঁজে পেতে পারেন যা মানক নয়।

অভ্যন্তরীণভাবে, ব্যবহারকারীরা একটি বিজোড় পোর্টে অ্যাক্সেস করতে পারে (যদি আপনার কর্পোরেট নীতি অবরুদ্ধ করার অংশ না হয়), বাহ্যিকভাবে তারা http://example.com দেখুন

এটি করার অনেকগুলি উপায় রয়েছে, আপনার মুখোমুখি হওয়া রোডব্লকগুলির ধরণের উপর নির্ভর করে আপনাকে কিছুটা সৃজনশীল পেতে হবে। এটি সর্বদা একটি চ্যালেঞ্জ!

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.