Configuración segura del proxy inverso

Navega tus respuestas
5

Tengo un Forefront TMG 2010 que actúa como un proxy inverso:

  • Puedo forzar HTTP * S * entre clientes de Internet y TMG.
  • Puedo forzar HTTP * S * entre TMG y mis servidores web.

Desde el punto de vista de la seguridad, es una práctica recomendada (corregirme si me equivoco) para forzar el HTTPS entre los clientes de Internet y TMG. Esto permitiría al proxy inverso descifrar el tráfico y analizarlo en busca de ataques. ¿Esto es correcto?

¿Pero qué hay del tráfico entre TMG y los servidores web? ¿Lo forzarías a ser HTTPS? En caso afirmativo, ¿cuáles son los beneficios de seguridad de hacerlo?

    
pregunta lisa17 07.09.2011 - 12:10
fuente

3 respuestas

6

Las respuestas estándar son, usa también conexiones seguras desde el frontend a los servidores backend.

En la siguiente situación, puede ser correcto y común usar conexiones no cifradas:

  1. La infraestructura de red entre el frontend y el backend se considera segura. Por ejemplo, una red de hardware dedicada que garantiza que no es posible el rastreo o la modificación no autorizados del tráfico. El conmutador debe configurarse de manera que se evite el envenenamiento de la caché ARP y la inundación de la caché ARP, ya que los servidores pueden ser víctimas de un ataque y volverse hostiles.

  2. Y el tráfico es tan alto que el descifrado supone una carga significativa para los servidores backend.

respondido por el Hendrik Brummermann 07.09.2011 - 12:36
fuente
0

SSL tiene un alto costo de rendimiento, especialmente para HTTP. OTOH es la forma más práctica de protegerse contra MITM y las escuchas ilegales: cuando hay un impacto en la funcionalidad / facilidad de uso, solo es una "mejor práctica" agregar protección donde hay algo que necesita protección.

Si existe un riesgo de intercepción / MITM entre el proxy y los servidores web, entonces tiene sentido asegurar la conexión, sin embargo, ese no es el caso (excepto cuando los proxies son parte de un CDN).

"y analícelo en busca de ataques": terminar el SSL en el proxy significa que confía en la funcionalidad disponible del proxy para cualquier análisis, dependiendo de cómo se implemente esto, por ejemplo, no tiene visibilidad de los certificados de cliente en El servidor web. Tenga en cuenta que para SSL-SSL, si el proxy es verdaderamente un proxy HTTP, entonces descodificará el SSL y lo volverá a codificar, por lo que no tendrá una mayor visibilidad del comportamiento SSL del cliente-proxy que cuando no esté usando SSL entre el proxy y servidor web.

    
respondido por el symcbean 07.09.2011 - 12:39
fuente
0

La razón principal para ejecutar SSL entre TMG y los usuarios finales es la misma con la que ejecutaría cualquier VPN: desea privacidad y autenticación al hablar con sus clientes. Por ejemplo, no quiere que ningún idiota con un CD de retroceso pueda hojear su Sharepoint u OWA a medida que se accede. Lo que es peor, no todas las aplicaciones empresariales son lo suficientemente inteligentes como para usar técnicas sólidas de administración de contraseñas o cookies, y no desea que se filtre esa información.

El hecho de que sea una aplicación web no significa que no necesite una VPN, y HTTPS entre el TMG y el cliente marca la casilla.

    
respondido por el Steve Dispensa 07.09.2011 - 15:35
fuente

Lea otras preguntas en las etiquetas

¿Se pueden robar las cookies sin el indicador de seguridad, incluso cuando solo se accede a través de HTTPS? descripción del trabajo de Security Manager