웹 서버 앞의 리버스 프록시가 보안을 향상 시킵니까?

타사 보안 전문가는 웹 서버 (모두 DMZ에서 호스팅) 앞에서 역방향 프록시를 모범 사례 보안 조치로 실행하도록 권장합니다.

나는 이것이 해커를 막기 위해 웹 응용 프로그램 앞에서 다른 수준의 보안을 제공하기 때문에 이것이 권장되는 일반적인 아키텍처라는 것을 알고 있습니다.

그러나 리버스 프록시가 사용자와 내부 웹 서버간에 HTTP를 유쾌하게 셔틀하고 있기 때문에 웹 서버 자체의 해킹 방지 수단을 제공하지 않습니다. 즉, 웹앱에 보안 허점이있는 경우 프록시는 의미있는 양의 보안을 제공하지 않습니다.

그리고 웹 애플리케이션에 대한 공격의 위험이 프록시에 대한 공격의 위험보다 훨씬 높다는 것을 감안할 때 중간에 여분의 상자를 추가하면 실제로 많은 이익이 있습니까? 우리는 리버스 프록시의 캐싱 기능을 사용하지 않을 것입니다. 패킷을 앞뒤로 셔틀하는 벙어리 도구입니다.

내가 여기서 놓친 다른 것이 있습니까? 리버스 프록시 HTTP 패킷 검사 기능이 향상되어 주요 성능 병목 현상없이 의미있는 공격을 탐지 할 수 있습니까? 아니면 이것이 Security Theater의 또 다른 예입니까?

리버스 프록시는 MS ISA fwiw입니다.

Apache에는 일반적인 보안 공격을 탐지하는 mod_security가 있습니다. 사용되는 대역폭을 제한 할 수있는 mod_cband도 있습니다. ISA에 비슷한 것이 있다면 놀라지 않을 것입니다. 프록시를 통과 할 때 실제로 HTTP 트래픽을 검사하는 것이 없으면 보안 관점에서 볼 때 약간 의미가 없습니다.

리버스 프록시가 제공하는 것은로드 밸런싱, 페일 오버, 캐싱, SSL 및 파일링 오프로드로 웹 서버가 HTML을 제공하는 것에서 잘하는 일을하게합니다.

ISA Server는 다양한 HTTP 익스플로잇을 찾아서 방지하여 웹 서버에 접근하지 못하게합니다. 대부분의 최신 HTTP 서버는 더 이상이 취약점을 악용 할 수 없지만이 트래픽을 웹 서버로 보내지 않는 이점이 있습니다.

또한 ISA를 사용하면 SSL 가속을 추가하고 다양한 URL에 사용자를 사전 승인하는 등의 작업을보다 쉽게 ​​수행 할 수 있습니다. 또한로드 밸런서 역할을 수행 할 수 있으므로 별도의 하드웨어로드 밸런서를 사용하지 않고도 더 많은 웹 서버를 쉽게 추가 할 수 있습니다.

이 사람이 ISA를 제공하는 전문가를 선택하고 이점과 비교하여 ISA를 관리하고 실행하는 데 드는 추가 오버 헤드에 대해 가중치를 부여하십시오.

웹 서버 앞의 리버스 프록시가 보안을 향상 시킵니까?

리버스 프록시는 서버 보안을 강화할 수있는 몇 가지 사항을 제공합니다.

• 웹 서버와는 별도로 진행되는 일을 모니터링하고 기록하는 장소
• 시스템의 일부 영역이 취약한 경우 웹 서버와 별도로 필터링하거나 방화벽을 설치할 수있는 장소입니다. 프록시에 따라 애플리케이션 레벨에서 필터링 할 수 있습니다.
• 웹 서버에서 어떤 이유로 표현력이 충분하지 않은 경우 ACL 및 규칙을 구현할 수있는 또 다른 장소입니다.
• 웹 서버와 같은 방식으로 취약하지 않은 별도의 네트워크 스택. 프록시가 다른 공급 업체의 경우 특히 그렇습니다.
  • 아파치 서버 앞에서 아파치 설정을 프록시로 사용하는 것은 아마도 아파치 앞에서 오징어처럼 도움이되지 않을 것이다.

필터링이없는 리버스 프록시가 모든 것을 자동으로 보호하지는 않지만 보호해야하는 시스템의 가치가 높은 경우 리버스 프록시를 추가하면 비용 지원 및 성능 비용이들 수 있습니다.

잘못된 HTTP 요청에 기반한 공격으로부터 응용 프로그램 서버를 보호 할 수 있습니다. 특히 응용 프로그램 서버가 아닌 리버스 프록시에서 올바른 요청의 모양을 구성하고 잘못된 요청을 허용하지 않는 것이 가능한 경우 특히 그렇습니다. 나쁜 요청이 어떤 것인지 알려 주어야한다면 거의 쓸모가 없을 것입니다. 즉, 버퍼 오버 플로우 공격으로부터 보호 할 수 있지만 SQL 삽입에서는 보호 할 수 없습니다.

대부분 보안 극장처럼 들립니다. 보안 컨설턴트를 고용했으며 보안 강화를 위해해야 ​​할 일을 알려 주어야합니다. 공격자가 리버스 프록시에 침입 할 가능성은 거의 없으며, 단순히이를 우회하면 항상 사용자를 탓할 수 있습니다. 안전한 추천입니다.

기본적으로 리버스 프록시는 인프라를 세상에서 숨길 것입니다. 따라서 웹 서버가 실제로 관리 할 수없고 보안되지 않은 경우가 아니라면 주로 모호한 보안입니다.

또한 웹 서버가 일종의 DOS (분산 서비스 거부)로부터 웹 서버를 보호 할 수 있습니다. 특히 웹 사이트가 "무거운"경우 캐싱 계층으로 작동합니다.

또한 응용 프로그램에서 고객의 실제 IP를 숨길 것입니다. 더 많은 서버 전력을 소비하고 깨질 수있는 계층을 추가합니다. 리버스 프록시는 더 많은 연결을 처리해야합니다 (보통 두 배 이상 : 고객 연결 및 웹 서버 연결).

하루가 끝날 때 리버스 프록시는 안전한 웹 사이트를 제공하지 않습니다.

Zoredache는 리버스 프록시가 제공 할 수있는 이점에 대해 매우 좋은 대답을했다고 생각합니다. 리버스 프록시,로드 밸런서 및 HTTPS 프론트 엔드 인 Pound를 사용했습니다.

http://www.apsis.ch/pound/

다른 사람이 이야기하지 않았다고 생각하는 한 가지 이점은 외부 방화벽을 통해 외부 IP / 포트를 열 필요가 없다는 것입니다. 올바른 리버스 프록시 시스템은 네트워크 내부에서 DMZ의 서버로의 통신을 시작하여 네트워크를 직접 공격으로부터 보호합니다. 그러나 이것은 다른 사람들이 말했듯이 제대로 작성된 응용 프로그램으로부터 당신을 보호하지는 않습니다.