Reverse Proxy Proxy Server Firewall Network

Reverse Proxy – Der Extraschutz

Viele Unternehmen betreiben ihre Webserver im eigenen Rechenzentrum. Firewalls gehören schon lange zum Standard, ebenso wie DMZ Netzwerke die nur Server beinhalten, die über Internet erreichbar sein sollen.

Zusätzlich zur Firewall gibt es jedoch noch zahlreiche andere Schutzmechanismen, die nicht außer Acht gelassen werden sollten. Dazu gehören Virenscanner und Betriebssystem-Updates (vorallem Security Updates) auf den Webservern. In diesem Artikel stelle ich Ihnen noch einen weiteren Schutzmechanismus vor – den Reverse Proxy.

Proxy Server

Proxy Systeme wurden ursprünglich als Zwischenspeicher eingesetzt, um Daten nicht mehrfach aus dem Internet herunterladen zu müssen. Dabei hat dieser Proxy Server Webseiten, Bilder und Downloads die von Benutzer eines lokalen Netzwerks heruntergeladen wurden gespeichert und für andere Benutzer mit hoher Geschwindigkeit zugänglich gemacht. Im Vordergrund war nicht nur die Downloadgeschwindigkeit, sondern auch die erforderliche Bandbreite der Außenanbindung von Firmennetzen. Mit der steigenden Bandbreite sind Proxy Server immer mehr in den Hintergrund gerückt.

Ein weiterer Vorteil eines Proxy Servers ist, dass die Benutzer keinen direkten Zugriff ins Internet brauchen, was erhöhten Schutz vor Trojanern oder schädlicher Software, die Kontakt aus dem internen Firmennetzwerk ins Internet aufnimmt, bietet.

Reverse Proxy Server

Ein Reverse Proxy macht dasselbe wie der Proxy Server, nur umgekehrt. Die Benutzer aus dem Internet greifen über den Proxy Server auf den hausinternen Internetserver zu. So kann ein gehärtetes Betriebssystem ohne zusätzliche Funktionalität (Datenbanksysteme, Dateiserver, etc.) als Zugriffspunkt für Internetanwender zur Verfügung gestellt werden. Das erspart die ständigen Sicherheitsupdates auf den Produktionssystemen (die teilweise auch deren Funktionalität beeinflussen), da Internetbenutzer nur Zugriff auf einen Reverse Proxy Server erhalten. Dieser leitet dann die Anfragen aus dem Internet an den entsprechenden internen Webserver weiter.

Netzwerk-Übersicht DMZ mit Reverse Proxy

Der Reverse Proxy nimmt alle Anfragen an und leitet diese an die Produktionssysteme weiter. Somit kommuniziert der Client nie direkt mit dem Server.

Dabei bietet es sich durchaus an, unterschiedliche Betriebssysteme für Reverse Proxy und Produktionsserver einzusetzen.

Erweiterte Zugriffssteuerung

Mit dem Proxy können weitere Zugriffssteuerungen vorgenommen werden. CMS Systeme haben meist einen Bereich für die Datenpflege, der mit einem Passwort geschützt ist. Diese Systeme sind jedoch immer nur so sicher wie die Passwörter die dafür vergeben werden. Um den Zugriffsschutz zu erhöhen, können bestimmte Pfade über den Proxy Server nur von intern zugänglich gemacht werden.

Wenn zum Beispiel Typo3 eingesetzt wird, lautet der Administrations-Pfad in den meisten Fällen www.ihre-domain.de/typo3. Mit einem Reverse Proxy kann der Zugriff so gesteuert werden, dass dieser Administrationspfad nur aus dem internen Netzwerk erreichbar ist, und nicht aus dem Internet.

Mit einem Reverse Proxy können auch mehrere interne Systeme über dieselbe externe IP Adresse verfügbar gemacht werden. Der Proxy Server übernimmt dann das Routing zu den entsprechenden Systemen.

In einem nächsten Blog-Artikel werden wir für Sie eine Beispiel-Konfiguration für den Einsatz eines Squid Proxies zur Verfügung stellen.

Produkte für Reverse Proxy:

Open Source: squid – www.squid-cache.org
Microsoft: Forefront Threat Management Gateway- http://www.microsoft.com/en-us/server-cloud/forefront/threat-management-gateway.aspx (ehemals ISA Server)

Weiterführende Links:

Forefront Thread Management Gateway (TMG) http://technet.microsoft.com/en-us/library/ff355324.aspx

 

Titelbild: © Nebuto – Fotolia.com

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>