Método CONECTAR HTTP do Apache Proxy ativado

2

Estou usando o Apache como proxy reverso para vários projetos diferentes. A verificação de conformidade com o PCI-DSS mostra que meu Apache está tendo o método HTTP CONNECT ativado.

como indicado no site da Acunetix - link

Tanto quanto sei, o CONNECT é usado pelo servidor da Web para encapsular o SSL para o servidor de aplicativos.

Alguma sugestão de como devo corrigir isso?

Caso contrário, alguém sabe como devo realizar o teste se o método HTTP CONNECT do Apache estiver habilitado / desabilitado?

Eu não tenho muita experiência em rede nem configuro o apache. Corrija-me se eu escrevesse algo bobo.

    
por John 06.11.2013 / 09:23

2 respostas

3

Você só precisa permitir o método CONNECT ao usar uma configuração de proxy de encaminhamento. Em uma configuração de proxy reverso, você não precisará ativar o método de conexão.

O Apache deve ser configurado para funcionar como "man-in-the-middle" se você quiser. Ou chamado de descarregador de SSL do ponto de terminação SSL, pois a configuração não é maliciosa.

Normalmente, o apache é configurado com seus certificados ssl públicos e as solicitações que o apache encaminha para seu servidor de aplicativos são HTTP simples. Se você considera sua própria LAN hostil, também pode encaminhar via HTTPS, mas o apache estabelecerá uma segunda conexão HTTPS.

<VirtualHost 1.2.3.4:443>
  ServerName www.example.com
  SSLEngine on
  SSLCertificateFile /some/path/to/public.cert
  SSLCertificateKeyFile /some/path/to/key
  ProxyPass /app http://appserver.int.example.com/app
  ProxyPassReverse /app http://appserver.int.example.com/app
</VirtualHost>

Ou alternativamente:

  ProxyPass /app https://appserver.int.example.com/app
  ProxyPassReverse /app https://appserver.int.example.com/app
    
por 06.11.2013 / 11:33
1

O que o site sugere é que você restrinja quem pode fazer o CONNECT . Basicamente, você pode ler sobre isso na configuração do seu host. p>

Algo parecido com isso pode funcionar e ser roubado no link acima:

<Proxy *>
   Order Deny,Allow
   Deny from all
   Allow from yournetwork.example.com
</Proxy>

Isso permitirá acesso somente a <Proxy> . Você pode inserir e intervalo de IP, bem como host. Também o Controle do acesso ao seu proxy pode ser uma boa leitura.

Se você tiver mod_proxy_connect carregado, pode assumir que yournetwork.example.com está ativado. Se você quiser apenas usar um proxy reverso, provavelmente poderá descarregar esse módulo todos juntos.

Espero que isso o leve adiante.

    
por 06.11.2013 / 11:36