Новости

Основы информационной безопасности: Что такое прокси?

Если вы новичок и не понимаете основы кибербезопасности, такие как назначение межсетевого экрана, то, наверное, не полностью осознаете потенциальные возможности устройств Firebox от компании WatchGuard. Одно из эффективных устройств, которое часто ставит в тупик новых пользователей, — прокси-сервер.

Согласно словарю, прокси — это один компонент, замещающий другой, либо лицо, уполномоченное действовать от имени другого лица. В контексте безопасности прокси — это процесс в брандмауэре, который принимает данные (и выполняет соответствующие действия) от имени сервера, которому прокси-сервер затем передает эти данные. Устройства могут быть защищены межсетевым экраном или прокси-сервером. Смысл такого подхода заключается в том, что сервер может выполнять все свои задачи (распределять электронную почту, отображать веб-страницы, предоставлять файлы для загрузки и т.п.), в то время как прокси-сервер защищает сервер от прямых контактов с внешним миром.

На веб-сайте WatchGuard прокси-серверы защиты сравниваются с проверяющим редактором в издательстве. Издательства получают тонны рукописей от авторов, которые надеются на публикацию. Если главный редактор книги рецептов занят деловыми контактами с Жаком Пепином (Jacque Pepin), Эмерилом Лагасси (Emeril LaGasse) и другими шеф-поварами, он сможет работать эффективнее, имея помощника, который будет вскрывать присланные пакеты, проверять их содержимое и отклонять материалы, явно не относящиеся к поваренной книге, такие как любовные романы, биографии борцов-профессионалов и случайные письма с угрозами. Главный смысл такой аналогии заключается в том, что так же, как помощник вскрывает полученные пакеты по поручению главного редактора, прокси-сервер фактически «разворачивает» поступающие один за другим пакеты данных, проверяет их содержимое и разрешает или запрещает доступ пакета к серверу, руководствуясь заранее определенным набором правил.

Зачем использовать прокси-сервер?

Если прокси-сервер правильно установлен и настроен, он отфильтровывает подозрительные и нежелательные данные. Например, прокси-сервер HTTP может блокировать исходящий трафик программы-трояна, которая каким-либо образом тайно проникла в систему и пытается сообщить злоумышленнику сведения с «секретного» порта. Прокси-сервер SMTP может удалять вредоносные вложения электронной почты. Он также блокирует входящий трафик, атакующий серверы электронной почты. Например, старый изъян в серверном программном обеспечении Microsoft Exchange 5.5 позволял злоумышленнику вывести из строя сервер Exchange, просто отправив неожиданно длинную строку символов. Однако прокси-сервер SMTP Firebox ограничивает допустимое число символов в строке, предотвращая атаки этого типа. Прокси-сервер проверяет электронную почту, обнаруживает избыточное количество символов и запрещает доступ электронного сообщения на сервер назначения. Таким образом, прокси-сервер может выступать в качестве первой линии защиты сервера, на котором еще не были установлены обновления.

Когда-то производители редко объявляли об уязвимостях в системе безопасности своих продуктов. Теперь объявления об уязвимостях стали столь частыми, что дополнительная защита при помощи прокси-сервера еще более важна. Конечно, вы бы предпочли регулярно устанавливать последние обновления, чтобы устранить бреши в системе безопасности таких продуктов, как Exchange, Outlook или даже Internet Explorer. Но иногда установка обновления, даже решая прежние проблемы безопасности, создает новые проблемы с совместимостью; процедура отнимает драгоценное время; кроме того, подразделения сбыта и технической поддержки на следующей неделе собираются объединить свои базы данных — в любом случае, когда было последнее обновление вашего почтового сервера? Пока вы не установите обновления, правильно настроенный прокси-сервер — это лучше, чем ничего.

Откуда взять прокси-сервер?

Если эти краткие сведения о прокси-сервере заинтересовали вас, то, возможно, вы хотите узнать, что делать дальше. К счастью, отличные прокси-серверы уже предусмотрены в устройстве Firebox. Вот где их можно найти: в диспетчере политики в меню «Правка» выберите команду «Добавить службу» — откроется папка «Прокси-серверы». Разверните ее, щелкнув значок «плюс» рядом с названием папки, и вы увидите список прокси-серверов. Пусть длинный перечень не пугает вас; мы расскажем вам о назначении наиболее часто используемых прокси-серверов.

Но сначала обратите внимание, что перед использованием прокси-сервера нужно обдумать ряд аспектов. Прокси-серверы обеспечивают применение политики безопасности компании; чтобы знать, как использовать прокси-серверы, необходимо, прежде всего, иметь утвержденный документ, в котором указано, разрешает ли ваша компания обмен мгновенными сообщениями, допускаются ли вложения в электронные сообщения в виде приложения/потока октетов и т.п. Прокси-серверы могут обеспечить высокий уровень контроля, но сначала нужно определиться с функциями, которые они должны выполнять.

Назначение каждого прокси-сервера

Далее приводится краткое описание наиболее распространенных прокси-серверов.

· Прокси-сервер SMTP обрабатывает электронную почту. К возможным угрозам со стороны электронной почты относятся вложения, содержащие вредоносный код; вложения, нарушающие корпоративную политику безопасности; злоумышленники, пытающиеся использовать в преступных целях почтовые серверы, для которых не установлены обновления. Прокси-сервер SMTP позволяет выбирать типы разрешенных вложений. Можно также указать максимально допустимый размер вложения, разрешенные заголовки и адреса, максимальное число получателей, набор символов и другие параметры. Прокси-сервер SMTP обычно включен и используется практически постоянно.

· Прокси-сервер HTTP обрабатывает трафик Интернета. Большинство (но не все) веб-серверы прослушивают порт 80. Этот прокси-сервер можно использовать для блокировки веб-трафика, пытающегося проникнуть через другие порты. Однако существует ряд законных приложений, которые передают веб-трафик через другие порты, поэтому можно прибегнуть к другой эффективной стратегии защиты — использованию службы прокси-HTTP. Если открыть диспетчер политики и выбрать компоненты, указанные выше (в разделе «Откуда взять прокси-сервер?»), вы увидите службу прокси-HTTP. Щелкните ее название, чтобы вывести справочные сведения, поясняющие различие между службой прокси-HTTP и прокси-сервером HTTP.

· Прокси-сервер FTP обрабатывает трафик, который управляется протоколом передачи файлов. К возможным угрозам со стороны FTP относятся попытки злоумышленников сохранить неразрешенные файлы на вашем FTP-сервере, использовать ваш FTP-сервер для атаки другого FTP-сервера; а также попытки одного из ваших сотрудников тайно отправить данные на внешний адрес, минуя брандмауэр вашей сети. Прокси-сервер FTP блокирует эти угрозы, ограничивая число и типы команд FTP, которые разрешается передавать через устройство Firebox, и позволяя установить для определенных видов трафика доступ «только для чтения» (то есть пользователи могут получать файлы, но изменять их или создавать новые файлы запрещено).

· Прокси-сервер H.323 обрабатывает протокол, используемый для связи между узлами посредством мультимедийных устройств, чаще всего в таких приложениях, как CU-SeeMe, NetMeeting, веб-камеры и т.п. Протокол H.323 при передаче данных обычно открывает множество портов с высокими номерами. Чтобы протокол H.323 функционировал без прокси-сервера, эти порты должны всегда оставаться открытыми — тогда ваша система будет пропускать любой трафик, направляемый злоумышленниками на эти порты, что едва ли можно считать безопасной стратегией. Прокси-сервер H.323 открывает минимальное количество портов только при необходимости (например, во время видеоконференции), а затем закрывает их по окончании сеанса. Этот прокси-сервер также может отклонять трафик, который во время видеоконференции пытается проникнуть из других систем.

· Прокси-сервер RTSP обрабатывает данные в формате RealAudio. Он работает аналогично прокси-серверу H.323.

Только начало

Это все, что мы могли рассказать о прокси-серверах в объеме данной статьи, но мы предоставили вам лишь начальные сведения. Теперь, получив общее представление о прокси-серверах, вы сможете легко и без дополнительных затрат настроить свой брандмауэр для обеспечения нового уровня защиты вашей сети. Мы рекомендуем вам не упустить эту возможность. Поскольку вы не можете непрерывно контролировать свою сеть, пусть прокси-сервер станет вашим заместителем.

Возврат к списку

 

Защита банкоматов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения Введите символы с картинки*

* - Поля, обязательные для заполнения

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Для получения БЕСПЛАТНОГО БИЛЕТА заполните, пожалуйста, Форму:

Количество билетов ограничено

Фамилия* Имя* Отчество* Название компании* Должность* Телефон рабочий* Телефон мобильный* E-mail*

* - Поля, обязательные для заполнения