พร็อกซีย้อนกลับจะอยู่หน้าเว็บเซิร์ฟเวอร์จะปรับปรุงความปลอดภัยหรือไม่

ผู้เชี่ยวชาญด้านความปลอดภัยของบุคคลที่สามขอแนะนำให้เราเรียกใช้พร็อกซีย้อนกลับต่อหน้าเว็บเซิร์ฟเวอร์ (โฮสต์ทั้งหมดใน DMZ) เป็นมาตรการรักษาความปลอดภัยที่ดีที่สุด

ฉันรู้ว่านี่เป็นสถาปัตยกรรมทั่วไปที่แนะนำเนื่องจากมีการรักษาความปลอดภัยระดับต่อหน้าเว็บแอปพลิเคชันเพื่อป้องกันแฮกเกอร์

อย่างไรก็ตามในฐานะที่เป็นพร็อกซีย้อนกลับอย่างสนุกสนาน HTTP การกลับไปกลับมาระหว่างผู้ใช้และเว็บเซิร์ฟเวอร์ภายในจะไม่ให้มาตรการป้องกันการแฮ็คบนเว็บเซิร์ฟเวอร์เอง กล่าวอีกนัยหนึ่งถ้าเว็บแอปของคุณมีช่องโหว่ความปลอดภัยพร็อกซีจะไม่ให้ความปลอดภัยที่มีความหมาย

และเนื่องจากความเสี่ยงของการโจมตีแอปพลิเคชันบนเว็บนั้นสูงกว่าการโจมตีด้วยพร็อกซีมากมีมากขึ้นโดยการเพิ่มกล่องพิเศษตรงกลางหรือไม่ เราจะไม่ใช้ความสามารถในการแคชใด ๆ ของ reverse proxy - เป็นเพียงเครื่องมือโง่ ๆ ที่จะส่งแพ็กเก็ตไปมา

มีอะไรอีกบ้างที่ฉันหายไปที่นี่ การตรวจสอบแพ็คเก็ต HTTP พร็อกซีย้อนกลับทำได้ดีมากมันสามารถตรวจจับการโจมตีที่มีความหมายโดยไม่มีคอขวดประสิทธิภาพที่สำคัญหรือนี่เป็นเพียงตัวอย่างหนึ่งของ Security Theatre?

พร็อกซีย้อนกลับคือ MS ISA fwiw

Apache มี mod_security ซึ่งจะตรวจจับการโจมตีความปลอดภัยทั่วไป นอกจากนี้ยังมี mod_cband ซึ่งสามารถ จำกัด แบนด์วิดท์ที่ใช้ ฉันจะไม่แปลกใจถ้า ISA มีบางสิ่งที่คล้ายกัน หากไม่มีสิ่งใดทำการตรวจสอบปริมาณการใช้งาน HTTP ขณะผ่านพร็อกซีมันจะไม่มีประโยชน์ใด ๆ จากมุมมองความปลอดภัย

สิ่งที่พร็อกซีย้อนกลับจะให้คุณคือการทำโหลดบาลานซ์, ล้มเหลว, แคช, SSL และการคัดลอกออกจากเว็บเซิร์ฟเวอร์ของคุณเพื่อทำสิ่งที่พวกเขาทำได้ดี: ให้บริการ HTML

เซิร์ฟเวอร์ ISA สามารถค้นหาและป้องกันการหาประโยชน์ HTTP ต่างๆและป้องกันไม่ให้เข้าถึงเว็บเซิร์ฟเวอร์ แม้ว่าเซิร์ฟเวอร์ HTTP ที่ทันสมัยส่วนใหญ่จะไม่ใช้ประโยชน์จากสิ่งนี้อีกต่อไป แต่ก็มีประโยชน์เพิ่มเติมที่จะไม่ส่งการรับส่งข้อมูลนี้ไปยังเว็บเซิร์ฟเวอร์

นอกจากนี้ ISA ยังช่วยให้การทำสิ่งต่างๆง่ายขึ้นเช่นการเพิ่มการเร่งความเร็ว SSL และการอนุญาตผู้ใช้ล่วงหน้าลงใน URL ต่างๆ มันสามารถทำหน้าที่เป็น load balancer ให้คุณเพื่อให้คุณสามารถเพิ่มเว็บเซิร์ฟเวอร์ได้ง่ายขึ้นโดยไม่ต้องใช้ load balancer แยกต่างหาก

ให้แน่ใจว่าได้ใช้มืออาชีพที่บุคคลนี้มอบให้กับ ISA และให้น้ำหนักกับค่าใช้จ่ายที่เพิ่มเข้ามามากเท่าไรที่จะมีค่าใช้จ่ายในการจัดการและเรียกใช้ ISA เมื่อเทียบกับผลประโยชน์

พร็อกซีย้อนกลับจะอยู่หน้าเว็บเซิร์ฟเวอร์จะปรับปรุงความปลอดภัยหรือไม่

พร็อกซีย้อนกลับให้คุณสองสามสิ่งที่อาจทำให้เซิร์ฟเวอร์ของคุณปลอดภัยยิ่งขึ้น

• สถานที่ในการตรวจสอบและบันทึกสิ่งที่เกิดขึ้นแยกจากเว็บเซิร์ฟเวอร์
• ที่สำหรับกรองหรือไฟร์วอลล์แยกจากเว็บเซิร์ฟเวอร์ของคุณหากคุณรู้ว่าพื้นที่บางส่วนของระบบของคุณมีความเสี่ยง ขึ้นอยู่กับพร็อกซีคุณอาจกรองในระดับแอปพลิเคชัน
• อีกที่ที่จะใช้ ACL และกฎถ้าคุณไม่สามารถแสดงออกได้เพียงพอด้วยเหตุผลบางอย่างบนเว็บเซิร์ฟเวอร์ของคุณ
• สแต็กเครือข่ายแยกที่จะไม่เสี่ยงในลักษณะเดียวกับเว็บเซิร์ฟเวอร์ของคุณ นี่เป็นเรื่องจริงหากพร็อกซีของคุณมาจากผู้ขายรายอื่น
  • การใช้การตั้งค่า Apache เป็นพร็อกซีหน้าเซิร์ฟเวอร์ Apache อาจไม่เป็นประโยชน์เหมือนกับ Squid หน้า Apache

พร็อกซีย้อนกลับที่ไม่มีการกรองจะไม่ปกป้องคุณจากทุกสิ่งโดยอัตโนมัติ แต่หากระบบที่คุณต้องการปกป้องมีมูลค่าสูงการเพิ่มพร็อกซีย้อนกลับอาจคุ้มค่ากับต้นทุนการสนับสนุนและต้นทุนด้านประสิทธิภาพ

มันสามารถป้องกันแอปพลิเคชันเซิร์ฟเวอร์ของคุณจากการโจมตีตามคำขอ HTTP ที่ไม่ดี ... โดยเฉพาะอย่างยิ่งหากเป็นไปได้ใน reverse proxy (และไม่ได้อยู่ในเซิร์ฟเวอร์แอปพลิเคชัน) เพื่อกำหนดค่าให้ตรงกับคำขอที่ดี หากคุณต้องบอกว่าคำขอที่ไม่ดีนั้นเป็นอย่างไรดูเหมือนว่ามันจะไร้ประโยชน์อย่างแน่นอน กล่าวอีกนัยหนึ่งมันอาจป้องกันการโจมตีจากบัฟเฟอร์ล้น แต่ไม่ใช่จากการฉีด SQL

ส่วนใหญ่ดูเหมือนโรงละครรักษาความปลอดภัย คุณจ้างที่ปรึกษาด้านความปลอดภัยและพวกเขาต้องบอกคุณบางอย่างเพื่อปรับปรุงความปลอดภัยของคุณ มันไม่น่าเป็นไปได้เลยที่ผู้โจมตีจะบุกเข้าไปในพร็อกซีย้อนกลับและหากพวกเขาข้ามมันพวกเขาสามารถตำหนิคุณได้เสมอ ดังนั้นจึงเป็นคำแนะนำที่ปลอดภัย

โดยทั่วไปพร็อกซีย้อนกลับจะซ่อนโครงสร้างพื้นฐานของคุณจากโลก ดังนั้นจึงเป็นกรณีส่วนใหญ่ของการรักษาความปลอดภัยโดยความสับสนเว้นแต่เว็บเซิร์ฟเวอร์ของคุณจะไม่สามารถจัดการและไม่ปลอดภัยจริงๆ

นอกจากนี้ยังสามารถป้องกันเว็บเซิร์ฟเวอร์ของคุณจาก DOS บางประเภท (ปฏิเสธการให้บริการแบบกระจาย) โดยเฉพาะถ้าเว็บไซต์ของคุณ "หนัก" ซึ่งทำหน้าที่เป็นเลเยอร์แคช

มันยังมี gotchas อยู่ด้วยมันจะซ่อน IP ของลูกค้าของคุณจากใบสมัครของคุณ มันจะทำให้คุณใช้พลังงานของเซิร์ฟเวอร์มากขึ้นและเพิ่มเลเยอร์ของสิ่งต่าง ๆ ที่สามารถทำลายได้ โปรดจำไว้ว่าพร็อกซีย้อนกลับของคุณจะต้องจัดการการเชื่อมต่อมากขึ้น (โดยปกติแล้วจะเพิ่มขึ้นสองเท่า: การเชื่อมต่อกับลูกค้าและการเชื่อมต่อกับเว็บเซิร์ฟเวอร์ของคุณ)

ในตอนท้ายของวันพร็อกซีย้อนกลับจะไม่สำรองให้คุณมีเว็บไซต์ที่ปลอดภัย

ฉันคิดว่า Zoredache ให้คำตอบที่ดีมากเกี่ยวกับประโยชน์ที่ reverse proxy สามารถให้ได้ ฉันใช้ Pound ซึ่งเป็น reverse proxy, load-balancer และส่วนหน้า HTTPS

http://www.apsis.ch/pound/

ประโยชน์อย่างหนึ่งที่ฉันไม่คิดว่าคนอื่นพูดถึงคือความจริงที่คุณไม่ต้องเปิด IP / พอร์ตภายนอกผ่านไฟร์วอลล์ภายนอกของคุณ ระบบ reverse proxy ที่ดีจะเริ่มต้นการสื่อสารจากภายในเครือข่ายของคุณไปยังเซิร์ฟเวอร์ใน DMZ เพื่อปกป้องเครือข่ายจากการโจมตีโดยตรง อย่างไรก็ตามสิ่งนี้ & ตามที่คนอื่นพูดจะไม่ปกป้องคุณจากแอปพลิเคชันที่เขียนไม่ดี