M 4.223 Integration von Proxy-Servern in das Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

HTTPS-Sicherheitsproxy

Der HTTPS-Proxy sollte den eintreffenden Datenverkehr entschlüsseln, der Inhaltefilterung zuleiten und daraufhin den Datenverkehr wieder verschlüsseln. Der temporär unverschlüsselte Datenverkehr kann auf unerwünschte Inhalte untersucht werden.

Im besten Fall wird ein HTTPS-Proxy vom eingesetzten Application Level Gateway (ALG) unterstützt. Dann bietet sich der in Abbildung dargestellte, relativ einfache Aufbau an. Hier wird der Übersichtlichkeit halber der Fall betrachtet, in dem der Datenverkehr auf einer eigenen Komponente gefiltert wird. Vielfach wird die Filterung jedoch vom Hersteller bereits in das ALG integriert.

Integration eines internen HTTPS-Proxies

Abbildung: Integration eines internen HTTPS-Proxies

Vorteile "HTTPS-Proxy auf ALG" Nachteile "HTTPS-Proxy auf ALG"
  • Einfache Einrichtung, da in der Regel Konfigurationsoberflächen zur Verfügung stehen.
  • Gegenüber einem externen HTTPS-Proxy ergibt sich eine geringere Anzahl an Kommunikationsbeziehungen zwischen den an der SSL-Entschlüsselung und an der Inhaltefilterung beteiligten Modulen (da die Daten das ALG nicht verlassen müssen).
  • Die Komplexität von SSL begünstigt Fehler bei der Entwicklung der Proxy-Software, was zu Schwachstellen führen kann. Durch Fehler in der SSL-Implementierung kann dann möglicherweise das gesamte ALG übernommen werden.
  • Der maximale Datendurchsatz wird aufgrund der rechenintensiven Schlüsselverarbeitung und der daraus resultierenden verstärkten Auslastung des ALG verringert.

Tabelle: Vorteile und Nachteile von HTTPS-Proxy auf ALG

Falls das ALG keinen HTTPS-Proxy anbietet, ergibt sich der in der Abbildung dargestellte Aufbau. Der HTTPS-Proxy befindet sich hier in einer eigenen DMZ. In der Abbildung ist abweichend von der vorhergehenden Abbildung der Fall dargestellt, bei dem Schadinhalte vom ALG gefiltert werden.

Integration eines externen HTTPS-Proxies

Abbildung: Integration eines externen HTTPS-Proxies

Vorteile "HTTPS-Proxy in DMZ" Nachteile "HTTPS-Proxy in DMZ"
  • Die Produktauswahl ist unabhängig vom ALG möglich.
  • Entlastung des ALGs, da die rechenintensive Schlüsselverwaltung auf einem eigenen Rechner stattfindet.
  • Auf dem ALG müssen mehrere Proxies eingerichtet werden.
  • Fehlkonfigurationen werden aufgrund der komplexen Kommunikationsbeziehungen der beteiligten Komponenten begünstigt.
  • Erhöhte Latenzzeiten gegenüber einem auf dem ALG integrierten HTTPS-Proxy beim Abruf von Daten, da mehrere TCP- bzw. UDP-Verbindungen zwischen den einzelnen Modulen aufgebaut werden müssen.

Tabelle: Vorteile und Nachteile von HTTPS-Proxy in DMZ

Die Stärke der Verschlüsselung innerhalb des vertrauenswürdigen Netzes könnte bei beiden vorgestellten Lösungen dem Schutzbedarf und der Vertrauenswürdigkeit der Teilnehmer angepasst werden, unter Umständen kann hier zur Steigerung der Performance auf eine Verschlüsselung im vertrauenswürdigen Netz verzichtet werden oder ein weniger rechenintensives, schwächeres Verschlüsselungsverfahren eingesetzt werden.

Caching-Proxy

Bei der Nutzung von Diensten könnte der Zugriff auf das nicht-vertrauenswürdige Netz auf bestimmte Proxies (z. B. Caching-Proxy für HTTP) beschränkt werden. Die Clients können den ("Zwangs-") Proxy nicht umgehen, um nach außen zu kommunizieren, da die IP-Adresse des Clients vom Sicherheitsgateway abgewiesen wird (nur die IP-Adresse des Caching-Proxy wird vom Sicherheitsgateway akzeptiert).

Vorteile von ("Zwangs-") Caching-Proxies Nachteile von ("Zwangs-") Caching-Proxies
  • Umfangreiche Möglichkeiten zur Protokollierung des HTTP-Verkehrs, falls nur ein einstufiges Sicherheitsgateway verwendet wird (bestehend aus einem Paketfilter).
  • Erweiterte Filtermöglichkeiten, falls nur ein einstufiger Aufbau bestehend aus einem Paketfilter eingesetzt wird. Mit einem Caching-Proxy lassen sich beispielsweise filtern:
    • Cookies,
    • URLs,
    • HTTP-Referrer,
    • HTTP-Via und
    • HTTP-Server.
  • Reduzierung des übertragenen Datenvolumens aufgrund der Caching-Funktionalität.
Anmerkung: In der Regel werden Caching-Proxies nicht unter Sicherheitsaspekten entwickelt. Ein dedizierter Sicherheitsproxy sollte den Caching-Proxies nach Möglichkeit vorgezogen werden.
  • Kompletter Ausfall von HTTP/HTTPS bei Ausfall des Proxies. Eine vorübergehende Inbetriebnahme unter Verzicht auf den Proxy erfordert umfangreiche Konfigurationsarbeiten (die Sperrlisten auf dem Paketfilter müssen geändert werden und die Proxyeinstellungen der Clients müssen angepasst werden, falls der Caching-Proxy nicht transparent betrieben wurde). In der Regel ist deshalb eine redundante Auslegung des Proxies notwendig.

Tabelle: Vorteile und Nachteile von Zwangs-Caching-Proxies

Reverse Proxy

"Reverse Proxies" werden im Zusammenhang mit der Bereitstellung von (Web-) Servern auch zur Erreichung folgender Sicherheitsziele verwendet:

In der folgenden Abbildung ist eine Situation dargestellt, in der zwei Server zum Zugriff aus dem nicht-vertrauenswürdigen Netz bereitgestellt werden. In dem abgebildeten Szenario müssen zwei Kommunikationsverbindungen über das ALG und den externen Paketfilter hinweg freigeschaltet werden.

Reverse Proxy zur Vermeidung vieler Kommunikationsbeziehungen über das ALG hinweg.

Abbildung: Reverse Proxy zur Vermeidung vieler Kommunikationsbeziehungen über das ALG hinweg. Reverse Proxy und die Server stehen in einer DMZ.

Die in der vorigen Abbildung dargestellten Kommunikationsbeziehungen lassen sich mit Hilfe eines Reverse Proxy reduzieren. In Abbildung ist aus dem nicht-vertrauenswürdigen Netz nur der Zugriff auf den Reverse Proxy gestattet, Server 1 und 2 sind vor Zugriff gesperrt. Auf beide Server kann nur der Reverse Proxy zugreifen.

Abbildung: Reverse Proxy zur Vermeidung vieler Kommunikationsbeziehungen über das ALG hinweg. Reverse Proxy und die Server stehen in verschiedenen DMZ.

Zur Erhöhung der Serversicherheit können die Server auch in einer eigenen DMZ betrieben werden, wo sie durch einen Sicherheitsproxy vom Reverse Proxy getrennt werden. Die Übernahme eines Servers wird hierdurch zusätzlich erschwert, allerdings erhöht sich die Anzahl der Kommunikationsbeziehungen über das ALG.

Prüffragen: