Um proxy reverso na frente do servidor web melhorará a segurança?

12

O profissional de segurança de terceiros está recomendando que executemos um proxy reverso na frente do servidor da web (todos hospedados na DMZ) como uma medida de segurança de prática recomendada.

Eu sei que essa é uma arquitetura típica recomendada, pois fornece outro nível de segurança na frente de um aplicativo da Web para impedir que hackers ocorram.

No entanto, como um proxy reverso está transportando o HTTP de um lado para outro entre o usuário e o servidor da web interno, ele não fornecerá nenhuma medida de prevenção de invasão no próprio servidor da web. Em outras palavras, se o seu aplicativo da Web tiver uma falha de segurança, o proxy não fornecerá uma quantidade significativa de segurança.

E dado que o risco de um ataque a uma aplicação web é muito maior do que o de um ataque ao proxy, há realmente muito ganho adicionando uma caixa extra no meio? Nós não estaríamos usando nenhum dos recursos de armazenamento em cache de um proxy reverso - apenas uma ferramenta estúpida para transportar pacotes de um lado para o outro.

Há algo mais que eu estou sentindo falta aqui? A inspeção de pacotes HTTP com proxy reverso ficou tão boa que pode detectar ataques significativos sem grandes gargalos de desempenho, ou isso é apenas mais um exemplo do Security Theater?

O proxy reverso é o MS ISA fwiw.

    
por Darren 13.06.2009 / 00:20

7 respostas

8

O ISA Server é capaz de procurar e impedir várias explorações de HTTP e impedi-los de chegar ao servidor da web. Embora a maioria dos servidores HTTP modernos não sejam mais exploráveis por isso, ela tem o benefício adicional de não enviar esse tráfego para o servidor da Web.

Além disso, o ISA pode facilitar a execução de tarefas, como adicionar aceleração de SSL e pré-autorização de usuários a várias URLs. Ele pode atuar como um balanceador de carga para que você possa adicionar mais servidores da Web sem usar um balanceador de carga de hardware separado.

Certifique-se de levar os profissionais que essa pessoa está dando sobre a ISA e pondere-a em relação à sobrecarga que custará para gerenciar e executar o ISA em comparação com os benefícios.

    
por 13.06.2009 / 00:30
8

O Apache possui o mod_security, que detecta ataques de segurança comuns. Há também o mod_cband, que pode restringir a largura de banda usada. Eu não ficaria surpreso se o ISA tivesse algo parecido. Sem algo realmente fazendo verificações no tráfego HTTP enquanto ele passa pelo proxy, é um pouco inútil do ponto de vista da segurança.

O que um proxy reverso lhe dará é balanceamento de carga, failover, armazenamento em cache, SSL e armazenamento off-loading, deixando seus servidores da Web fazerem o que eles são bons: servir HTML.

    
por 13.06.2009 / 01:29
7

Will a reverse proxy in front of web server improve security?

Um proxy reverso fornece algumas coisas que podem tornar seu servidor mais seguro.

  • Um local para monitorar e registrar o que está acontecendo separado do servidor da web
  • Um local para filtrar ou firewall separado do servidor da Web se você souber que alguma área do sistema está vulnerável. Dependendo do proxy, você poderá filtrar no nível do aplicativo.
  • Outro local para implementar ACLs e regras se você não puder ser expressivo o suficiente por algum motivo em seu servidor da Web.
  • Uma pilha de rede separada que não será vulnerável da mesma maneira que seu servidor da web. Isso é particularmente verdadeiro se o seu proxy for de um fornecedor diferente.
    • Usar a configuração do Apache como proxy na frente do servidor Apache provavelmente não é tão útil quanto algo como o Squid na frente do Apache.

Um proxy reverso sem filtragem não protege você automaticamente contra tudo, mas se o sistema que você precisa proteger é de alto valor, adicionar um proxy reverso pode valer o custo de suporte e os custos de desempenho.

    
por 13.06.2009 / 01:56
5

Ele poderia proteger seu servidor de aplicativos contra ataques baseados em solicitações HTTP incorretas ... Especialmente se for possível no proxy reverso (e não no servidor de aplicativos) configurar exatamente como uma boa solicitação se parece e não permitir solicitações incorretas por meio de . Se você tem que dizer quais são os pedidos ruins, quase certamente será inútil. Em outras palavras, ele pode proteger contra ataques de estouro de buffer, mas não de injeção de SQL.

Na maioria das vezes, parece um teatro de segurança. Você contratou um consultor de segurança e eles têm que lhe dizer algo para melhorar sua segurança. É muito improvável que um invasor consiga invadir o proxy reverso e, se simplesmente ignorar, ele sempre poderá culpá-lo; por isso é uma recomendação segura.

    
por 13.06.2009 / 00:26
3

Basicamente, os proxies reversos ocultam sua infraestrutura do mundo. Portanto, é principalmente um caso de segurança por obscuridade, a menos que seu servidor da Web seja realmente incontrolável e inseguro.

Ele também pode proteger seus servidores web de algum tipo de DOS (negação de serviço distribuída), especialmente se o seu site for "pesado", agindo como uma camada de cache.

Ele também tem algumas dicas: ele ocultará do seu aplicativo o IP real do cliente. Isso fará com que você consuma mais energia do servidor e adicione uma camada de coisas que podem ser quebradas. Lembre-se de que seu proxy reverso terá que lidar com mais conexões (normalmente duas vezes mais: conexões com clientes e conexões com seu servidor web).

No final do dia, um proxy reverso não poupará você de ter um site seguro.

    
por 16.11.2015 / 16:25
0

Acho que o Zoredache deu uma resposta muito boa quanto aos benefícios que um proxy reverso pode oferecer. Eu usei Pound, que é um proxy reverso, balanceador de carga e frontend HTTPS.

link

    
por 13.06.2009 / 13:37
0

Um benefício que eu não acho que ninguém mais tenha falado é o fato de você não precisar abrir nenhum IP externo / portas através do seu firewall externo. Um bom sistema de proxy reverso iniciará a comunicação de dentro de sua rede para o servidor na DMZ, protegendo as redes contra ataques diretos. Isso, no entanto & como outros disseram, não irá protegê-lo contra uma aplicação mal escrita.

    
por 16.11.2015 / 15:43