Passwort vergessen?

Benutzername vergessen?

Alles rund um IT, Web und Entwicklung.
Von Nutzern für Nutzer.

Sicherheit mit einem Reverse Proxy



In Zeiten des starken Wachstums des Internet nimmt auch die Bedrohung durch Angriffe stetig zu. Gerade Webserver sind durch Sicherheitslücken stark gefährdet.



Dies musste ich vor kurzem leider selbst miterleben. Durch eine veraltete Version des Apache Webservers ist es Angreifern gelungen in das System einzudringen und den Server als Host für das Bitcoin Mining zu missbrauchen.


Funktionsweise


Ein Reverse Proxy ist vergleichbar mit einem Gateway das von außen (= unsicher) kommende Anfragen entgegen nimmt und an die entsprechenden Hosts weiterleitet.

Bei den meisten kommerziell angebotenen Reverse Proxy Appliances ist hierbei noch eine Sicherheitsebene eingebaut, welche die Anfragen auf Angriffsmuster hin untersucht.

Die meisten setzen hierbei intern auf die Web Application Firewall ModSecurity


Problematik


In Unternehmen finden sich meist unzählige Webserver welche auch nach außen erreichbar sind. Diese Serverlandschaft aktuell zu halten und Sicherheitslücken frühzeitig zu erkennen ist meist schwer umsetzbar.

Hier kommen Reverse Proxys zum Einsatz. Diese schalten sich quasi als Firewall zwischen Anfrage und dem eigentlichen Server.


Vorteile



  • Statische Inhalte können direkt vom Proxy beantwortet werden

  • Angriffe auf Sicherheitslücken werden verhindert

  • SSL Offloading - SSL Last wird von den Servern genommen




  • Erhöhter Konfigurationsaufwand beim Einrichten neuer Server

  • Weiter Fehlerquelle

  • Höhere Kosten durch redundante Auslegung des Reverse Proxys



Hardware Appliances


Blue Coat


Für die Aufgabe von Reverse Proxys existieren mittlerweile auch viele Hardware Appliances. Die größten Konfigurationsmöglichkeiten bieten dabei die Geräte von Blue Coat.


Sophos


Aber auch im Hause Sophos wird man bei der Rundum-Sorglos-Lösung Unified Treat Management fündig. Vorteil dieser ist, dass zur Reverse Proxy Funktion noch weitere Sicherheitskomponenten hinzukommen.

  • Stateful Firewall

  • Intrustion Prevention System

  • Antiviren Scanner

  • Mail Gateway

  • Proxy Server mit Webfilter



Erfahrungen


Ich habe die Sophos UTM nun seit einigen Wochen im Einsatz. Seit der Aktivierung der Webserver Protection und damit des Reverse Proxys werden sämtliche Angriffe verhindert.

Auch mit einem veralteten Webserver hinter dem Reverse Proxy führen die Angriffe nicht mehr zu einer Kompromittierung des Systems.

In den Logdateien lassen sich die Angriffe sehr genau erkennen und auch analysieren.
Intern basiert die Sophos UTM auf einem gehärteten SUSE Enterprise Linux und ist damit auch ohne weiteres auf einem herkömmlichen Hardware Server installierbar. Man ist also unabhängig von den Hardware Appliances.


Virtuelle Appliances


Ist bereits eine entsprechende Virtualisierungsumgebung verfügbar kann man auch auf eine virtuelle Appliance zugreifen. Auch hier bietet Sophos eine entsprechende Ausgabe der UTM an.


Open Source Lösungen


Letztendlich basieren alle Hardware und Virtual Appliances mehr oder weniger auf Open Source Komponenten.

Beispielsweise lässt sich ein Reverse Proxy mit Nginx realisieren. Aber auch Apache bietet mit mod_proxy eine passende Implementierung an.


Fazit


Gerade im Umfeld von vielen Webservern sollte man sich Gedanken um die Investition in einen Reverse Proxy machen. Im privaten Umfeld ist die Sophos UTM mit der kostenlosen Home Lizenz empfehlenswert

Michael Kostka

Fachinformatiker / Systemintegration
Ich schreibe hier regelmäßig zu den Themen Android, Web, Linux und Hardware.

Raspberry Pi Starter Kit
DataCloud

Hinterlasse einen Kommentar

Ich habe die Datenschutzerklärung zur Kenntnis genommen und stimme einer elektronischen Speicherung und Verarbeitung meiner eingegebenen Daten zur Beantwortung der Anfrage zu.

Jan

23.09.2016 11:41

Das mit dem SSL Offloading ist genial! Man hat vor allem nur noch einen Ort an dem alle Zertifikate liegen und muss diese beim Loadbalancing nicht mehr an jedem Server austauschen.