Proxy inverso + WAF

5

COMO parte del diseño de la red, estoy implementando un proxy inverso HTTP, así como un WAF.

El Proxy HTTP, estoy pensando en terminar con SSL, en cualquiera de los servidores de seguridad externos, para que WAF pueda afectar el tráfico de la capa 7.

Outer Firewall --> WAF --> HTTP Proxy ---> Internal Network / Public zone DMZ

Cualquier máquina en la red interna / pública frente a DMZ luego desviaría todo el tráfico a través del proxy inverso, y luego se retiraría a través de WAF. Sí.

Mi pregunta es: ¿es esta la mejor manera de implementar un WAF con el proxy inverso HTTPS, entonces necesito volver a estudiar?

    
pregunta user3853149 15.03.2016 - 16:27
fuente

3 respuestas

2

No has definido el sitio web / aplicación. ¿Es mutable? - Si se trata principalmente de contenido estático, algunas reglas de servidor web podrían eliminar el tráfico malicioso.

Si es dinámico / orientado al cliente ... ¿quieres que todo ese tráfico llegue a tu red ?; una mejor opción puede ser introducirlo en la nube, tener un dispositivo virtual de equilibrio de carga WAF + enfrente de su nube de servidor elástica. WAF protegerá de los ataques de integridad de datos (por ejemplo, inyección de SQL); equilibrio de carga / elasticidad de DOS.

Si lo tiene local, tendrá que lidiar con las consultas erróneas (rechazadas por WAF); malos actores (bloqueo por IP; basado en registros WAF) y, en última instancia, el éxito del servicio: ¿puede el tráfico legítimo abrumar su conexión a Internet y afectar negativamente a otros procesos comerciales?

    
respondido por el CGretski 25.11.2017 - 00:12
fuente
1

El propósito de su Proxy es actuar como un intermediario entre los servidores en su DMZ y los clientes de esos servidores en Internet. Puede actuar en un rol de seguridad al interceptar solicitudes de encabezado y puede actuar en un rol de rendimiento mediante el equilibrio y la optimización de la carga.

La mayoría de los WAF locales se basan en proxies inversos, pero cuentan con software actualizado y un hardware más potente. El propósito de su WAF es mediar el tráfico HTTP que viene de la web a su DMZ. Es muy probable que ya sea capaz de realizar todas las funciones que puede realizar su proxy inverso.

SSL debe terminarse en el WAF o en el firewall externo dependiendo de la función del firewall externo. NGF = Sí, Otro = No.

Otra consideración es la arquitectura. On-premise WAF son caros. Por lo general, tienen un precio de rendimiento, por lo que, dependiendo del tamaño de la red, puede ser conveniente eliminar la LAN interna de la WAF, especialmente porque no deberían haber conexiones entrantes directamente a la LAN interna.

    
respondido por el WhereAreYouSyntax 13.09.2017 - 12:22
fuente
0

Diría que depende del tipo de datos que esté transfiriendo y de las regulaciones que se apliquen, terminar la conexión TLS y luego transferir los datos de forma clara será una violación de algunas regulaciones (por ejemplo, PCI-DSS).

También existe un problema de privacidad, ¿te importa si los datos viajan con claridad cada vez que colocas el punto de terminación TLS en tu punto de entrada web?

Puede hacer la terminación TLS en el WAF y luego abrir otra conexión TLS a su punto final para que los datos no se desplacen, pero puede inspeccionar el flujo, incluso puede hacer ambos waf + reverse proxy con apache y modsecurity de forma gratuita . Hay una versión de la ventana acoplable GitHub que se puede configurar en minutos (modsecurity-crs-rp).

    
respondido por el Manuel Spartan 20.11.2018 - 18:53
fuente

Lea otras preguntas en las etiquetas