Webサーバーの前のリバースプロキシはセキュリティを改善しますか？

サードパーティのセキュリティ専門家は、ベストプラクティスのセキュリティ対策として、Webサーバー（すべてDMZでホストされている）の前でリバースプロキシを実行することを推奨しています。

これは、ハッカーを防ぐためにWebアプリケーションの前に別のレベルのセキュリティを提供するため、これが一般的に推奨されるアーキテクチャであることを知っています。

ただし、リバースプロキシは、ユーザーと内部Webサーバーの間でHTTPを往復するので、Webサーバー自体のハッキングを防止する手段を提供しません。つまり、Webアプリにセキュリティホールがある場合、プロキシは有意な量のセキュリティを提供しません。

また、Webアプリケーションへの攻撃のリスクはプロキシへの攻撃のリスクよりもはるかに高いことを考えると、真ん中に余分なボックスを追加することで本当に多くの利益が得られますか？リバースプロキシのキャッシング機能を使用することはありません。パケットを往復させるための単なる愚かなツールです。

ここで私が見逃しているものはありますか？リバースプロキシHTTPパケットインスペクションは非常に優れているため、大きなパフォーマンスボトルネックなしに意味のある攻撃を検出できますか、またはこれはSecurity Theaterの単なる別の例ですか？

リバースプロキシはMS ISA fwiwです。

Apacheにはmod_securityがあり、一般的なセキュリティ攻撃を検出します。mod_cbandもあり、使用する帯域幅を制限できます。ISAに類似したものがあったとしても、私は驚かないでしょう。HTTPトラフィックがプロキシを通過するときに実際にチェックを行うものがなければ、セキュリティの観点からはほとんど意味がありません。

リバースプロキシが提供するのは、負荷分散、フェールオーバー、キャッシュ、SSL、およびファイルリングのオフロードであり、WebサーバーはHTMLの提供という優れた機能を実行できます。

ISA Serverは、さまざまなHTTPエクスプロイトを探して防止し、それらがWebサーバーに到達するのを防ぎます。最近のほとんどのHTTPサーバーはこれにより悪用できなくなりましたが、このトラフィックをWebサーバーに送信しないという利点もあります。

さらに、ISAを使用すると、SSLアクセラレーションを追加したり、さまざまなURLにユーザーを事前承認したりすることが簡単になります。ロードバランサーとしても機能するため、別のハードウェアロードバランサーを使用しなくても、簡単にWebサーバーを追加できます。

この人がISAを提供していることを必ず確認し、ISAを管理および実行するのにかかるオーバーヘッドを、利点と比較してどれだけ追加するかを考慮してください。

Webサーバーの前のリバースプロキシはセキュリティを改善しますか？

リバースプロキシを使用すると、サーバーのセキュリティを強化できる可能性がいくつかあります。

• Webサーバーとは別に、何が起こっているかを監視および記録する場所
• システムの一部の領域が脆弱であることがわかっている場合、Webサーバーとは別にフィルターまたはファイアウォールを配置する場所。プロキシによっては、アプリケーションレベルでフィルタリングできる場合があります。
• Webサーバーで何らかの理由で表現力を十分に発揮できない場合に、ACLとルールを実装する別の場所。
• Webサーバーと同じ方法で脆弱ではない別のネットワークスタック。これは、プロキシが異なるベンダーのものである場合に特に当てはまります。
  • Apacheサーバーの前でプロキシとしてApacheセットアップを使用することは、Apacheの前でSquidのようなものほど有用ではないでしょう。

フィルタリングのないリバースプロキシは、すべてに対して自動的に保護するわけではありませんが、保護する必要のあるシステムが価値の高いものである場合、リバースプロキシを追加することで、サポートとパフォーマンスコストの価値があります。

不正なHTTPリクエストに基づく攻撃からアプリケーションサーバーを保護する可能性があります...特に、リバースプロキシ（アプリケーションサーバー上ではない）で、適切なリクエストがどのように見えるかを正確に設定し、不正なリクエストの通過を許可しない場合。悪いリクエストがどのように見えるかを伝える必要がある場合、ほとんど間違いなく役に立たないでしょう。つまり、SQLインジェクションからではなく、バッファオーバーフロー攻撃から保護する可能性があります。

ほとんどの場合、セキュリティシアターのように聞こえます。あなたはセキュリティコンサルタントを雇いました、そして、彼らはあなたのセキュリティを改善するためにあなたに何かを言わなければなりません。攻撃者がリバースプロキシに侵入する可能性は非常に低く、単純にバイパスプロキシをバイパスした場合、常にあなたを責める可能性があります。安全な推奨事項です。

基本的に、リバースプロキシはインフラストラクチャを世界から隠します。したがって、主にWebサーバーが管理不能で安全でない場合を除き、主に隠蔽によるセキュリティのケースです。

また、特にWebサイトが「ヘビー」である場合に、キャッシュレイヤーとして機能する場合、Webサーバーを何らかのDOS（分散型サービス拒否）から保護できます。

また、いくつかの落とし穴もあります。アプリケーションから顧客の実際のIPを隠します。これにより、サーバーの消費電力が増加し、破損する可能性のあるレイヤーが追加されます。リバースプロキシはより多くの接続（通常は顧客への接続とWebサーバーへの接続の2倍）を処理する必要があることに注意してください。

とにかく、リバースプロキシを使用しても、安全なWebサイトを手に入れることはできません。

Zoredacheは、リバースプロキシが提供できる利点について非常に良い答えを与えたと思います。リバースプロキシ、ロードバランサー、およびHTTPSフロントエンドであるPoundを使用しました。

http://www.apsis.ch/pound/

他の誰も話したことがないと思う利点の1つは、外部ファイアウォールを介して外部IP /ポートを開く必要がないという事実です。優れたリバースプロキシシステムは、ネットワーク内からDMZ内のサーバーへの通信を開始し、ネットワークを直接攻撃から保護します。しかし、これは、他の人が言ったように、不十分な記述のアプリケーションからあなたを保護しません。