IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Apache Discussion :

Sécuriser un site web complet hébergé sous apache 2.4.53 avec exclusion


Sujet :

Apache

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre confirmé
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Novembre 2015
    Messages
    74
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Industrie

    Informations forums :
    Inscription : Novembre 2015
    Messages : 74
    Par défaut Sécuriser un site web complet hébergé sous apache 2.4.53 avec exclusion
    Bonjour,

    Je me permets de vous contacter car j'ai perdu le restant de mes cheveux aujourd'hui en tentant de bricoler un de mes serveurs web de test (et j'en ai déjà pas beaucoup ^^).

    Le contexte de la demande :
    - j'ai une application hébergée sous apache 2.4.53 (sous windows) qui est joignable depuis internet (flux IP publique naté en interne sur une IP privée). URL example : https://monserveur.mondomaine.net/
    - on me demande pour ce site de n'ouvrir finalement en accès depuis internet qu'une seule URL bien spécifique de ce serveur (https://monserveur.mondomaine.net/index.php/tic/tac)
    - l'intégralité du site web sera accessible uniquement en LAN sauf l'url ci-dessus

    Ce que j'ai tenté comme approche :
    - ajouter une seconde IP privée à mon serveur web
    - ajouter une second virtual host dans ma config apache (1 pour l'IP en place jusqu'ici et l'autre avec la nouvelle adresse IP)
    - les 2 virtual host configurés pointent sur le même servername
    - je mets en place ma règle de NAT vers la nouvelle IP et tout fonctionne bien jusqu'ici (sauf que mes 2 accès, l'un LAN et l'autre WAN permettent encore l'accès à l'url racine https://monserveur.mondomaine.net/ )

    viennent ensuite les tentatives infructueuses dans apache :
    - la première idée était Redirect Permanent / https://monserveur.mondomaine.net/index.php/tic/tac -> erreur dans le navigateur web : too many redirects
    - idem avec des tests autour du module rewrite

    d'autres points sont certainement aussi à prendre en considération :
    - le site racine appelle index.php par défaut qui se trouve dans c:\container\appli ; Les autres répertoires qui s'y trouvent ne sont pas accessible dans le navigateur via https://monserveur.mondomaine.net/repertoire -> accès refusé)
    - un paramètre de sécurité est en place également dans apache pour vérifier que l'url monserveur.mondomaine.net soit utilisée et pas l'IP publique (vérification via instruction If basée sur SERVER_NAME)


    J'ai essayé d'être le plus complet possible pour exposer la problématique et j'en appelle à l'aide d'experts pour m'aider à solutionner ce problème, quitte peut-être à changer d'approche
    merci par avance pour votre aide

  2. #2
    Expert confirmé
    Avatar de mathieu
    Profil pro
    Inscrit en
    Juin 2003
    Messages
    10 672
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2003
    Messages : 10 672
    Par défaut
    est ce que se sont des utilisateurs différents qui accèdent au site depuis le réseau privé et depuis internet ?

  3. #3
    Membre confirmé
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Novembre 2015
    Messages
    74
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Industrie

    Informations forums :
    Inscription : Novembre 2015
    Messages : 74
    Par défaut
    potentiellement ce peut être les mêmes utilisateurs.
    l'idée est de sécuriser quasi tout le site pour restreindre fortement les accès depuis internet (accès à une seule URL du site)

  4. #4
    Expert confirmé
    Avatar de mathieu
    Profil pro
    Inscrit en
    Juin 2003
    Messages
    10 672
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2003
    Messages : 10 672
    Par défaut
    quand on bloque l'accès a des pages c'est une question de fonctionnalités différentes et pas de sécurité.
    et si les fonctionnalités sont différentes, vous allez avoir un 1er site accessible uniquement sur le réseau local avec un 1er nom de domaine. et ensuite vous aurez le 2e nom de domaine accessible par internet.

    et si vous mettez le même nom de domaine pour les 2 vous allez avoir un conflit au niveau du serveur dns du réseau local puisqu'il devra savoir s'il doit envoyer vers le site local ou sur le site publique. et je ne m'y connais pas assez en serveur dns pour savoir comment est résolu ce conflit.

  5. #5
    Membre expérimenté Avatar de silfun1
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Mars 2015
    Messages
    135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : Mars 2015
    Messages : 135
    Par défaut
    Bonjour,

    Si les personnes de l'exterieur utilisent/passent par un Proxy Web différent des employés, alors, vous pouvez peut-etre utiliser cette spécificité.
    Je pars du principe que la variable REMOTE_ADDR et CONN_REMOTE_ADDR = l'adresse ip du proxy web en frontal avec Internet. Dans l'exemple qui suit, on mettra 192.168.1.3
    Donc si c'est adresse IP du proxy WEB qui interroge le serveur Web = on considére qu'il s'agit d'une personne exterieure.
    !! Si vous utilisez un WAF ou autre élément réseau en amont, ça ne fonctionnera pas.

    Exemple:
    Si l'url demandé est monserveur.mondomaine.net + que l'URI n'est PAS "index.php/tic/tac" ET QUE l'adresse IP = le proxy WEB ==> Alors on considere on redirige vers https://monserveur.mondomaine.net/index.php/tic/tac
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    RewriteCond "%{HTTP_HOST}"   "^monserveur\.mondomaine\.net" [NC]
    RewriteCond "%{REQUEST_URI}" "!^index.php/tic/tac"
    RewriteCond "%REMOTE_ADDR" "192.168.1.3"
    RewriteRule "^/?(.*)"       "https://monserveur.mondomaine.net/index.php/tic/tac" [L,R=301,NE]
    Sinon,vous pouvez forcer l'ajout d'une entete HTTP dans les requetes HTTP qui arrivent depuis l'exterieur.
    Exemple, ajouter l'entête HTTP EXTERNAL_REQ, avec la valeur 1

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    SetEnvIf EXTERNAL_REQ 1 FROM_OUTSIDE
    Header set HTTP_USER_AGENT "pas_bon" env=FROM_OUTSIDE
     
    RewriteCond "%{HTTP_HOST}"   "^monserveur\.mondomaine\.net" [NC]
    RewriteCond "%{REQUEST_URI}" "!^index.php/tic/tac"
    RewriteCond "%HTTP_USER_AGENT" "pas_bon"
    RewriteRule "^/?(.*)"       "https://monserveur.mondomaine.net/index.php/tic/tac" [L,R=301,NE]
    Sil

Discussions similaires

  1. Soutenance de Projet BTS IG : Sécuriser un site web
    Par Miaou le chat thon dans le forum Sujets
    Réponses: 14
    Dernier message: 01/04/2009, 13h06
  2. [PHP 5.0] sécuriser son site web
    Par unix27 dans le forum Langage
    Réponses: 6
    Dernier message: 06/02/2009, 16h18
  3. [Joomla!] Recherche site Web complet
    Par cuisto44000 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 9
    Dernier message: 02/10/2007, 00h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo