La ventaja del servidor proxy y la IP pública son visibles

Question

La ventaja del servidor proxy y la IP pública son visibles

#1 de Steffen Ullrich (2 votos)

2

Al usar un Servidor Proxy como 'Cisco WSA' el usuario final no necesita saber dónde vive un servicio web como facebook.com , el usuario final simplemente realiza una solicitud a un servidor proxy y realiza el trabajo de localizar el servicio web. Con esta acción, nuestra LAN no conoce ninguna dirección IP pública, solo nuestra dirección IP privada.

¿Alguien puede decirme cuáles son las desventajas de las direcciones IP públicas (servidor web como facebook.com ) visibles en nuestra LAN?

proxy

pregunta user106520 05.04.2016 - 08:08

fuente

1 respuesta

Lea otras preguntas en las etiquetas proxy

¿Es seguro el cifrado más importante para la mensajería de grupo y la transferencia de archivos? Implicaciones de seguridad de reutilizar la contraseña de un solo uso

score 2 · Answer 1

La ventaja de un proxy no es principalmente que la IP pública no esté visible en la LAN interna, pero sí tiene un mejor control de lo que los clientes pueden hacer y de lo que no. Solo algunos ejemplos para ilustrar la ventaja de los proxies explícitos:

Autenticación y registro centrados en el usuario

Con un proxy explícito, puede imponer la autenticación adecuada en el proxy, lo que significa que usted sabe qué usuario se está conectando. De esta manera, puede hacer cumplir las políticas específicas del usuario, hacer el registro específico del usuario, etc. Sin un proxy explícito, por lo general, asocia la dirección IP del cliente con un usuario específico que solo funciona cuando cada usuario tiene su propia dirección IP interna (es decir, no con servidores de terminal o similares).

Independencia de los puertos de destino

Con un proxy explícito, todas las solicitudes de http://example.com/ , http://example.com:8080 o http://example.com:8000 se enviarán directamente al proxy y el proxy se conectará a los puertos dados (80, 8080, 8000). Sin ese proxy explícito, inspeccionar el tráfico en busca de malware, etc. es mucho más difícil. En efecto, necesitaría tener filtros independientes de puerto como los que ofrecen algunos firewalls de próxima generación. Pero se sabe que estos filtros independientes de puerto tienen problemas, es decir, a menudo se puede engañar al firewall para que asuma el protocolo incorrecto y, por lo tanto, utiliza la inspección incorrecta .

Independencia de la dirección IP de destino

Una forma común de omitir la inspección "transparente" es enviar información contradictoria. Por ejemplo, si un firewall debería bloquear el sitio incorrecto pero debería permitir el sitio bueno, se podría intentar configurar el encabezado del Host en la solicitud HTTP a buen sitio, pero luego conectarse a la dirección IP del sitio incorrecto. Muchos servidores web no comprueban en absoluto el encabezado del host y, por lo tanto, el sitio defectuoso serviría para el contenido, incluso si el encabezado del Host no coincide.

Una inspección transparente típica solo se ve en el encabezado del Host y decide que la solicitud puede pasar porque, según el encabezado del Host, el objetivo es buen sitio. En su lugar, un proxy explícito obtiene la URL completa, aplica la política a la URL y solo si la política permite el acceso continúa con la conexión al host dado, es decir, la dirección IP de destino está determinada por el proxy y no por el navegador.

Mejor separación entre sitios internos y externos

Si un navegador está configurado para realizar todas las solicitudes a través de un proxy, el proxy podría usarse para separar sitios internos y externos. Es decir. puede negar el acceso a sitios internos o, al menos, restringir las solicitudes de origen cruzado de sitios externos a sitios internos y, por lo tanto, proteger contra ataques típicos de la Web 2.0 desde el exterior (CSRF, XSS, DNS) ...