Programmierbare Proxys sind das Klebeband des Internets

Programmierbare Proxys schützen Ports vor Angreifern, wie sie es heute etwa auf SMB abgesehen haben.

Als das Internet noch in den Kinderschuhen steckte, waren meine drei ältesten Kinder Teenager. Selbst damals – als das Internet noch viel kleiner war – wollten wir keinen ungehinderten Zugriff zulassen. Glauben Sie mir, Kinder geben die verrücktesten Dinge in die Adressleiste von Browsern ein. Obwohl es heute weitverbreitete „Kindersicherungen“ gibt, mussten wir damals unsere eigenen aus Isolierband und Bindedraht bauen.

Okay, wir haben tatsächlich Squid verwendet, aber das klingt nicht so cool. Dennoch ist es der Punkt dieses Beitrags. Nicht Squid an sich, sondern die Verwendung eines Proxys als etwas anderes als ein Mechanismus zum Lastenausgleich von Webanwendungen.

Sehen Sie, Proxys gibt es heute nicht mehr nur für Webanwendungen. Mit ihnen können Sie praktisch jeden gewünschten Datenverkehr auf jedem beliebigen Port steuern. Während wir Squid zu Hause vor allem zur Kontrolle des ausgehenden Internetverkehrs für drei neugierige Teenager nutzten, setzten wir es im Büro ein, um einen zentralen Ort zum Protokollieren des ausgehenden Datenverkehrs bereitzustellen und so herauszufinden, warum wir mit so wenigen Mitarbeitern so viel Bandbreite verbrauchten.

Es gibt zahlreiche Beispiele für die Verwendung von Proxys zur Steuerung des ausgehenden Internetzugriffs und, wenig überraschend, auch zahlreiche Beispiele für den eingehenden Zugriff.

Proxys sind die Grundlage für Lastenausgleich, Zugriffskontrolle, Übersetzung (Gateways) und eine Vielzahl anderer „netzwerkgehosteter“ Dienste, die den Datenverkehr zu und von wertvollen Ressourcen innerhalb des „Rechenzentrums“ (egal, ob es sich physisch vor Ort oder in einer öffentlichen Cloud befindet) steuern, anreichern und verwalten. Proxys bieten einen strategischen Kontrollpunkt für den eingehenden Datenverkehr, der für verschiedene Zwecke verwendet werden kann, einschließlich der Sicherheit und des Schutzes nachgelagerter Ressourcen.

Der jüngste Ausbruch von WannaCry/SambaCry ist ein gutes Beispiel dafür, wie Proxys Schutz vor Angriffen bieten können, die auf andere Ressourcen als Webanwendungen abzielen. Ein kurzer Blick auf unsere neuesten iHealth- Statistiken zeigt mir eine ganze Reihe öffentlich zugänglicher SMB-Dienste, auf die über Port 445 zugegriffen werden kann. Genau dort, wo Sie es erwarten würden. Eine Suche auf shodan.io nach „Port:445“ ergibt bis zum 30. Mai 1.928.046 Geräte/Systeme. Und während der anfängliche WannaCry-Angriff speziell auf Microsoft SMB abzielte, ist sein neuestes Ziel die Linux-Implementierung von samba.org, was die über 722.000 Unix-Betriebssysteme, deren Port 445 der ganzen Welt offen steht, in erhebliches Ungeheuerlichkeit versetzt.

F5 verfügt über einen „Blocker“ , aber es geht nicht so sehr darum, dass wir einen haben, sondern darum, warum wir einen haben: BIG-IP ist eine programmierbare, Proxy-basierte Plattform. 

Der Punkt ist, dass ein Proxy – und insbesondere ein vollständiger Proxy mit Dual-Stack – allein dadurch, dass er sich im Datenpfad befindet, eine präzise Erkennung und Abwehr von Sicherheitsbedrohungen ermöglichen kann. Die Inspektion ist ein wesentlicher Bestandteil eines Proxys. Die Fähigkeit hierzu ist eine Voraussetzung, um erweiterte und flexiblere Funktionen wie etwa die Protokollübersetzung zu ermöglichen. Da es den Datenverkehr abfängt und prüft, verfügt es über vollständige Transparenz. So kann das System angewiesen werden, auf bestimmte Anomalien zu achten, die auf eine unmittelbare Bedrohung oder den Beginn eines Angriffs hinweisen.

Dies liegt in der Natur eines Proxys: Er fungiert als Vermittler im Namen zweier an einem Austausch beteiligter Parteien. Im Fall der Technologie sind das ein Anforderungssystem und ein Antwortsystem. Ein Client und eine App. Dabei spielt es keine Rolle, ob der Austausch per HTTP über Port 80 oder SMB über Port 445 stattfindet. Ein Proxy kann die erforderliche Transparenz im Datenverkehr bieten, um bösartigen Datenverkehr zu erkennen (und hoffentlich anschließend auch abzulehnen).

Proxys sind nicht nur für Webanwendungen oder Teenager. Sie sind für seriöse Profis gedacht, die Einblick in und Kontrolle über den gesamten eingehenden Datenverkehr benötigen, um Angriffe zu erkennen und zu verhindern, dass diese ernsthafte (und kostspielige) Schäden an den Ressourcen verursachen.

Programmierbare Proxys sind das Klebeband des Internets. Wenn Sie eines haben, können Sie praktisch alles tun, was Sie tun müssen, und zwar dann, wenn Sie es tun müssen.