Dies musste ich vor kurzem leider selbst miterleben. Durch eine veraltete Version des Apache Webservers ist es Angreifern gelungen in das System einzudringen und den Server als Host für das Bitcoin Mining zu missbrauchen.
Funktionsweise
Ein Reverse Proxy ist vergleichbar mit einem Gateway das von außen (= unsicher) kommende Anfragen entgegen nimmt und an die entsprechenden Hosts weiterleitet.
Bei den meisten kommerziell angebotenen Reverse Proxy Appliances ist hierbei noch eine Sicherheitsebene eingebaut, welche die Anfragen auf Angriffsmuster hin untersucht.
Die meisten setzen hierbei intern auf die Web Application Firewall ModSecurity
Problematik
In Unternehmen finden sich meist unzählige Webserver welche auch nach außen erreichbar sind. Diese Serverlandschaft aktuell zu halten und Sicherheitslücken frühzeitig zu erkennen ist meist schwer umsetzbar.
Hier kommen Reverse Proxys zum Einsatz. Diese schalten sich quasi als Firewall zwischen Anfrage und dem eigentlichen Server.
Vorteile
- Statische Inhalte können direkt vom Proxy beantwortet werden
- Angriffe auf Sicherheitslücken werden verhindert
- SSL Offloading - SSL Last wird von den Servern genommen
Nachteile
- Erhöhter Konfigurationsaufwand beim Einrichten neuer Server
- Weiter Fehlerquelle
- Höhere Kosten durch redundante Auslegung des Reverse Proxys
Hardware Appliances
Blue Coat
Für die Aufgabe von Reverse Proxys existieren mittlerweile auch viele Hardware Appliances. Die größten Konfigurationsmöglichkeiten bieten dabei die Geräte von Blue Coat.
Sophos
Aber auch im Hause Sophos wird man bei der Rundum-Sorglos-Lösung Unified Treat Management fündig. Vorteil dieser ist, dass zur Reverse Proxy Funktion noch weitere Sicherheitskomponenten hinzukommen.
- Stateful Firewall
- Intrustion Prevention System
- Antiviren Scanner
- Mail Gateway
- Proxy Server mit Webfilter
Erfahrungen
Ich habe die Sophos UTM nun seit einigen Wochen im Einsatz. Seit der Aktivierung der Webserver Protection und damit des Reverse Proxys werden sämtliche Angriffe verhindert.
Auch mit einem veralteten Webserver hinter dem Reverse Proxy führen die Angriffe nicht mehr zu einer Kompromittierung des Systems.
In den Logdateien lassen sich die Angriffe sehr genau erkennen und auch analysieren.
Intern basiert die Sophos UTM auf einem gehärteten SUSE Enterprise Linux und ist damit auch ohne weiteres auf einem herkömmlichen Hardware Server installierbar. Man ist also unabhängig von den Hardware Appliances.
Virtuelle Appliances
Ist bereits eine entsprechende Virtualisierungsumgebung verfügbar kann man auch auf eine virtuelle Appliance zugreifen. Auch hier bietet Sophos eine entsprechende Ausgabe der UTM an.
Open Source Lösungen
Letztendlich basieren alle Hardware und Virtual Appliances mehr oder weniger auf Open Source Komponenten.
Beispielsweise lässt sich ein Reverse Proxy mit Nginx realisieren. Aber auch Apache bietet mit mod_proxy eine passende Implementierung an.
Fazit
Gerade im Umfeld von vielen Webservern sollte man sich Gedanken um die Investition in einen Reverse Proxy machen. Im privaten Umfeld ist die Sophos UTM mit der kostenlosen Home Lizenz empfehlenswert
Ähnliche Artikel
- (PHP) Sicherheit
- (Android) Ortung mit Lookout Mobile Security
- (PHP) Passwörter sicher verschlüsseln
- HAProxy Load Balancer mit Ubuntu / Debian
- Tor Proxy Server auf dem Raspberry Pi
- Nginx als Reverse Proxy - Installation und Einrichtung
- Sophos UTM - Site to Site VPN mit OpenVPN
- SSH Port Knocking unter Ubuntu einrichten
- VPN Arten in der Übersicht
Jan
23.09.2016 11:41