Usando un server proxy come "Cisco WSA" l'utente finale non ha bisogno di sapere dove vive un servizio web come facebook.com , l'utente finale fa semplicemente una richiesta a un server proxy e fa il lavoro di localizzare il servizio web. Con questa azione la nostra LAN non conosce alcun indirizzo IP pubblico, solo il nostro indirizzo IP privato.
Qualcuno può dirmi quali sono gli svantaggi degli indirizzi IP pubblici (web server come facebook.com ) visibili sulla nostra LAN?
Il vantaggio di un proxy non è principalmente che l'IP pubblico non è visibile sulla LAN interna, ma si ha un migliore controllo di ciò che i client possono fare e quali no. Solo alcuni esempi per illustrare il vantaggio dei proxy espliciti:
Con un proxy esplicito puoi applicare l'autenticazione corretta al proxy, il che significa che tu sai quale utente si sta connettendo. In questo modo è possibile applicare criteri specifici dell'utente, effettuare la registrazione specifica dell'utente ecc. Senza un proxy esplicito di solito in qualche modo si associa l'indirizzo IP del client con un utente specifico che funziona solo quando ogni utente ha il proprio indirizzo IP interno (cioè non con server terminal o simili).
Con richieste proxy esplicite per tutto http://example.com/ , http://example.com:8080 o http://example.com:8000 saranno inviate direttamente al proxy e il proxy si collegherà alle porte specificate (80, 8080, 8000). Senza tale proxy esplicito, l'ispezione del traffico di malware ecc. È molto più difficile. In effetti avresti bisogno di avere filtri indipendenti dalla porta come quelli offerti da alcuni firewall di prossima generazione. Ma questi filtri indipendenti dalla porta sono noti per avere problemi, cioè il firewall può spesso essere ingannato assumendo il protocollo sbagliato e quindi utilizza l'ispezione sbagliata .
Un modo comune per aggirare l'ispezione "trasparente" è inviare informazioni contraddittorie. Ad esempio, se un firewall dovesse bloccare il sito cattivo, ma dovrebbe consentire al sito buono, si potrebbe provare a impostare l'intestazione host nella richiesta HTTP su good-site, ma poi connettersi all'indirizzo IP di bad-site. Molti server web non controllano affatto l'intestazione dell'host e quindi bad-site servirebbe il contenuto anche se l'intestazione dell'Host non corrisponde.
Una tipica ispezione trasparente guarda solo all'intestazione dell'Host e decide che la richiesta può passare perché, in base all'intestazione dell'Host, la destinazione è buona. Un proxy esplicito ottiene invece l'URL completo, applica il criterio all'URL e solo se il criterio consente l'accesso continua con la connessione all'host specificato, ovvero l'indirizzo IP di destinazione è determinato dal proxy e non dal browser.
Se un browser è configurato per eseguire tutte le richieste tramite un proxy, il proxy potrebbe essere utilizzato per separare i siti interni ed esterni. Cioè potrebbe negare l'accesso a siti interni o almeno limitare le richieste di origine incrociata da siti esterni a siti interni e quindi proteggere da attacchi tipici del Web 2.0 dall'esterno (CSRF, XSS, DNS rebinding ...).
Leggi altre domande sui tag proxy