Czy zwrotny serwer proxy przed serwerem WWW poprawi bezpieczeństwo?

Zewnętrzny specjalista ds. Bezpieczeństwa zaleca, aby uruchomić odwrotne proxy przed serwerem WWW (wszystkie hostowane w strefie DMZ) jako najlepszy środek bezpieczeństwa.

Wiem, że jest to typowa zalecana architektura, ponieważ zapewnia kolejny poziom bezpieczeństwa przed aplikacją internetową, aby zapobiec hakerom.

Ponieważ jednak odwrotne proxy wesoło przesyła HTTP tam iz powrotem między użytkownikiem a wewnętrznym serwerem WWW, nie zapewni żadnego środka zapobiegającego włamaniu na sam serwer WWW. Innymi słowy, jeśli Twoja aplikacja internetowa ma lukę w zabezpieczeniach, serwer proxy nie zapewni żadnej znaczącej ochrony.

A biorąc pod uwagę, że ryzyko ataku na aplikację internetową jest znacznie wyższe niż ryzyko ataku na serwer proxy, czy naprawdę można wiele zyskać, dodając dodatkowe pole w środku? Nie używalibyśmy żadnej funkcji buforowania odwrotnego proxy - tylko głupie narzędzie do przesyłania pakietów tam iz powrotem.

Czy brakuje mi czegoś jeszcze? Czy inspekcja pakietów HTTP z odwrotnym proxy jest tak dobra, że ​​może wykrywać znaczące ataki bez poważnych wąskich gardeł wydajności, czy to tylko kolejny przykład Security Theatre?

Odwrotnym proxy jest MS ISA fwiw.

Apache ma mod_security, który wykryje typowe ataki bezpieczeństwa. Istnieje również mod_cband, który może ograniczyć wykorzystywaną przepustowość. Nie zdziwiłbym się, gdyby ISA miała coś podobnego. Bez czegoś, co faktycznie sprawdza ruch HTTP przechodzący przez serwer proxy, z punktu widzenia bezpieczeństwa jest to trochę bezcelowe.

Odwrotne proxy daje ci równoważenie obciążenia, przełączanie awaryjne, buforowanie, SSL i odciążanie plików, pozostawiając twoje serwery internetowe do robienia tego, w czym są dobrzy: serwowania HTML.

ISA Server jest w stanie wyszukiwać i zapobiegać rozmaitym exploitom HTTP oraz uniemożliwiać im dostęp do serwera WWW. Chociaż większość współczesnych serwerów HTTP nie jest już do tego wykorzystywana, ma tę dodatkową zaletę, że nie wysyła tego ruchu do serwera WWW.

Ponadto ISA może ułatwić wykonywanie takich czynności, jak dodawanie akceleracji SSL i wstępna autoryzacja użytkowników do różnych adresów URL. Może nawet działać jako moduł równoważenia obciążenia, dzięki czemu można łatwo dodawać więcej serwerów WWW bez korzystania z osobnego modułu równoważenia obciążenia.

Pamiętaj, aby wziąć profesjonalistów, których ta osoba udziela na ISA, i porównać to z tym, ile dodatkowego obciążenia będzie kosztować zarządzanie i uruchamianie ISA w porównaniu do korzyści.

Czy zwrotny serwer proxy przed serwerem WWW poprawi bezpieczeństwo?

Odwrotny serwer proxy zapewnia kilka rzeczy, które mogą zwiększyć bezpieczeństwo Twojego serwera.

• Miejsce do monitorowania i rejestrowania tego, co się dzieje oddzielnie od serwera WWW
• Miejsce do filtrowania lub zapory ogniowej oddzielone od serwera WWW, jeśli wiesz, że jakiś obszar twojego systemu jest podatny na ataki. W zależności od serwera proxy możesz filtrować na poziomie aplikacji.
• Kolejne miejsce do implementacji list ACL i reguł, jeśli z jakiegoś powodu nie możesz być wystarczająco wyrazisty na swoim serwerze internetowym.
• Oddzielny stos sieci, który nie będzie narażony na ataki w taki sam sposób, jak serwer WWW. Jest to szczególnie prawdziwe, jeśli serwer proxy pochodzi od innego dostawcy.
  • Używanie konfiguracji Apache jako serwera proxy przed serwerem Apache prawdopodobnie nie jest tak pomocne, jak coś takiego jak Squid przed Apache.

Odwrotny serwer proxy bez filtrowania nie chroni automatycznie przed wszystkim, ale jeśli system, który należy chronić, jest bardzo wartościowy, dodanie zwrotnego serwera proxy może być warte kosztów wsparcia i kosztów wydajności.

Może chronić Twój serwer aplikacji przed atakami opartymi na złych żądaniach HTTP ... Zwłaszcza jeśli jest możliwe na odwrotnym proxy (a nie na serwerze aplikacji), aby dokładnie skonfigurować wygląd dobrego żądania i nie pozwolić na złe żądania. Jeśli musisz powiedzieć, jak wyglądają złe żądania, prawie na pewno będzie bezużyteczne. Innymi słowy, może chronić przed atakami przepełnienia bufora, ale nie przed iniekcją SQL.

Przeważnie brzmi to jak teatr bezpieczeństwa. Zatrudniłeś konsultanta ds. Bezpieczeństwa, który musi ci powiedzieć, co należy zrobić, aby poprawić twoje bezpieczeństwo. Jest mało prawdopodobne, że atakujący kiedykolwiek włamie się na zwrotny serwer proxy, a jeśli go obejdzie, zawsze będzie cię winił; więc jest to bezpieczna rekomendacja.

Zasadniczo odwrotne proxy ukryją twoją infrastrukturę przed światem. Jest to więc głównie kwestia bezpieczeństwa przez zaciemnienie, chyba że twój serwer jest naprawdę niemożliwy do zarządzania i niezabezpieczony.

Może także chronić twoje serwery WWW przed pewnego rodzaju DOS (rozproszoną odmową usługi), szczególnie jeśli twoja strona jest „ciężka”, działając wtedy jako warstwa buforująca.

Ma też pewne problemy: ukryje przed twoją aplikacją prawdziwe IP klienta. Sprawi, że zużyjesz więcej mocy serwera i dodasz warstwę rzeczy, które mogą się zepsuć. Pamiętaj, że zwrotny serwer proxy będzie musiał obsłużyć więcej połączeń (zwykle dwa razy więcej: połączenia z klientami i połączenia z serwerem internetowym).

Na koniec odwrotny serwer proxy i tak nie oszczędza na bezpiecznej stronie internetowej.

Myślę, że Zoredache dał bardzo dobrą odpowiedź na temat korzyści, jakie może zapewnić zwrotny serwer proxy. Użyłem Pound, który jest odwrotnym proxy, równoważeniem obciążenia i nakładką HTTPS.

http://www.apsis.ch/pound/

Jedną z korzyści, o których nie sądzę, by ktokolwiek mówił, jest to, że nie musisz otwierać żadnych zewnętrznych adresów IP / portów przez zewnętrzną zaporę ogniową. Dobry system odwrotnego proxy zainicjuje komunikację z Twojej sieci do serwera w DMZ, chroniąc sieci przed bezpośrednimi atakami. To jednak, jak powiedzieli inni, nie ochroni cię przed źle napisaną aplikacją.