it-swarm-tr.com

Proxy ve Güvenlik Duvarı

Çok basit bir vekil koymak bir tür 'ortadaki adam' belirli hizmetlere/kaynaklara erişim izin/reddetmek olduğunu anlıyorum. Kesinlikle güvenlik açısından (burada gizlilik, ebeveyn kontrolü ve benzeri hariç), bir güvenlik duvarına kıyasla herhangi bir ek güvenlik sunabilir mi?

17
Count Zero

Evet, bir proxy ekstra güvenlik sağlayabilir.

Örnek kanıt:

  • Web proxy kötü amaçlı yazılım taraması yapabilir. Kara listeye alınan siteleri ziyaret etmenizi engelleyebilir (yani tarayıcılar için kötü amaçlı olduğu bilinir).
  • Güvenilmeyen bir ağdasınız, ancak MITM saldırılarına maruz kalmadan http erişimine ihtiyacınız var. Http bağlantısını güvenilir web proxy'nize doğrulanmış, şifrelenmiş bir bağlantıyla yapın.
9
bstpierre

Proxy, tasarlandığı protokolü anlar. Bu, bazı proxy yazılımlarının protokol öğelerine dayalı trafiğe izin verebileceği veya izin veremeyeceği anlamına gelir. Bir örnek vermek gerekirse, proxy'niz HTTP trafiğine belirli bir User-Agent: üstbilgisi veya yalnızca belirli Referer: başlıkları. Proxy ayrıca istekleri göndermeden önce kimlik doğrulaması gerektirebilir.

Tüm proxy yazılımlarında bu özellik yoktur. Bazıları, istekleri yerine getirmek için gerekenin ötesinde içerik üzerinde hiçbir analiz yapılmadan istekleri temsil eder.

Ters proxy (genellikle bir web sunucusunun önünde kullanılır), web sunucusu yazılımındaki kusurlara karşı potansiyel olarak koruma sağlayabilir. Ayrıca web sunucusu yazılımının sahip olmadığı kusurlar da olabilir.

Bir ağ güvenlik duvarı HTTP protokolünü anlamıyor ve bu protokolün öğelerine dayalı trafiğe izin veremiyor veya reddedemiyor. Yalnızca IP, TCP ve UDP gibi daha alt düzey protokollere dayalı olarak izin verebilir veya reddedebilir. Ağ güvenlik duvarları, OSI yığınının daha düşük düzeylerinde yerleşik olmadığından kimlik doğrulaması yapamaz. .

ygulama Güvenlik Duvarları Öte yandan, tasarlandıkları uygulamanın protokolünü anlar ve trafiğin içeriğine göre trafiğe izin verir veya reddeder. Kimlik doğrulama yapabilen bunlardan birini görmedim ama kesinlikle mümkün.

A web uygulaması güvenlik duvarı , yalnızca web protokolleri için tasarlanmış bir uygulama güvenlik duvarıdır.

Birçok ticari güvenlik duvarı cihazı aynı zamanda (en azından kısmen) uygulama güvenlik duvarlarıdır.

Bu nedenle, bir güvenlik duvarından veya proxy'den herhangi bir ek güvenlik elde edip etmemek, büyük ölçüde tam olarak hangi güvenlik duvarını veya proxy'yi kullandığınıza bağlıdır. Genellikle nasıl yapılandırıldığına da bağlı olacaktır. Belirli bir güvenlik odaklı yapılandırma olmadan, güvenlik duvarı veya proxy ile genellikle ekstra güvenlik elde edemezsiniz.

12
Ladadadada

Aslında güvenlik duvarı terimi genellikle yanlış kullanılır ve insanlar genellikle doğru olmayan paket filtrelemeye başvurmak için kullanırlar.

Güvenlik duvarlarını 2 kategoride sınıflandırabilirsiniz. Paket filtreleme ve uygulama ağ geçitleri (AKA proxy).

Hizmet protokolü düzeyine (örn. HTTP, SMTP, vb.) Bakıldığında, paket filtreleme uygulama ağ geçitlerine kıyasla zayıf bir yaklaşımdır. Uygulama ağ geçitleri protokol hakkında semantik bilgiye sahiptir ve içeriğe bakabilecekleri için çok daha güçlüdür (HTTP: kötü amaçlı yazılım indirip indirmediğinizi kontrol edin, virüs için SMTP kontrolü yapın ve belirli bir postayı reddedin). Bunu söylemiş olmanız, mevcut tüm servis protokolleri için proxy'lerin bulunamayacağı gerçeğidir. Paket filtreleme, daha düşük bir seviyede çalışma, ancak bu kadar ince bir ayrıntı düzeyine sahip olmamasına rağmen, tüm protokoller için daha evrensel bir yaklaşım haline gelir (SMTP: IP xx.xx.xx.xx adresinden bağlantı noktası 25 için hiçbir şey kabul etmeyin).

Her neyse, birini diğerinden seçmek için bir neden yok. Bunları birlikte kullanabilir ve her çözümden en iyi şekilde yararlanabilirsiniz.

Not: @Ladadadada'nın belirttiği gibi, tüm proxy'lerin filtreleme veya derin denetleme yapamaması nedeniyle tüm proxy'lerin güvenlik duvarları olduğunu söylemenin doğru olmadığını söyleyebilirim. Ancak yine de, bunları güvenlik altyapınızın bir parçası olarak düşünebilirsiniz.

Birçok "geleneksel" paket filtreleme güvenlik duvarı artık ağ yığınında bir seviye daha yüksek görünebilir ve içerik denetimi yapabilir (ör .: http içerik denetimi/url reddi)

5
nsn