it-swarm.it

Proxy vs. Firewall

Capisco semplicemente che un proxy è una sorta di "uomo nel mezzo" che consente/nega l'accesso a determinati servizi/risorse. Rigorosamente in termini di sicurezza (intendo qui privacy, controllo parentale e simili esclusi), può offrire ulteriore sicurezza rispetto a un firewall?

17
Count Zero

Sì, un proxy può fornire ulteriore sicurezza.

Prova per esempio:

  • Un proxy Web potrebbe implementare la scansione di malware. Potrebbe impedirti di visitare siti nella lista nera (ovvero noti per essere dannosi per i browser).
  • Sei su una rete non affidabile ma hai bisogno dell'accesso http senza essere soggetto ad attacchi MITM. Effettuare la connessione http tramite una connessione autenticata e crittografata al proxy Web attendibile.
9
bstpierre

Un proxy comprende il protocollo per cui è progettato. Ciò significa che alcuni software proxy possono consentire o impedire il traffico in base a elementi del protocollo. Per fare un esempio, il tuo proxy potrebbe non consentire il traffico HTTP con un certo User-Agent: header o consenti solo il traffico con determinati Referer: intestazioni. Un proxy può anche richiedere l'autenticazione prima di inviare le richieste insieme.

Non tutti i software proxy hanno questa capacità. Alcuni eseguiranno semplicemente il proxy delle richieste senza effettuare analisi sul contenuto oltre a quanto necessario per soddisfare la richiesta.

Un proxy inverso (spesso utilizzato davanti a un server Web) può potenzialmente proteggere da difetti del software del server Web. Può anche avere difetti che il software del server web non ha.

Un firewall di rete non comprende il protocollo HTTP e non può consentire o negare il traffico in base agli elementi di quel protocollo. Può solo consentire o negare in base ai protocolli di livello inferiore come IP, TCP e UDP. I firewall di rete non possono eseguire l'autenticazione perché non sono integrati nei livelli inferiori dello stack OSI .

Firewall dell'applicazione d'altra parte capiscono il protocollo dell'applicazione per cui sono stati progettati e consentono o negano il traffico in base al contenuto del traffico. Non ho visto uno di questi che può fare l'autenticazione ma è certamente possibile.

Un web application firewall è solo un firewall dell'applicazione progettato per i protocolli web.

Molti dispositivi firewall commerciali sono anche (almeno parzialmente) firewall applicativi.

Quindi, se si ottiene una maggiore sicurezza da un firewall o un proxy, dipende in gran parte dal firewall o dal proxy che si utilizza. Di solito dipenderà anche da come è configurato. Senza una specifica configurazione incentrata sulla sicurezza, di solito non otterrai alcuna sicurezza aggiuntiva con un firewall o un proxy.

12
Ladadadada

In realtà il termine firewall è comunemente usato in modo improprio e le persone di solito lo usano per fare riferimento al filtro dei pacchetti che non è strettamente corretto.

È possibile classificare i firewall in 2 categorie. Filtraggio dei pacchetti e gateway applicazione (proxy AKA).

Guardare a livello di protocollo di servizio (es. HTT, SMTP, ecc.) Il filtraggio dei pacchetti è un approccio scadente rispetto ai gateway dell'applicazione. I gateway applicazione hanno una conoscenza semantica del protocollo e sono molto più potenti perché possono esaminare il contenuto (HTTP: controlla se stai scaricando malware, SMTP controlla la presenza di virus e rifiuta una determinata posta). Detto questo, è un dato di fatto che non è possibile avere proxy per tutti i protocolli di servizio esistenti. Il filtraggio dei pacchetti, che opera a un livello inferiore, sebbene non abbia una granularità così sottile, finisce per essere un approccio più universale per tutti i protocolli (SMTP: non accettare nulla per la porta 25 da IP xx.xx.xx.xx).

Comunque, non c'è motivo di sceglierne uno rispetto all'altro. Puoi usarli insieme e trarre il meglio da ogni soluzione.

Nota: come riferito da @Ladadadada, non tutti i proxy possono eseguire filtri o ispezioni approfondite, quindi direi che non è corretto affermare che tutti i proxy sono firewall. Tuttavia, puoi considerarli parte della tua infrastruttura di sicurezza.

Molti firewall "tradizionali" di filtraggio dei pacchetti ora possono anche apparire di un livello superiore nello stack di rete ed eseguire l'ispezione del contenuto (ad es .: ispezione del contenuto http/rifiuto dell'URL)

5
nsn