Reverse_proxy_h2g2bob.png

En una organización es común que esta cuente ademas de su portal web,con alguna que otra aplicación web publicadas para internet. Esto aumenta la superficie de exposición de la infraestuctura de dicha organización. Vamos a ver cuales son las ventajas de implementar un Reverse Proxy para proteger esos servidores webs.

Un Reverse Proxy es un servidor que colocamos entre internet y nuestros servidores web, acepta los request de los usuarios de internet, ademas de proveer varios servicios y redirige el tráfico a los servidores web que corresponda. Otro punto es que creamos un punto donde podamos inspeccionar, transformar y enrutar cualquier tráfico HTTP o HTTPS antes de que lleguen a nuestros servidores. Vamos a nombrar algunos de los beneficios:

Seguridad

Podemos decir que al colocar un Reverse proxy, agregamos una capa más de Seguridad a nuestros servidores web, primero por que ocultamos la topología y las características de los servidores detrás del proxy eliminando el acceso directo desde internet hacia ellos. Podemos ademas hacer uso de módulos de Apache por ejemplo, para inspeccionar el tráfico como son el WAF (Web Application Firewall) ModSecurity para bloquear cualquier requesto malicioso, entre otros, ModEvasive para los ataques DOS, y un sin número de controles para reducir las posibilidades de una posible intrusión.

Balanceo de Carga y Failover

Un Reverse Proxy nos puede servir además como Balanceador de Carga, recibe todos los request de los usuarios y los distribuye en varios servidores para que toda la carga no vaya a uno solo. Es bueno mencionar aquí que este lo hace al estilo Round Robin, pero hay aplicaciónes web que no van con esto ya que mantienen las sesiones. Si este es el caso lo recomendable es que coloquen un balanceador de carga que maneje las sesiones o soporte Sticky Sessions, como lo es PEN, del que he hablado aqui en el blog.

En el caso del Failover cuando configuramos el cluster de servidores para el Balanceo, en caso de que saquemos uno para mantenimiento, esto será transparente para el usuario ya que el proxy se encargará de distribuir el tráfico en los que están arriba.

Simplifica el Control de Acceso

Al crear un único punto de acceso, podemos concentrar todos nuestros esfuerzos en ese punto. Para darles un ejemplo, digamos que tenemos un rango de ip que no queremos que haga requests a nuestros servidores web, en vez de ir servidor por servidor, ese Rango de ip lo vamos a bloquear en nuestro Reverse proxy, y listo.

Punto Centralizado para Auditorías y Logs.

Ya que tenemos todos los request pasando por nuestro Reverse proxy, esto lo convierte en un excelente punto para auditar los logs.

Punto único de autenticación

En muchos casos los servidores que tiene alguna aplicación web o sirven como servidores para transferencia de archivos, las credenciales están almacenadas en estos servidores y un atacante dedicado puede comprometer estas credenciales. Así que moviendo estos servidores a un punto mas seguro e implementando un Reverse Proxy para controlar el acceso, podemos proteger aún mas esas credenciales y en su defecto, la data que protegen.

Múltiples Sitios en una misma URL

Usualmente tenemos distintas aplicaciones distribuidas en diferentes servidores. Un Reverse Proxy puede enrutar varias ramas de la URL a distintos servidores web interno. Para el usuario está navegando en el mismo server pero realmente esta viendo contenido de distintos servidores.

Terminación SSL

Aquí el Reverse proxy maneja las conexiones HTTPS, descifra el request y lo pasa ya descifrado a los servidores web, esto puede traer varios beneficios:

  • Eliminamos la necesidad de instalar certificados digitales en múltiples servidores web
  • Creamos un único punto de acceso para el manejo SSL
  • Eliminamos la Carga de Cifrar y Descifrar tráfico HTTPS a los Servidores Web.

El único detalle Aquí es que las conexiones entre el Proxy y los servidores web no están cifradas, Por lo que debemos proteger ese trayecto de algún atacante interno, pero esta a opción del Administrador si desea realizar la configuración de esa manera.

Representación Gráfica

Aquí les mencioné algunos de los beneficios más importante de un Reverse Proxy, aunque existen muchos más, en el próximo post vamos a implementar uno en Apache en un server asegurado con JackTheStripper.

 

Fuente: jsitech

¿Quién está en línea?

Hay 5393 invitados y ningún miembro en línea