Un reverse proxy vale la pena?

5

Vale la pena utilizzare un reverse proxy? Ci sono così tanti siti non protetti che utilizzano un proxy inverso e mi sembra che non li protegga. Dopotutto se hanno un errore nel loro SQL che potrebbe essere utilizzato per l'iniezione, giusto? Mi sento come se troppe persone si affidino al proxy inverso senza sapere come programmare correttamente

    
posta Snewman8771 01.06.2015 - 03:54
fonte

4 risposte

6

Vorrei innanzitutto commentare in modo specifico questa affermazione -

"There are so many unsecured sites using a reverse proxy and I feel like that doesn't protect them."

Solo perché vedi che alcuni siti utilizzano X o Y CDN / WAF, ciò non significa che abbiano un po 'di sicurezza. Alcuni utilizzano piani gratuiti / a basso costo che offrono una sicurezza parziale, mentre altri non attivano determinate funzionalità WAF (anche se pagate).

Come qualsiasi misura di sicurezza, virtuale o fisica, i firewall delle applicazioni Web (tramite proxy inverso o qualsiasi altro formato di distribuzione) non sono un proiettile d'argento.

Ciò non significa che non dovresti usarli, al contrario! L'utilizzo di un cloud WAF appropriato ti aiuta a evitare le insidie più comuni a cui molti siti Web soffrono di:

  1. Codice di terze parti : potresti scrivere del codice kick-***, ma cosa sulle librerie di terze parti che usi? Che dire dei server in esecuzione WordPress / Joomla / Drupal / Magento / ...?

    Non puoi essere responsabile per ogni pezzo di codice eseguito dal tuo sistema e il time-to-patch è fondamentale. Un vero fornitore di Cloud-WAF ti fornisce patch virtuali che sono di gran lunga più veloci e affidabili di un sito panico.

  2. Vulnerabilità di livello inferiore - Remember Heartbleed? Shellshock? BARBONCINO?

    Quanto tempo impiega a distribuire patch a livello di sistema operativo? Nel alcuni casi, se è più di un paio d'ore, buone possibilità che tu sia compromessa.

  3. Attenuazione DDoS : si spera che ormai tutti comprendano che è possibile mitigare completamente gli attacchi DDoS utilizzando un servizio di pulizia cloud. (E no, AWS NON è un servizio di lavaggio).

  4. Filtro dei visitatori abusivi - Spam dei commenti, spam dei referrer, scraping, ecc.

    Cose che, sfortunatamente, hanno qualcosa a che fare con la tua capacità di "programmare correttamente". Cliente di origine cloud la classificazione e la reputazione te lo danno.

  5. Sicurezza ai margini - Non solo cache del contenuto! È possibile scaricare molti sollevamenti pesanti e fastidi sul bordo.

    • Vuoi richiedere 2FA e / o CAPTCHA su determinate pagine? Consegnali dal limite.
    • Vuoi bloccare determinati IP? Filtra ai bordi.
    • Non vuoi che visitatori al di fuori del Regno Unito? Filtra ai bordi.
    • Non vuoi che Firefox dall'Iran acceda / effettui l'accesso più di 5 volte al minuto? Hai indovinato, Filtra ai bordi.

Questo è solo per darti un assaggio, ci sono molte altre cose grandi che un CBSP può darti (non abbiamo affatto discusso della visibilità).

Disclosure: Lavoro @ Imperva Incapsula, un CBSP che fornisce il Cloud WAF / DDoS Mitigation / CDN / GSLB.

    
risposta data 13.01.2016 - 17:40
fonte
2

In definitiva, la messa in sicurezza di un sistema non significa necessariamente rendere impossibile l'accesso, poiché è praticamente impossibile. Invece, spesso l'obiettivo è rendere abbastanza difficile il fatto che i potenziali hacker abbiano bisogno di una quantità immensa di risorse per farlo, quindi non si preoccupano di provare o passare a obiettivi più facili. I firewall di applicazioni Web sono solo un altro strumento per aiutarti a raggiungere questo obiettivo. Sono in grado di rilevare una gamma piuttosto ampia di attacchi, tra cui l'iniezione di SQL e XSS, e mentre ci sono modi per aggirarli, ci vorrebbe un attaccante piuttosto determinato per farlo. Pertanto, un WAF può svolgere un ruolo molto utile in una strategia a più livelli, difesa e profondità.

Hai ragione, però, in quanto un WAF non è invincibile e non dovrebbe essere una scusa per scrivere codice insicuro, così come ottenere un vaccino non dovrebbe essere una scusa per non lavarsi le mani. Dovrebbe essere trattato solo come ultima linea di difesa e gli sviluppatori non dovrebbero presumere che il WAF proteggerà da tutte le vulnerabilità.

Per quanto riguarda CloudFlare, ritengo che il loro piano gratuito sia principalmente destinato alla CDN / caching e offra solo protezione contro DDoS e attacchi alle applicazioni web di base. Richiedono un piano a pagamento per un WAF più sofisticato.

(E solo per chiarire la terminologia, presumo che tu stia parlando di un WAF e non solo di un proxy inverso. Sebbene un WAF possa essere combinato con un proxy inverso per proteggere molti server / siti contemporaneamente (ad esempio CloudFlare), WAF può essere impostato senza un proxy inverso e viceversa. Come altri hanno già detto, i proxy inversi vengono spesso utilizzati solo per scopi di caching / prestazioni.)

    
risposta data 01.06.2015 - 05:17
fonte
1

I principali vantaggi di un proxy inverso sono prestazioni, capacità e gestione del traffico migliori. Vi è un piccolo vantaggio in termini di sicurezza poiché fornisce un certo isolamento per l'applicazione: solo l'HTTP valido probabilmente arriva fino al server web e dovrebbe gestire meglio gli attacchi di tipo sloloris. La maggior parte di tali proxy consente di applicare alcune richieste alle richieste, spesso senza dover portare il servizio offline, consentendo una risposta a un attacco prolungato sul server.

Un CDN aggiunge ulteriori vantaggi in termini di prestazioni se implementa correttamente DNS geo-aware (molti non lo fanno ancora).

Certamente non dovresti essere meno sicuro usando un proxy inverso, e per la maggior parte delle persone i benefici primari giustificano il costo / l'impegno.

    
risposta data 14.01.2016 - 00:36
fonte
0

Intendevi il firewall dell'applicazione web invece del proxy inverso?

Il motivo principale per utilizzare un proxy inverso è di solito legato alle prestazioni come la memorizzazione nella cache o il bilanciamento del carico. Spesso ha l'ulteriore vantaggio di bloccare attacchi come loris lenti, in quanto il proxy inverso richiederà una richiesta completata prima di trasmetterla al server Web di back-end. Questo è più un effetto collaterale e non una funzionalità di sicurezza del proxy inverso comunque.

    
risposta data 01.06.2015 - 03:57
fonte

Leggi altre domande sui tag