Apache of nginx voor tomcat - Serversoftware en clouddiensten

woensdag 8 december 2021 22:03

Acties:

0 Henk 'm!

Topicstarter

Hallo,

Ik ben een site / applicatie aan het onderzoeken. Ik stoot hier op tomcat als webinterface. Ding is dat het een oude tomcat is die niet meer ondersteund wordt.
Ik vermoed dat het niet evident gaat zijn om deze versie snel snel te upgraden. Is het een optie om nginx of apache als proxy ervoor te zetten ?
De applicatie heeft internet facing, daarmee dat nginx of apache het meer secure kan maken tot we naar een nieuwere versie van tomcat overgaan.

Enige feedback ?

Groeten

woensdag 8 december 2021 22:08

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Yarisken schreef op woensdag 8 december 2021 @ 22:03:
De applicatie heeft internet facing, daarmee dat nginx of apache het meer secure kan maken tot we naar een nieuwere versie van tomcat overgaan.

We hebben een speciaal forumdeel voor serversoftware, ik verplaats je topic even naar Serversoftware en Windows Servers

Een reverse proxy kan zeker wat bijdragen maar dan moet je wel goed nadenken over de functionaliteit die je nodig hebt, want als het domweg een doorgeefluikje is waardoor exploits nog steeds misbruikt kunnen worden dan voegt het weinig toe. Heb je hier al over nagedacht of onderzoek naar gedaan?

Exchange en Office 365 specialist. Mijn blog.

woensdag 8 december 2021 23:04

Acties:

0 Henk 'm!

Yarisken

Topicstarter

Jazzy schreef op woensdag 8 december 2021 @ 22:08:
[...]
[mbr]We hebben een speciaal forumdeel voor serversoftware, ik verplaats je topic even naar Serversoftware en Windows Servers[/]

Een reverse proxy kan zeker wat bijdragen maar dan moet je wel goed nadenken over de functionaliteit die je nodig hebt, want als het domweg een doorgeefluikje is waardoor exploits nog steeds misbruikt kunnen worden dan voegt het weinig toe. Heb je hier al over nagedacht of onderzoek naar gedaan?

Hallo Jazzy,

Ik heb al wat zitten opzoeken maar dan kom ik meestal uit bij discussies of het zinvol is om apache voor tomcat te zetten qua performance etc... .
Mijn bedoeling is idd tijd kopen door een apache of nginx ervoor te zetten zodat een exploit niet tot bij de tomcat geraakt. Dus doorgeefluik om de tomcat af te schermen. Ik vermoed dat dit wel moet lukken omdat de apache het verkeer in en uit regelt en je niet meer kan hitten op de tomcat.

woensdag 8 december 2021 23:16

Acties:

+1 Henk 'm!

Bene

list incomprehension

Ja hoor, ook al was het een recente tomcat, het is altijd verstandig om er een proxy voor te zetten en zo te beperken wat er voor de buitenwereld te vinden is. Als je er Nginx of Apache voor zet zou ik dan ook alleen de applicatie URLs bereikbaar maken in de proxy configuratie en niet de /manager URLs bijvoorbeeld.

Nginx is in theorie sneller, mocht je voor apache kiezen omdat dat je beter ligt dan zou ik mod_proxy_ajp inzetten en niet mod_proxy.

woensdag 8 december 2021 23:24

Acties:

0 Henk 'm!

Yarisken

Topicstarter

Bene schreef op woensdag 8 december 2021 @ 23:16:
Ja hoor, ook al was het een recente tomcat, het is altijd verstandig om er een proxy voor te zetten en zo te beperken wat er voor de buitenwereld te vinden is. Als je er Nginx of Apache voor zet zou ik dan ook alleen de applicatie URLs bereikbaar maken in de proxy configuratie en niet de /manager URLs bijvoorbeeld.

Nginx is in theorie sneller, mocht je voor apache kiezen omdat dat je beter ligt dan zou ik mod_proxy_ajp inzetten en niet mod_proxy.

Bedankt voor je feedback. Met /manager urls bedoel je deze van de applicatie en deze enkel bv intern of via vpn intern bereikbaar te maken ?

woensdag 8 december 2021 23:41

Acties:

+1 Henk 'm!

Bene

list incomprehension

Nee. Alsnog een goed idee natuurlijk, om URLs die je alleen intern gebruikt ook af te schermen. Dat kan heel granulair in een willekeurige proxy server. Waar ik naar refereerde: afhankelijk van hoe Tomcat ooit was geïnstalleerd kan de "manager" WAR mee geïnstalleerd zijn. Dat is webapp waar je nieuwe WARs op kunt deployen en dergelijke (zie https://blog.techstacks.c...nt-setting-up-tomcat.html bijvoorbeeld). Dat is natuurlijk een functie waar de rest van het internet niets mee te maken heeft, zeker een verouderde versie niet, want dat opent natuurlijk weer nieuwe opties voor potentiële virtuele inbrekers.

woensdag 8 december 2021 23:55

Acties:

+1 Henk 'm!

downtime

Everybody lies

Yarisken schreef op woensdag 8 december 2021 @ 22:03:
Ik ben een site / applicatie aan het onderzoeken. Ik stoot hier op tomcat als webinterface. Ding is dat het een oude tomcat is die niet meer ondersteund wordt.
Ik vermoed dat het niet evident gaat zijn om deze versie snel snel te upgraden. Is het een optie om nginx of apache als proxy ervoor te zetten ?

Dat is een optie. Ik gebruik daar Apache met de Tomcat Connector oftewel mod_jk (https://tomcat.apache.org/connectors-doc/) voor. Vraag me niet waarom mod_jk want ik heb de setup geërfd van mijn voorganger en heb nooit reden gehad om het te veranderen. Beter is natuurlijk om gewoon een moderne Tomcat te draaien maar, zoals jij ervaart, je hebt het niet altijd voor het kiezen. In mijn geval gaat het trouwens wel om een moderne Tomcat versie maar we hebben security eisen waardoor we een applicatieserver niet direct aan het internet mogen knopen.

woensdag 8 december 2021 23:58

Acties:

0 Henk 'm!

downtime

Everybody lies

Yarisken schreef op woensdag 8 december 2021 @ 23:24:
[...]

Bedankt voor je feedback. Met /manager urls bedoel je deze van de applicatie en deze enkel bv intern of via vpn intern bereikbaar te maken ?

Als je een nieuwe Tomcat download dan vind je in de /webapps folder 5 standaard applicaties. Die zijn normaal gesproken niet nodig en het beste is om die gewoon weg te gooien. Dus als die oude Tomcat van jou één van die 5 applicaties bevat (of alle 5) dan die verwijderen of, als je dat niet aandurft, in elk geval niet extern ontsluiten.

woensdag 8 december 2021 23:58

Acties:

0 Henk 'm!

Yarisken

Topicstarter

Bene schreef op woensdag 8 december 2021 @ 23:41:
Nee. Alsnog een goed idee natuurlijk, om URLs die je alleen intern gebruikt ook af te schermen. Dat kan heel granulair in een willekeurige proxy server. Waar ik naar refereerde: afhankelijk van hoe Tomcat ooit was geïnstalleerd kan de "manager" WAR mee geïnstalleerd zijn. Dat is webapp waar je nieuwe WARs op kunt deployen en dergelijke (zie https://blog.techstacks.c...nt-setting-up-tomcat.html bijvoorbeeld). Dat is natuurlijk een functie waar de rest van het internet niets mee te maken heeft, zeker een verouderde versie niet, want dat opent natuurlijk weer nieuwe opties voor potentiële virtuele inbrekers.

Bedankt Bene, heel duidelijk. Ik heb genoeg voer voor discussie met de ontwikkelaars :-).

donderdag 9 december 2021 00:09

Acties:

0 Henk 'm!

Yarisken

Topicstarter

downtime schreef op woensdag 8 december 2021 @ 23:58:
[...]

Als je een nieuwe Tomcat download dan vind je in de /webapps folder 5 standaard applicaties. Die zijn normaal gesproken niet nodig en het beste is om die gewoon weg te gooien. Dus als die oude Tomcat van jou één van die 5 applicaties bevat (of alle 5) dan die verwijderen of, als je dat niet aandurft, in elk geval niet extern ontsluiten.

Bedankt voor de info.
Ze hebben mij gevraagd om deze applicatie, gemaakt en gehost bij een externe firma, is in detail te bekijken of alles wel secure gebeurt.
Ik ben hier een beerput ( put met stront in Vlaanderen :-) ) aan het opentrekken met allerlei issues dat ik al heb ontdekt. Test, Accept, Prod staat allemaal in 1 netwerk, elke omgeving heeft de url's openstaan naar heel het internet, dus niks whitelisting ... admin login beschikbaar vanaf internet en niks bescherming tegen brute force / andere zoals bv een WAF ... en dan nog een oude not supported anymore tomcat als webinterface voor al die omgevingen .... dat wordt een leuk gesprek morgen.
Als je dan weet dat deze applicatie door een pak mensen wordt gebruikt en gevoelige data bevat ... :-).
Toch maar is kijken om een pentester in te schakelen.

Allen bedankt voor de info.

Pagina: 1

Reageer