Squid als transparenter Proxy (Web 2.0 Security)

oscar — Sun, 06 Apr 2008 13:55:19 +0000

Wie schon im letzen Web 2.0 Security Beitrag beschrieben, können durch die Nutzung von externen Diensten Sicherheitslücken auf Serversystemen entstehen. Bei der Verwendung externer APIs, wie z.B. eingebundene Bildergallerien kann u.U. nicht vorhergesehen werden, auf welche externen Server tatsächlich zugrgriffen werden muss. Die Datenquellen werden also erst bei konkretem Anlass ermittelt.

Als Folge können keine festen Regeln in der Firewall definiert werden um den Zugriff nach aussen festzulegen. Eine mögliche Lösung ist der Einsatz eines Proxys für den Zugriff lokaler Anwendungen auf externe Dienste über HTTP.

Die prinzipielle Idee sieht so aus:

Ein Proxyserver bindet sich auf die IPs IP1 und IP2 (1 + 2), die normalen Serverdienste hören auf IP1 (3). Wenn ein Dienst auf das Internet zugreifen will, muss er dies über den Proxy machen (4). Der Proxy lässt Zugriffe seinerseits nur auf vorher definierte Hosts zu. Die Regeln können auch auf eine vollständige Anfrage ausgedehnt werden und damit auch unterhalb eines Hosts noch weitere Einschränkungen definiert werden können.

Google liefert viele Ergebnisse, wie man das gewünschte Ergebnis erreichen kann (z.B. unter http://www.deckle.co.za/squid-users-guide/Transparent_Caching/Proxy). Ab der Version 2.6 wird das transparente Proxying nicht mehr über die “httpd_accel” Anweisungen aktiviert – aber das wird ebenfalls auf der Seite erklärt.

Firewallregeln sorgen dafür, jede HTTP-Anfrage auf Port 80 auf den Squid-Proxy umzuleiten. Dabei muss man darauf achten, dass es keine Redirect-Loops gibt. Wenn Squid Warnungen in die Logdatei a lá “TCP_DENIED” schreibt und alle anderen Fehler ausgeschlossen werden können, könnte das ein Hinweis auf eine Loop sein.

(IT-) Sicherheit im Web 2.0

oscar — Mon, 31 Mar 2008 09:25:13 +0000

Heute Nacht hab ich wirklich schlecht geschlafen. Warum? Nach der Installation von WordPress, die gestern so leicht von der Hand ging habe ich die Firewall auf dem Server etwas geöffnet um HTTP Anfragen in das restliche Netz zuzulassen. Generell sollten Firewalls ja möglichst restrektiv eingestellt sein, d.h. erst mal wird alles verboten und dann schrittweise die Verbindungen zugelassen, die unbedingt sein müssen. Für die Firewall auf dem Server bedeutet das auch, dass eben alle ausgehenden Verbindungen verboten sind.

Ein Einbruchsversuch auf einem von mir mitadministrierten Server scheiterte genau daran, dass wir die Firewall so restrektiv handhabten. Damals wurde versucht ein Rootkit über einen Fehler in einer PHP-Funktion auf dem Server zu installieren. Das scheiterte aber eben daran, dass die Firewall es erst gar nicht zu lies das Rootkit herunterzuladen.

Nun ja, schlussendlich habe ich die Firewall heute Nacht noch mal zugemacht, damit ich wenigstens etwas Schlaf finde und habe mir nun die Arbeit gemacht die jeweiligen Adressen der Kommunikationspartner für die WP-Plugins herauszufinden. Das ist wirklich aufwendig und auch nicht 100% sicher, da die Daten (z.B. von Flickr) von ganz verschiedenen Systemen zusammengesucht werden. Für ein sicheres Web 2.0 muss man die Köpfe noch mal zusammenstecken um da eine gangbare Lösung zu finden.

Oscar's Blog » Security

Squid als transparenter Proxy (Web 2.0 Security)

(IT-) Sicherheit im Web 2.0