M 4.223 Integration von Proxy-Servern in das Sicherheitsgateway
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
HTTPS-Sicherheitsproxy
Der HTTPS -Proxy sollte den eintreffenden Datenverkehr entschlüsseln, der Inhaltefilterung zuleiten und daraufhin den Datenverkehr wieder verschlüsseln. Der temporär unverschlüsselte Datenverkehr kann auf unerwünschte Inhalte untersucht werden.
Im besten Fall wird ein HTTPS-Proxy vom eingesetzten Application Level Gateway (ALG) unterstützt. Dann bietet sich der in Abbildung dargestellte, relativ einfache Aufbau an. Hier wird der Übersichtlichkeit halber der Fall betrachtet, in dem der Datenverkehr auf einer eigenen Komponente gefiltert wird. Vielfach wird die Filterung jedoch vom Hersteller bereits in das ALG integriert.
Vorteile "HTTPS-Proxy auf ALG" | Nachteile "HTTPS-Proxy auf ALG" |
---|---|
|
|
Tabelle: Vorteile und Nachteile von HTTPS-Proxy auf ALG
Falls das ALG keinen HTTPS-Proxy anbietet, ergibt sich der in der Abbildung dargestellte Aufbau. Der HTTPS-Proxy befindet sich hier in einer eigenen DMZ . In der Abbildung ist abweichend von der vorhergehenden Abbildung der Fall dargestellt, bei dem Schadinhalte vom ALG gefiltert werden.
Vorteile "HTTPS-Proxy in DMZ" | Nachteile "HTTPS-Proxy in DMZ" |
---|---|
|
|
Tabelle: Vorteile und Nachteile von HTTPS-Proxy in DMZ
Die Stärke der Verschlüsselung innerhalb des vertrauenswürdigen Netzes könnte bei beiden vorgestellten Lösungen dem Schutzbedarf und der Vertrauenswürdigkeit der Teilnehmer angepasst werden, unter Umständen kann hier zur Steigerung der Performance auf eine Verschlüsselung im vertrauenswürdigen Netz verzichtet werden oder ein weniger rechenintensives, schwächeres Verschlüsselungsverfahren eingesetzt werden.
Caching-Proxy
Bei der Nutzung von Diensten könnte der Zugriff auf das nicht-vertrauenswürdige Netz auf bestimmte Proxies ( z. B. Caching-Proxy für HTTP ) beschränkt werden. Die Clients können den ("Zwangs-") Proxy nicht umgehen, um nach außen zu kommunizieren, da die IP -Adresse des Clients vom Sicherheitsgateway abgewiesen wird (nur die IP-Adresse des Caching-Proxy wird vom Sicherheitsgateway akzeptiert).
Vorteile von ("Zwangs-") Caching-Proxies | Nachteile von ("Zwangs-") Caching-Proxies |
---|---|
|
|
Tabelle: Vorteile und Nachteile von Zwangs-Caching-Proxies
Reverse Proxy
"Reverse Proxies" werden im Zusammenhang mit der Bereitstellung von (Web-) Servern auch zur Erreichung folgender Sicherheitsziele verwendet:
- Einschränkung der Kommunikationsverbindungen, die aus dem nicht-vertrauenswürdigen Netz kommend über einen Sicherheitsproxy geleitet werden müssen. Dadurch wird die Administration des Sicherheitsgateways erleichtert und die Wahrscheinlichkeit von Fehlkonfigurationen verringert.
- Verschleierung der Identität des Webservers (mehrere, zur Lastverteilung genutzte Web-Server erscheinen vom nicht-vertrauenswürdigen Netz aus gesehen unter einer IP-Adresse).
- Abfangen von Fehlermeldungen des Webservers, die einem Angreifer Hinweise zur Kompromittierung des Systems liefern könnten (eigentlich handelt es sich hierbei um einen Workaround, da der Webserver dieses Problem selber abfangen sollte).
- Zusätzliche Abschottung des Webservers, d. h. ein Angreifer kann u. U. die Informationen einer Transaktion mitlesen, aber keinen Zugriff auf den Webserver erlangen.
- Abkoppelung des IP-Stacks des Servers vom nicht-vertrauenswürdigen Netz.
- Filterung unerwünschter, aus dem nicht-vertrauenswürdigen Netz stammender Anfragen an den Webserver.
- Erhöhung der Verfügbarkeit aufgrund von Lastverteilung und Lastminderung durch Caching.
In der folgenden Abbildung ist eine Situation dargestellt, in der zwei Server zum Zugriff aus dem nicht-vertrauenswürdigen Netz bereitgestellt werden. In dem abgebildeten Szenario müssen zwei Kommunikationsverbindungen über das ALG und den externen Paketfilter hinweg freigeschaltet werden.
Die in der vorigen Abbildung dargestellten Kommunikationsbeziehungen lassen sich mit Hilfe eines Reverse Proxy reduzieren. In Abbildung ist aus dem nicht-vertrauenswürdigen Netz nur der Zugriff auf den Reverse Proxy gestattet, Server 1 und 2 sind vor Zugriff gesperrt. Auf beide Server kann nur der Reverse Proxy zugreifen.
Zur Erhöhung der Serversicherheit können die Server auch in einer eigenen DMZ betrieben werden, wo sie durch einen Sicherheitsproxy vom Reverse Proxy getrennt werden. Die Übernahme eines Servers wird hierdurch zusätzlich erschwert, allerdings erhöht sich die Anzahl der Kommunikationsbeziehungen über das ALG.
Prüffragen:
- Betrifft den Einsatz eines Reverse-Proxy: Existieren Maßnahmen bei Ausfall des Reverse-Proxy?
- Entspricht der Einsatz der Proxies den Sicherheitsvorgaben der Organisation?
- Betrifft den Einsatz eines Caching-Proxy: Deckt sich der Einsatz des Caching-Proxy mit den Vorgaben der Sicherheitsrichtlinien der Organisation?
- Betrifft den Einsatz eines Caching-Proxy: Existieren Maßnahmen bei Ausfall des Caching-Proxy?
- Existieren Maßnahmen die bei Ausfall eines Proxies getroffen werden?
- Betrifft den Einsatz eines Reverse-Proxy: Deckt sich die Umsetzung des Reverse-Proxy mit den Anforderungen der Sicherheitsvorgaben der Organisation?