Verbessert ein Reverse-Proxy vor dem Webserver die Sicherheit?

14

Sicherheitsexperten von Drittanbietern empfehlen, einen Reverse-Proxy vor dem Webserver (alle in der DMZ gehostet) als Sicherheitsmaßnahme für bewährte Methoden auszuführen.

Ich weiß, dass dies eine typische empfohlene Architektur ist, da sie eine andere Sicherheitsstufe vor einer Webanwendung bietet, um Hacker zu verhindern.

Da ein Reverse-Proxy HTTP munter zwischen dem Benutzer und dem internen Webserver hin und her pendelt, bietet er keine Möglichkeit, das Hacken des Webservers selbst zu verhindern. Mit anderen Worten, wenn Ihre Web-App eine Sicherheitslücke aufweist, bietet der Proxy keine nennenswerte Sicherheit.

Und da das Risiko eines Angriffs auf eine Webanwendung viel höher ist als das eines Angriffs auf den Proxy, kann man dann wirklich viel gewinnen, wenn man ein zusätzliches Kästchen in der Mitte hinzufügt? Wir würden keine der Caching-Funktionen eines Reverse-Proxys verwenden - nur ein dummes Tool, um Pakete hin und her zu pendeln.

Fehlt hier noch etwas? Ist die Reverse-Proxy-HTTP-Paketprüfung so gut, dass sie sinnvolle Angriffe ohne größere Leistungsengpässe erkennen kann, oder ist dies nur ein weiteres Beispiel für Security Theatre?

Reverse Proxy ist MS ISA fwiw.

Darren
quelle

Antworten:

9

Apache verfügt über mod_security, mit dem häufige Sicherheitsangriffe erkannt werden. Es gibt auch mod_cband, das die verwendete Bandbreite einschränken kann. Es würde mich nicht wundern, wenn ISA etwas Ähnliches hätte. Ohne dass der HTTP-Datenverkehr beim Durchlaufen des Proxys tatsächlich überprüft wird, ist alles unter Sicherheitsaspekten ein wenig sinnlos.

Über einen Reverse-Proxy können Sie Lastenausgleich, Failover, Caching, SSL und Filering-Offload durchführen. So können Ihre Webserver das tun, was sie können: HTML bereitstellen.

David Pashley
quelle
8

ISA Server kann verschiedene HTTP-Exploits suchen, verhindern und verhindern, dass diese auf den Webserver gelangen. Während die meisten modernen HTTP-Server dadurch nicht mehr ausgenutzt werden können, hat dies den zusätzlichen Vorteil, dass dieser Datenverkehr nicht an den Webserver gesendet wird.

Darüber hinaus kann ISA das Hinzufügen von SSL-Beschleunigung und die Vorautorisierung von Benutzern zu verschiedenen URLs vereinfachen. Es kann sogar als Load Balancer für Sie fungieren, sodass Sie problemlos weitere Webserver hinzufügen können, ohne einen separaten Hardware-Load Balancer zu verwenden.

Stellen Sie sicher, dass Sie die Profis, die diese Person für ISA einsetzt, gegen den zusätzlichen Aufwand abwägen, den das Verwalten und Ausführen von ISA im Vergleich zu den Vorteilen verursacht.

Aaron Weiker
quelle
8

Verbessert ein Reverse-Proxy vor dem Webserver die Sicherheit?

Ein Reverse-Proxy bietet Ihnen einige Dinge, die Ihren Server sicherer machen können.

  • Ein Ort, an dem überwacht und protokolliert werden kann, unabhängig vom Webserver
  • Ein Ort zum Filtern oder zur Firewall-Trennung von Ihrem Webserver, wenn Sie wissen, dass ein Bereich Ihres Systems anfällig ist. Je nach Proxy können Sie möglicherweise auf Anwendungsebene filtern.
  • Ein weiterer Ort, an dem Sie ACLs und Regeln implementieren können, wenn Sie auf Ihrem Webserver aus irgendeinem Grund nicht aussagekräftig genug sind.
  • Ein separater Netzwerkstapel, der nicht so anfällig ist wie Ihr Webserver. Dies gilt insbesondere dann, wenn Ihr Proxy von einem anderen Anbieter stammt.
    • Die Verwendung des Apache-Setups als Proxy vor dem Apache-Server ist wahrscheinlich nicht so hilfreich wie Squid vor dem Apache.

Ein Reverse-Proxy ohne Filterung schützt Sie nicht automatisch vor allem, aber wenn das zu schützende System einen hohen Wert aufweist, ist das Hinzufügen eines Reverse-Proxy möglicherweise die Kosten für Support und Leistung wert.

Zoredache
quelle
6

Es könnte Ihren Anwendungsserver vor Angriffen schützen, die auf schlechten HTTP-Anforderungen basieren ... Insbesondere wenn es auf dem Reverse-Proxy (und nicht auf dem Anwendungsserver) möglich ist, genau zu konfigurieren, wie eine gute Anfrage aussieht, und schlechte Anfragen nicht durchzulassen. Wenn Sie sagen müssen, wie schlechte Anfragen aussehen, ist dies mit ziemlicher Sicherheit nutzlos. Mit anderen Worten, es schützt möglicherweise vor Pufferüberlaufangriffen, jedoch nicht vor SQL-Injection.

Meistens klingt es nach Sicherheitstheater. Sie haben einen Sicherheitsberater eingestellt, der Ihnen etwas mitteilen muss, um Ihre Sicherheit zu verbessern. Es ist ziemlich unwahrscheinlich, dass ein Angreifer jemals in den Reverse-Proxy einbricht, und wenn er ihn einfach umgeht, kann er Ihnen immer die Schuld geben. Es ist also eine sichere Empfehlung.

freiheit
quelle
3

Grundsätzlich verbergen Reverse-Proxys Ihre Infrastruktur vor der Welt. Es handelt sich also hauptsächlich um einen Fall von Sicherheit durch Unbekanntheit, es sei denn, Ihr Webserver ist wirklich nicht verwaltbar und ungesichert.

Es kann auch Ihre Webserver vor einer Art DOS (Distributed Denial of Service) schützen, insbesondere wenn Ihre Website "schwer" ist und dann als Caching-Ebene fungiert.

Es hat auch einige Fallstricke: Es wird die wahre IP des Kunden vor Ihrer Anwendung verbergen. Dadurch verbrauchen Sie mehr Serverleistung und fügen eine Reihe von Dingen hinzu, die brechen können. Denken Sie daran, dass Ihr Reverse-Proxy mehr Verbindungen verarbeiten muss (normalerweise zweimal mehr: Verbindungen zu Kunden und Verbindungen zu Ihrem Webserver).

Letztendlich erspart Ihnen ein Reverse-Proxy ohnehin keine sichere Website.

Xavier Nicollet
quelle
0

Ich denke, Zoredache hat eine sehr gute Antwort auf die Vorteile gegeben, die ein Reverse-Proxy bieten kann. Ich habe Pound verwendet, das ein Reverse-Proxy, ein Load-Balancer und ein HTTPS-Frontend ist.

http://www.apsis.ch/pound/

ChrisNZ
quelle
0

Ein Vorteil, über den meines Erachtens niemand gesprochen hat, ist die Tatsache, dass Sie keine externen IP-Adressen / Ports über Ihre externe Firewall öffnen müssen. Ein gutes Reverse-Proxy-System initiiert die Kommunikation von Ihrem Netzwerk zum Server in der DMZ und schützt die Netzwerke vor direkten Angriffen. Dies schützt Sie jedoch nicht vor einer schlecht geschriebenen Bewerbung.

user2259963
quelle