Bundesamt für Sicherheit in der Informationstechnik

M 4.223 Integration von Proxy-Servern in das Sicherheitsgateway

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

HTTPS-Sicherheitsproxy

Der HTTPS -Proxy sollte den eintreffenden Datenverkehr entschlüsseln, der Inhaltefilterung zuleiten und daraufhin den Datenverkehr wieder verschlüsseln. Der temporär unverschlüsselte Datenverkehr kann auf unerwünschte Inhalte untersucht werden.

Im besten Fall wird ein HTTPS-Proxy vom eingesetzten Application Level Gateway (ALG) unterstützt. Dann bietet sich der in Abbildung dargestellte, relativ einfache Aufbau an. Hier wird der Übersichtlichkeit halber der Fall betrachtet, in dem der Datenverkehr auf einer eigenen Komponente gefiltert wird. Vielfach wird die Filterung jedoch vom Hersteller bereits in das ALG integriert.

Vorteile "HTTPS-Proxy auf ALG" Nachteile "HTTPS-Proxy auf ALG"
  • Einfache Einrichtung, da in der Regel Konfigurationsoberflächen zur Verfügung stehen.
  • Gegenüber einem externen HTTPS-Proxy ergibt sich eine geringere Anzahl an Kommunikationsbeziehungen zwischen den an der SSL-Entschlüsselung und an der Inhaltefilterung beteiligten Modulen (da die Daten das ALG nicht verlassen müssen).
  • Die Komplexität von SSL begünstigt Fehler bei der Entwicklung der Proxy-Software, was zu Schwachstellen führen kann. Durch Fehler in der SSL-Implementierung kann dann möglicherweise das gesamte ALG übernommen werden.
  • Der maximale Datendurchsatz wird aufgrund der rechenintensiven Schlüsselverarbeitung und der daraus resultierenden verstärkten Auslastung des ALG verringert.

Tabelle: Vorteile und Nachteile von HTTPS-Proxy auf ALG

Falls das ALG keinen HTTPS-Proxy anbietet, ergibt sich der in der Abbildung dargestellte Aufbau. Der HTTPS-Proxy befindet sich hier in einer eigenen DMZ . In der Abbildung ist abweichend von der vorhergehenden Abbildung der Fall dargestellt, bei dem Schadinhalte vom ALG gefiltert werden.

Vorteile "HTTPS-Proxy in DMZ" Nachteile "HTTPS-Proxy in DMZ"
  • Die Produktauswahl ist unabhängig vom ALG möglich.
  • Entlastung des ALGs, da die rechenintensive Schlüsselverwaltung auf einem eigenen Rechner stattfindet.
  • Auf dem ALG müssen mehrere Proxies eingerichtet werden.
  • Fehlkonfigurationen werden aufgrund der komplexen Kommunikationsbeziehungen der beteiligten Komponenten begünstigt.
  • Erhöhte Latenzzeiten gegenüber einem auf dem ALG integrierten HTTPS-Proxy beim Abruf von Daten, da mehrere TCP- bzw. UDP-Verbindungen zwischen den einzelnen Modulen aufgebaut werden müssen.

Tabelle: Vorteile und Nachteile von HTTPS-Proxy in DMZ

Die Stärke der Verschlüsselung innerhalb des vertrauenswürdigen Netzes könnte bei beiden vorgestellten Lösungen dem Schutzbedarf und der Vertrauenswürdigkeit der Teilnehmer angepasst werden, unter Umständen kann hier zur Steigerung der Performance auf eine Verschlüsselung im vertrauenswürdigen Netz verzichtet werden oder ein weniger rechenintensives, schwächeres Verschlüsselungsverfahren eingesetzt werden.

Caching-Proxy

Bei der Nutzung von Diensten könnte der Zugriff auf das nicht-vertrauenswürdige Netz auf bestimmte Proxies ( z. B. Caching-Proxy für HTTP ) beschränkt werden. Die Clients können den ("Zwangs-") Proxy nicht umgehen, um nach außen zu kommunizieren, da die IP -Adresse des Clients vom Sicherheitsgateway abgewiesen wird (nur die IP-Adresse des Caching-Proxy wird vom Sicherheitsgateway akzeptiert).

Vorteile von ("Zwangs-") Caching-Proxies Nachteile von ("Zwangs-") Caching-Proxies
  • Umfangreiche Möglichkeiten zur Protokollierung des HTTP-Verkehrs, falls nur ein einstufiges Sicherheitsgateway verwendet wird (bestehend aus einem Paketfilter).
  • Erweiterte Filtermöglichkeiten, falls nur ein einstufiger Aufbau bestehend aus einem Paketfilter eingesetzt wird. Mit einem Caching-Proxy lassen sich beispielsweise filtern:
    • Cookies,
    • URLs,
    • HTTP-Referrer,
    • HTTP-Via und
    • HTTP-Server.
  • Reduzierung des übertragenen Datenvolumens aufgrund der Caching-Funktionalität.
Anmerkung: In der Regel werden Caching-Proxies nicht unter Sicherheitsaspekten entwickelt. Ein dedizierter Sicherheitsproxy sollte den Caching-Proxies nach Möglichkeit vorgezogen werden.
  • Kompletter Ausfall von HTTP/HTTPS bei Ausfall des Proxies. Eine vorübergehende Inbetriebnahme unter Verzicht auf den Proxy erfordert umfangreiche Konfigurationsarbeiten (die Sperrlisten auf dem Paketfilter müssen geändert werden und die Proxyeinstellungen der Clients müssen angepasst werden, falls der Caching-Proxy nicht transparent betrieben wurde). In der Regel ist deshalb eine redundante Auslegung des Proxies notwendig.

Tabelle: Vorteile und Nachteile von Zwangs-Caching-Proxies

Reverse Proxy

"Reverse Proxies" werden im Zusammenhang mit der Bereitstellung von (Web-) Servern auch zur Erreichung folgender Sicherheitsziele verwendet:

  • Einschränkung der Kommunikationsverbindungen, die aus dem nicht-vertrauenswürdigen Netz kommend über einen Sicherheitsproxy geleitet werden müssen. Dadurch wird die Administration des Sicherheitsgateways erleichtert und die Wahrscheinlichkeit von Fehlkonfigurationen verringert.
  • Verschleierung der Identität des Webservers (mehrere, zur Lastverteilung genutzte Web-Server erscheinen vom nicht-vertrauenswürdigen Netz aus gesehen unter einer IP-Adresse).
  • Abfangen von Fehlermeldungen des Webservers, die einem Angreifer Hinweise zur Kompromittierung des Systems liefern könnten (eigentlich handelt es sich hierbei um einen Workaround, da der Webserver dieses Problem selber abfangen sollte).
  • Zusätzliche Abschottung des Webservers, d. h. ein Angreifer kann u. U. die Informationen einer Transaktion mitlesen, aber keinen Zugriff auf den Webserver erlangen.
  • Abkoppelung des IP-Stacks des Servers vom nicht-vertrauenswürdigen Netz.
  • Filterung unerwünschter, aus dem nicht-vertrauenswürdigen Netz stammender Anfragen an den Webserver.
  • Erhöhung der Verfügbarkeit aufgrund von Lastverteilung und Lastminderung durch Caching.

In der folgenden Abbildung ist eine Situation dargestellt, in der zwei Server zum Zugriff aus dem nicht-vertrauenswürdigen Netz bereitgestellt werden. In dem abgebildeten Szenario müssen zwei Kommunikationsverbindungen über das ALG und den externen Paketfilter hinweg freigeschaltet werden.

Die in der vorigen Abbildung dargestellten Kommunikationsbeziehungen lassen sich mit Hilfe eines Reverse Proxy reduzieren. In Abbildung ist aus dem nicht-vertrauenswürdigen Netz nur der Zugriff auf den Reverse Proxy gestattet, Server 1 und 2 sind vor Zugriff gesperrt. Auf beide Server kann nur der Reverse Proxy zugreifen.

Zur Erhöhung der Serversicherheit können die Server auch in einer eigenen DMZ betrieben werden, wo sie durch einen Sicherheitsproxy vom Reverse Proxy getrennt werden. Die Übernahme eines Servers wird hierdurch zusätzlich erschwert, allerdings erhöht sich die Anzahl der Kommunikationsbeziehungen über das ALG.

Prüffragen:

  • Betrifft den Einsatz eines Reverse-Proxy: Existieren Maßnahmen bei Ausfall des Reverse-Proxy?

  • Entspricht der Einsatz der Proxies den Sicherheitsvorgaben der Organisation?

  • Betrifft den Einsatz eines Caching-Proxy: Deckt sich der Einsatz des Caching-Proxy mit den Vorgaben der Sicherheitsrichtlinien der Organisation?

  • Betrifft den Einsatz eines Caching-Proxy: Existieren Maßnahmen bei Ausfall des Caching-Proxy?

  • Existieren Maßnahmen die bei Ausfall eines Proxies getroffen werden?

  • Betrifft den Einsatz eines Reverse-Proxy: Deckt sich die Umsetzung des Reverse-Proxy mit den Anforderungen der Sicherheitsvorgaben der Organisation?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK