Một proxy ngược trước máy chủ web sẽ cải thiện bảo mật?

Chuyên gia bảo mật của bên thứ ba đang khuyến nghị chúng tôi chạy proxy ngược trước máy chủ web (tất cả được lưu trữ trong DMZ) như một biện pháp bảo mật thực tiễn tốt nhất.

Tôi biết đây là một kiến ​​trúc được đề xuất điển hình vì nó cung cấp một mức độ bảo mật khác trước một ứng dụng web để ngăn chặn tin tặc.

Tuy nhiên, vì một proxy ngược đang vui vẻ chuyển HTTP qua lại giữa người dùng và máy chủ web nội bộ, nó sẽ không cung cấp bất kỳ biện pháp ngăn chặn hack nào trên chính máy chủ web. Nói cách khác, nếu ứng dụng web của bạn có lỗ hổng bảo mật, proxy sẽ không cung cấp bất kỳ lượng bảo mật có ý nghĩa nào.

Và cho rằng nguy cơ tấn công vào một ứng dụng web cao hơn nhiều so với một cuộc tấn công vào proxy, có thực sự thu được nhiều bằng cách thêm một hộp phụ ở giữa không? Chúng tôi sẽ không sử dụng bất kỳ khả năng lưu trữ nào của proxy ngược - chỉ là một công cụ ngu ngốc để đưa các gói tin qua lại.

Có cái gì khác tôi đang thiếu ở đây? Việc kiểm tra gói HTTP proxy ngược có tốt đến mức nó có thể phát hiện các cuộc tấn công có ý nghĩa mà không bị tắc nghẽn hiệu suất lớn, hay đây chỉ là một ví dụ khác của Security Theater?

Proxy ngược là MS fwiw MS.

Apache có mod_security, sẽ phát hiện các cuộc tấn công bảo mật phổ biến. Ngoài ra còn có mod_cband, có thể hạn chế băng thông được sử dụng. Tôi sẽ không ngạc nhiên nếu ISA có cái gì đó tương tự. Không có thứ gì đó thực sự kiểm tra lưu lượng HTTP khi nó đi qua proxy, tất cả đều hơi vô nghĩa theo quan điểm bảo mật.

Những gì một proxy ngược sẽ cung cấp cho bạn là cân bằng tải, chuyển đổi dự phòng, lưu vào bộ đệm, SSL và lưu trữ khi tải xuống, để các máy chủ web của bạn thực hiện những gì chúng giỏi: phục vụ HTML.

Máy chủ ISA có thể tìm kiếm và ngăn chặn các khai thác HTTP khác nhau và ngăn chúng truy cập vào máy chủ web. Mặc dù hầu hết các máy chủ HTTP hiện đại không còn có thể khai thác được bằng cách này, nhưng nó có thêm lợi ích của việc không gửi lưu lượng truy cập này đến máy chủ web.

Ngoài ra, ISA có thể giúp thực hiện những việc dễ dàng hơn như thêm gia tốc SSL và ủy quyền trước của người dùng vào các URL khác nhau. Nó thậm chí có thể hoạt động như một bộ cân bằng tải cho bạn để bạn có thể dễ dàng thêm nhiều máy chủ web hơn mà không cần sử dụng bộ cân bằng tải phần cứng riêng biệt.

Hãy chắc chắn rằng người này đang cung cấp cho ISA và cân nhắc với chi phí phải trả thêm bao nhiêu để quản lý và chạy ISA so với lợi ích.

Một proxy ngược trước máy chủ web sẽ cải thiện bảo mật?

Một proxy ngược cung cấp cho bạn một vài điều có thể làm cho máy chủ của bạn an toàn hơn.

• Một nơi để theo dõi và ghi nhật ký những gì đang diễn ra tách biệt với máy chủ web
• Một nơi để lọc hoặc tường lửa tách biệt với máy chủ web của bạn nếu bạn biết rằng một số khu vực trong hệ thống của bạn dễ bị tấn công. Tùy thuộc vào proxy, bạn có thể lọc ở cấp ứng dụng.
• Một nơi khác để thực hiện ACL và quy tắc nếu bạn không thể biểu cảm đủ vì một số lý do trên máy chủ web của bạn.
• Một ngăn xếp mạng riêng biệt sẽ không dễ bị tổn thương theo cùng một cách với máy chủ web của bạn. Điều này đặc biệt đúng nếu proxy của bạn đến từ một nhà cung cấp khác.
  • Sử dụng thiết lập Apache làm proxy trước máy chủ Apache có lẽ không hữu ích như thứ gì đó như Squid trước Apache.

Một proxy ngược không có bộ lọc sẽ không tự động bảo vệ bạn trước mọi thứ, nhưng nếu hệ thống bạn cần bảo vệ có giá trị cao thì việc thêm một proxy ngược có thể đáng giá cho chi phí hỗ trợ và hiệu suất.

Nó có thể bảo vệ máy chủ ứng dụng của bạn khỏi các cuộc tấn công dựa trên các yêu cầu HTTP xấu ... Đặc biệt là nếu có thể trên proxy ngược (chứ không phải trên máy chủ ứng dụng) để định cấu hình chính xác yêu cầu tốt trông như thế nào và không cho phép các yêu cầu xấu thông qua. Nếu bạn phải nói với nó những yêu cầu xấu trông như thế nào, nó gần như chắc chắn sẽ vô dụng. Nói cách khác, nó có thể bảo vệ khỏi các cuộc tấn công tràn bộ đệm, nhưng không phải từ việc tiêm SQL.

Hầu hết, nó có vẻ như nhà hát an ninh. Bạn đã thuê một nhà tư vấn bảo mật và họ phải cho bạn biết phải làm gì để cải thiện an ninh của bạn. Rất khó có khả năng kẻ tấn công sẽ đột nhập vào proxy ngược và nếu họ đơn giản bỏ qua nó, họ luôn có thể đổ lỗi cho bạn; Vì vậy, đó là một khuyến nghị an toàn.

Về cơ bản, proxy ngược sẽ ẩn cơ sở hạ tầng của bạn khỏi thế giới. Vì vậy, nó chủ yếu là một trường hợp bảo mật bởi sự tối nghĩa, trừ khi máy chủ web của bạn thực sự không thể quản lý và không được bảo mật.

Nó cũng có thể bảo vệ máy chủ web của bạn khỏi một số loại DOS (từ chối dịch vụ phân tán), đặc biệt nếu trang web của bạn "nặng", hoạt động như một lớp bộ đệm.

Nó cũng có một số vấn đề với nó: nó sẽ ẩn khỏi ứng dụng của bạn IP thực của khách hàng. Nó sẽ khiến bạn tiêu thụ nhiều năng lượng máy chủ hơn và thêm một lớp những thứ có thể phá vỡ. Hãy nhớ rằng proxy ngược của bạn sẽ phải xử lý nhiều kết nối hơn (thường là gấp hai lần: kết nối với khách hàng và kết nối với máy chủ web của bạn).

Vào cuối ngày, một proxy ngược sẽ không cho phép bạn có một trang web an toàn.

Tôi nghĩ rằng Zoredache đã đưa ra một câu trả lời rất hay về những lợi ích mà một proxy ngược có thể cung cấp. Tôi đã sử dụng Pound là proxy ngược, cân bằng tải và lối vào HTTPS.

http://www.apsis.ch/pound/

Một lợi ích mà tôi không nghĩ rằng bất kỳ ai khác đã nói đến là thực tế bạn không phải mở bất kỳ IP / cổng bên ngoài nào thông qua tường lửa bên ngoài của bạn. Một hệ thống proxy ngược tốt sẽ bắt đầu liên lạc từ bên trong mạng của bạn đến máy chủ trong DMZ bảo vệ mạng trước các cuộc tấn công trực tiếp. Tuy nhiên, điều này & như những người khác đã nói, sẽ không bảo vệ bạn trước một ứng dụng được viết kém.