web-dev-qa-db-ja.com

Webサーバーの前にあるリバースプロキシはセキュリティを向上させますか?

サードパーティのセキュリティ専門家は、ベストプラクティスのセキュリティ対策として、Webサーバー(すべてDMZでホストされている)の前でリバースプロキシを実行することを推奨しています。

これは、ハッカーを防ぐためにWebアプリケーションの前に別のレベルのセキュリティを提供する、典型的な推奨アーキテクチャであることを知っています。

ただし、リバースプロキシはユーザーと内部Webサーバーの間でHTTPを元のように往復しているため、Webサーバー自体へのハッキングを防ぐ手段は提供されません。言い換えると、Webアプリにセキュリティホールがある場合、プロキシは意味のあるセキュリティを提供しません。

また、Webアプリケーションへの攻撃のリスクは、プロキシへの攻撃のリスクよりもはるかに高いことを考えると、中央にボックスを1つ追加することで、実際に多くのメリットを得られますか?リバースプロキシのキャッシュ機能は使用せず、パケットを行き来するためのダムツールを使用します。

ここで他に見逃しているものはありますか?リバースプロキシHTTPパケットインスペクションが非常に良くなり、パフォーマンスの主要なボトルネックなしに意味のある攻撃を検出できるようになりましたか、それともこれはセキュリティシアターのもう1つの例ですか?

リバースプロキシはMS ISA fwiw。

14
Darren

Apacheにはmod_securityがあり、一般的なセキュリティ攻撃を検出します。使用される帯域幅を制限できるmod_cbandもあります。 ISAが似たようなものだったとしても、驚くことはありません。プロキシを通過するHTTPトラフィックを実際にチェックするものがないと、セキュリティの観点からはまったく意味がありません。

リバースプロキシによってもたらされるのは、ロードバランシング、フェイルオーバー、キャッシング、SSL、およびファイルリングのオフロードであり、WebサーバーにHTMLの提供で得意なことを行わせます。

9
David Pashley

Webサーバーの前にあるリバースプロキシはセキュリティを向上させますか?

リバースプロキシは、サーバーをより安全にするいくつかのことを提供します。

  • Webサーバーとは別に、何が行われているかを監視および記録する場所
  • システムの一部の領域が脆弱であることがわかっている場合に、Webサーバーとは別にフィルタリングまたはファイアウォールを行う場所。プロキシによっては、アプリケーションレベルでフィルタリングできる場合があります。
  • Webサーバーで何らかの理由で十分に表現力を発揮できない場合に、ACLとルールを実装するもう1つの場所。
  • Webサーバーと同じ方法で脆弱ではない別のネットワークスタック。これは、プロキシが別のベンダーのものである場合に特に当てはまります。
    • Apacheサーバーの前でApacheセットアップをプロキシとして使用することは、おそらく、Apacheの前でSquidを使用する場合ほど役に立ちません。

フィルタリングのないリバースプロキシは、すべてを自動的に保護するわけではありませんが、保護する必要があるシステムの価値が高い場合は、リバースプロキシを追加することは、コストのサポートとパフォーマンスのコストに見合う価値があります。

8
Zoredache

ISA Serverは、さまざまなHTTPエクスプロイトを探して防止し、それらがWebサーバーに到達するのを防ぐことができます。最近のほとんどのHTTPサーバーはこれによって悪用されることはありませんが、このトラフィックをWebサーバーに送信しないという追加の利点があります。

さらにISAを使用すると、SSLアクセラレーションの追加やさまざまなURLへのユーザーの事前承認などを簡単に実行できます。ロードバランサーとして機能することもできるため、簡単に追加できます。別個のハードウェアロードバランサーを使用しないWebサーバー。

この人がISAに与えているプロのことを忘れないでください。そして、管理と実行にかかる追加のオーバーヘッドに対してウェイトを付けてくださいISA利点。

8
Aaron Weiker

不正なHTTPリクエストに基づく攻撃からアプリケーションサーバーを保護する可能性があります...特にリバースプロキシ(アプリケーションサーバーではない)で、適切なリクエストの外観を正確に構成し、不正なリクエストを許可しないようにすることが可能な場合。悪い要求がどのように見えるかを伝える必要がある場合、ほとんど間違いなく役に立たないでしょう。つまり、SQLのインジェクションからではなく、バッファオーバーフロー攻撃から保護する可能性があります。

ほとんどの場合、それはセキュリティシアターのように聞こえます。あなたはセキュリティコンサルタントを雇いました、そして彼らはあなたのセキュリティを改善するために何かをあなたに言わなければなりません。攻撃者がリバースプロキシに侵入する可能性は非常に低く、単純にバイパスする場合は常にあなたを非難することができます。安全な推奨事項です。

6
freiheit

基本的に、リバースプロキシはインフラストラクチャを世界から隠します。そのため、Webサーバーが管理不能で安全でない場合を除き、これは主にあいまいさによるセキュリティのケースです。

また、特にWebサイトが「ヘビー」で、キャッシュレイヤーとして機能している場合は、何らかのDOS(分散型サービス拒否)からWebサーバーを保護することもできます。

それにはいくつかの落とし穴もあります。それは顧客の本当のIPをアプリケーションから隠します。それはあなたがより多くのサーバーパワーを消費するようにし、壊れる可能性のあるものの層を追加します。リバースプロキシはより多くの接続を処理する必要があることに注意してください(通常は2倍以上:顧客への接続とWebサーバーへの接続)。

結局のところ、リバースプロキシを使用しても、安全なWebサイトを用意しておく必要はありません。

3
Xavier Nicollet

Zoredacheは、リバースプロキシが提供できる利点について非常に良い答えを出してくれたと思います。私はリバースプロキシ、ロードバランサー、およびHTTPSフロントエンドであるPoundを使用しました。

http://www.apsis.ch/pound/

0
ChrisNZ

他の誰も話していないと私が思う利点の1つは、外部ファイアウォールを介して外部IP /ポートを開く必要がないという事実です。優れたリバースプロキシシステムは、ネットワーク内からサーバーへの通信をDMZ=直接攻撃からネットワークを保護します。ただし、これは他の人が言っているように、あなたを保護しません不十分に書かれたアプリケーション。

0
warchitect