Web sunucusu önündeki ters proxy güvenliği artıracak mı?

Üçüncü taraf güvenlik uzmanı, en iyi uygulama güvenlik önlemi olarak web sunucusunun önünde (tümü DMZ'de barındırılan) bir ters proxy çalıştırmamızı önerir.

Bilgisayar korsanlarını önlemek için bir web uygulamasının önünde başka bir güvenlik düzeyi sağladığından, bu tipik bir önerilen mimari olduğunu biliyorum.

Ancak, ters bir proxy, kullanıcı ve dahili web sunucusu arasında HTTP'yi ileri geri hareket ettirdiğinden, web sunucusunun kendisinde saldırıya karşı herhangi bir önlem almaz. Başka bir deyişle, web uygulamanızda bir güvenlik açığı varsa, proxy anlamlı miktarda güvenlik sağlamaz.

Ve bir web uygulamasına saldırı riskinin, proxy'ye yapılan saldırıdan çok daha yüksek olduğu göz önüne alındığında, ortada fazladan bir kutu ekleyerek gerçekten çok şey kazanılıyor mu? Ters bir proxy'nin önbellekleme özelliklerinden hiçbirini kullanmazdık - paketleri ileri geri yönlendirmek için sadece aptal bir araç.

Burada özlediğim başka bir şey var mı? Ters proxy HTTP paket denetimi o kadar iyi oldu ki, büyük performans darboğazları olmadan anlamlı saldırıları tespit edebilir mi, yoksa bu sadece bir güvenlik tiyatrosu örneği mi?

Ters proxy MS ISA fwiw'dir.

Apache, ortak güvenlik saldırılarını algılayacak mod_security'ye sahiptir. Ayrıca kullanılan bant genişliğini kısıtlayabilen mod_cband vardır. ISA'nın benzer bir şeyi olsaydı şaşırmazdım. Proxy üzerinden geçerken HTTP trafiğini gerçekten kontrol eden bir şey olmadan, güvenlik açısından biraz anlamsız.

Ters vekil size yük dengeleme, yük devretme, önbellekleme, SSL ve boşaltma yükleme, web sunucuları iyi oldukları şeyi yapmak için bırakarak: HTML hizmet etmektir.

ISA Server, çeşitli HTTP açıklarını arayabilir ve önleyebilir ve bunların web sunucusuna erişmesini engelleyebilir. Çoğu modern HTTP sunucusu bundan yararlanamazken, bu trafiği web sunucusuna göndermemenin ek bir yararı vardır.

Ayrıca ISA, SSL hızlandırma ekleme ve kullanıcıların çeşitli URL'lere ön yetkilendirme gibi işlemleri yapmayı kolaylaştırabilir. Hatta sizin için bir yük dengeleyici olarak görev yapabilir, böylece ayrı bir donanım yük dengeleyicisi kullanmadan kolayca daha fazla web sunucusu ekleyebilirsiniz.

Bu kişinin ISA'ya verdiğini ve avantajlara kıyasla ISA'yı yönetmeye ve çalıştırmaya ne kadar ek yük getireceğine karşı profesyonelleri aldığınızdan emin olun.

Web sunucusu önündeki ters proxy güvenliği artıracak mı?

Ters proxy, sunucunuzu daha güvenli hale getirebilecek birkaç şey sağlar.

• Web sunucusundan ayrı olup bitenleri izlemek ve kaydetmek için bir yer
• Sisteminizin bir bölümünün savunmasız olduğunu biliyorsanız, web sunucunuzdan ayrı bir filtre veya güvenlik duvarı. Proxy'ye bağlı olarak uygulama düzeyinde filtre uygulayabilirsiniz.
• Web sunucunuzda herhangi bir nedenle yeterince ifade edemiyorsanız, ACL'leri ve kuralları uygulamak için başka bir yer.
• Web sunucunuzla aynı şekilde savunmasız kalmayacak ayrı bir ağ yığını. Bu özellikle proxy'niz farklı bir satıcıdan geliyorsa geçerlidir.
  • Apache kurulumunun Apache sunucusunun önünde bir proxy olarak kullanılması, muhtemelen Apache'nin önünde Squid gibi bir şey kadar yararlı değildir.

Filtrelemesiz bir ters proxy sizi otomatik olarak her şeye karşı korumaz, ancak korumanız gereken sistem yüksek değere sahipse, ters proxy eklemek maliyet desteği ve performans maliyetlerine değer olabilir.

Uygulama sunucunuzu kötü HTTP isteklerine dayalı saldırılara karşı koruyabilir ... Özellikle de ters proxy'de (uygulama sunucusunda değil) tam olarak iyi bir isteğin neye benzediğini yapılandırmak ve kötü isteklere izin vermemek mümkün ise. Kötü isteklerin neye benzediğini söylemek zorunda kalırsanız, neredeyse kesinlikle işe yaramaz. Başka bir deyişle, arabellek taşması saldırılarına karşı koruma sağlayabilir, ancak SQL enjeksiyonundan korumaz.

Çoğunlukla güvenlik tiyatrosu gibi geliyor. Bir güvenlik danışmanı tuttunuz ve güvenliğinizi artırmak için size bir şeyler söylemek zorundalar. Bir saldırganın ters proxy'ye girmesi pek olası değildir ve sadece atlarlarsa her zaman sizi suçlayabilirler; bu yüzden güvenli bir öneri.

Temel olarak, ters proxy'ler altyapınızı dünyadan gizleyecektir. Bu nedenle, web sunucunuz gerçekten yönetilemez ve güvenli değilse, bu genellikle belirsiz bir güvenlik durumudur.

Ayrıca, web sitenizi, özellikle web siteniz "ağır" ise, daha sonra önbellek katmanı olarak davranan bir çeşit DOS'tan (dağıtılmış hizmet reddi) koruyabilir.

Ayrıca bazı gotchas var: Uygulamanızdan müşterinin gerçek IP'sini gizleyecektir. Daha fazla sunucu gücü tüketmenizi ve kırılabilecek bir katman eklemenizi sağlar. Ters proxy'nizin daha fazla bağlantı (genellikle iki kat daha fazla: müşterilere ve web sunucunuza bağlantılar) işlemesi gerektiğini unutmayın.

Günün sonunda, ters bir proxy, yine de güvenli bir web sitesine sahip olmanıza yardımcı olmaz.

Bence Zoredache, ters vekilin sağlayabileceği faydalar konusunda çok iyi bir cevap verdi. Ters proxy, yük dengeleyici ve HTTPS ön ucu olan Pound'u kullandım.

http://www.apsis.ch/pound/

Başka kimsenin bahsetmediğini düşündüğüm bir avantaj, harici güvenlik duvarınız üzerinden herhangi bir harici IP / bağlantı noktası açmak zorunda olmamanızdır. İyi bir ters proxy sistemi, ağınızın doğrudan saldırılara karşı korunması için DMZ içinde ağınızın içinden sunucuya iletişimi başlatır. Ancak bu, diğerlerinin söylediği gibi, sizi kötü yazılmış bir uygulamaya karşı korumaz.