Programmierbare Proxys sind das Klebeband des Internets

Programmierbare Proxys schützen Ports vor Angreifern, wie sie es heute etwa auf SMB abgesehen haben.

Als das Internet noch in den Kinderschuhen steckte, waren meine drei ältesten Kinder Teenager. Selbst damals – als das Internet noch viel kleiner war – wollten wir keinen ungehinderten Zugriff zulassen. Glauben Sie mir, Kinder geben die verrücktesten Dinge in die Adressleiste von Browsern ein. Obwohl es heute weitverbreitete „Kindersicherungen“ gibt, mussten wir damals unsere eigenen aus Isolierband und Bindedraht bauen.

Okay, wir haben tatsächlich Squid verwendet, aber das klingt nicht so cool. Dennoch ist es der Punkt dieses Beitrags. Nicht Squid an sich, sondern die Verwendung eines Proxys als etwas anderes als ein Mechanismus zum Lastenausgleich von Webanwendungen.

Sehen Sie, Proxys gibt es heute nicht mehr nur für Webanwendungen. Mit ihnen können Sie praktisch jeden gewünschten Datenverkehr auf jedem beliebigen Port steuern. Während wir Squid zu Hause vor allem zur Kontrolle des ausgehenden Internetverkehrs für drei neugierige Teenager nutzten, setzten wir es im Büro ein, um einen zentralen Ort zum Protokollieren des ausgehenden Datenverkehrs bereitzustellen und so herauszufinden, warum wir mit so wenigen Mitarbeitern so viel Bandbreite verbrauchten.

Es gibt zahlreiche Beispiele für die Verwendung von Proxys zur Steuerung des ausgehenden Internetzugriffs und, wenig überraschend, auch zahlreiche Beispiele für den eingehenden Zugriff.

Proxys bilden die Grundlage für Lastausgleich, Zugriffskontrolle, Übersetzung (Gateways) und zahlreiche weitere netzwerkbasierte Dienste, mit denen Sie den Datenverkehr zu und von wertvollen Ressourcen im Rechenzentrum – egal ob vor Ort oder in einer Public Cloud – steuern, optimieren und verwalten. Proxys setzen einen strategischen Kontrollpunkt für den eingehenden Datenverkehr, den Sie vielseitig nutzen können, etwa zur Sicherheit und zum Schutz Ihrer nachgelagerten Ressourcen.

Der jüngste Ausbruch von WannaCry/SambaCry zeigt gut, wie Proxys Schutz vor Angriffen bieten können, die sich gegen Ressourcen außerhalb von Webanwendungen richten. Ein kurzer Blick auf unsere aktuellen iHealth-Statistiken offenbart viele öffentlich zugängliche SMB-Dienste über Port 445. Genau dort, wo Sie sie erwarten würden. Am 30. Mai listete eine Suche auf shodan.io nach „port:445“ 1.928.046 Geräte und Systeme. Während der erste WannaCry-Angriff speziell Microsoft SMB ins Visier nahm, zielt die aktuelle Attacke auf die Linux-Implementierung von samba.org – was die über 722.000 Unix-Systeme mit offenem Port 445 weltweit zu einem erheblichen Risiko macht.

F5 verfügt über einen „Blocker“ , aber es geht nicht so sehr darum, dass wir einen haben, sondern darum, warum wir einen haben: BIG-IP ist eine programmierbare, Proxy-basierte Plattform. 

Der Punkt ist, dass ein Proxy – und insbesondere ein vollständiger Proxy mit Dual-Stack – allein dadurch, dass er sich im Datenpfad befindet, eine präzise Erkennung und Abwehr von Sicherheitsbedrohungen ermöglichen kann. Die Inspektion ist ein wesentlicher Bestandteil eines Proxys. Die Fähigkeit hierzu ist eine Voraussetzung, um erweiterte und flexiblere Funktionen wie etwa die Protokollübersetzung zu ermöglichen. Da es den Datenverkehr abfängt und prüft, verfügt es über vollständige Transparenz. So kann das System angewiesen werden, auf bestimmte Anomalien zu achten, die auf eine unmittelbare Bedrohung oder den Beginn eines Angriffs hinweisen.

Dies liegt in der Natur eines Proxys: Er fungiert als Vermittler im Namen zweier an einem Austausch beteiligter Parteien. Im Fall der Technologie sind das ein Anforderungssystem und ein Antwortsystem. Ein Client und eine App. Dabei spielt es keine Rolle, ob der Austausch per HTTP über Port 80 oder SMB über Port 445 stattfindet. Ein Proxy kann die erforderliche Transparenz im Datenverkehr bieten, um bösartigen Datenverkehr zu erkennen (und hoffentlich anschließend auch abzulehnen).

Proxys sind nicht nur für Web-Apps oder Jugendliche gedacht. Sie richten sich an echte Profis, die jeden eingehenden Datenverkehr genau überwachen und steuern müssen, um Angriffe zu erkennen und Schäden an Ressourcen zu verhindern – die sonst teuer werden können.

Programmierbare Proxys sind das Klebeband des Internets. Wenn Sie eines haben, können Sie praktisch alles tun, was Sie tun müssen, und zwar dann, wenn Sie es tun müssen.