Login Website Proxy?
Moin Leute,
Ich hab eine Domain über die ich einige Websites Laufen lasse. z.B. fritzbox.domain.de, gameserver.domain.de, proxy.domain.de
Das Ganze Läuft über eine Nginx Proxy und dann durch die Cloudflare Proxy.
Nur frage ich mich jetzt ob es irgendwie möglich ist dass ich eine Website mit einem Login Feld so vorschalten kann dass man nur mit z.B. der Benutzeroberfläche meiner Fritzbox verbunden wird, wenn man den Richtigen Login hat.
Weil meine Sorge ist dass unberechtigte auf meine Fritzbox kommen und den Login knacken und dann irgendeinen Unfug anstellen.
Wie wäre das zu Machen?
Schonmal danke für euere Hilfe.
3 Antworten
Ich habe das mal irgendwo so gemacht, das nginx abhängig davon, ob es einen Cookie mit einem bestimmten Namen (sid) gibt dessen Name nimmt und nachschaut, ob es ein gleichnamiges File in einem temp. Verzeichnis auf Platte (Ramdisk) gab. Wenn nein, wurde aufs login geleitet und das proxy-pass nicht ausgeführt.
if (!-f /data/temp/$cookie_sid) {
return 301 /bla-login;
break;
}
proxy_pass http://....
Vor dem Code in location / stand natürlich noch ein Block mit location /bla-login, was ohne Proxy das Login direkt auf dem nginx Server realisiert hat.
Das Login legt im Erfolgsfall den Cookie (mit Zufallszahl als Inhalt) und die Datei an. Ein cronjob wirft regelmäßig alle Files älter als X Stunden weg.
Hat den Vorteil, dass er das Login nicht bei jedem Zugriff prüfen muss, war bei mir wichtig, weil die Daten aus LDAP kamen und es jede Menge Zugriffe gibt.
Weil meine Sorge ist dass unberechtigte auf meine Fritzbox kommen und den Login knacken und dann irgendeinen Unfug anstellen.
Das wird aber durch ein vorgeschalteten Login nicht aufgehoben, sondern lediglich um einen weiteren Login erweitert. Für einen potentiellen Angreifer ergeben sich somit nur zwei Hindernisse, die er überwinden muss. Das dauert dann eben nur ein wenig länger.
Da wäre es deutlich zweckmäßiger, die Konfigurationsoberfläche der Fritz!Box erst gar nicht vom Internet aus erreichbar zu machen. Besser hier ein VPN direkt in dein lokales Netzwerk nutzen und darüber auf den Router zugreifen. Problem mit der Zugriffserschwerung für potentielle Angreifer nicht mehr gegeben.
Das ist mir bewusst, ich will aber von jedem Gerät auf meine FritzBox zugreifen können und nicht nur von PC auf denen ich mein VPN habe. Sonst würde ich ja eins benutzen.
Aber danke Trozdem!
Das Problem wäre damit aber nicht gelöst, denn die Fritzbox ist ja trotzdem im Netz und durch deine Webseite auch bekannt(er).
Nein. Denn die Webseite geht ja auf einen bestimmten Port und der Rest bleibt offen und kann direkt angegangen werden. Mit der Webseite zeigst du dass da ein Server / Router ist ;)
Kann aber sein, dass die Fritzbox in sich sicher ist, da kenne ich mich zuwenig aus, aber eine Schutzschicht ist es sicherlich nicht.
Eben nicht, deswegen habe ich ja die Proxy. Diese Leitet die Website der Fritzbox über den Port 443 bzw. 80 nach aussen zum Anfragenden. Und diese bekommt man von der Proxy nur wenn man die Richtige Subdomain Anfragt. Ansonsten passiert garnichts wenn ma nur auf port 80 oder 443 Geht.
Kurzum, die Fritzbox und alle anderen Weboberflächen sind nicht direkt Exposed
Ja, aber es wäre dennoch eine Weitere Schutzschicht davor