Роль proxy серверов в ИБ. Введение: прокси, как инструмент борьбы с DoS
Роль proxy серверов в ИБ. Введение: прокси, как инструмент борьбы с DoS
Подобные эксперименты периодически проводят исследователи из разных стран, но их общая проблема заключается в недостатке ресурсов для моделирования атак, приближенным к реальности. Тесты на небольших стендах не позволяют ответить на вопросы о том, насколько успешно прокси будут противодействовать атаке в сложных сетях, какие параметры играют ключевую роль в способности минимизировать ущерб и т.д.Для эксперимента ученые создали модель типичного веб-приложения – например, сервиса электронной коммерции. Оно работает с помощью кластера серверов, пользователи распределены по разным географическим локациям и используют для доступа к сервису интернет. В этой модели интернет служит средством коммуникации сервиса и пользователей – так работают веб-сервисы от поисковых систем до инструментов онлайн-банкинга.DoS-атаки делают невозможным нормальное взаимодействие сервиса и пользователей. Существует два типа DoS: атаки на уровне приложения и на уровне инфраструктуры. В последнем случае злоумышленники атакуют непосредственно сеть и хосты, на которых работает сервис (например, забивают flood-трафиком всю пропускную способность сети). В случае атаки на уровне приложения, целью злоумышленника выступает интерфейс взаимодействия с пользователями – для этого они отправляют огромное количество запросов с целью добиться падения приложения. Описываемый эксперимент касался атак на уровне инфраструктуры.Прокси-сети – один из инструментов минимизации ущерба от DoS-атак. В случае использования прокси все запросы от пользователя к сервису и ответы на них передаются не напрямую, а через промежуточные серверы. И пользователь, и приложение «не видят» друг друга напрямую, им доступны только адреса прокси. В итоге атаковать приложение напрямую невозможно. На границе сети расположены так называемые edge proxy – внешние прокси с доступными IP-адресами, подключение идет сначала к ним.Для того, чтобы успешно противостоять DoS-атаке, прокси-сеть должна иметь две ключевые возможности. Во-первых, такая промежуточная сеть должна играть роль посредника, то есть «достучаться» до приложения можно только через нее. Это исключит возможность прямой атаки на сервис. Во-вторых, прокси-сеть должна иметь возможность предоставить пользователям возможность по-прежнему взаимодействовать с приложением, даже в ходе атаки.
Прокси-сервер. Преимущества прокси
- В условиях реальной сети с потерями практическая скорость прокси зачастую выше, чем у VPN-решений. Это вызвано тем, что при проксировании TCP-соединений ретрансмиты на участках клиент-прокси и прокси-целевой узел происходят независимо. Прокси имеет свои TCP-буферы и кратковременные задержки ввода-вывода в обе стороны не сказываются на передаче с противоположной стороны. VPN же работает только на сетевом уровне (IP) и потерянные сегменты TCP будут пересылаться по всей длине пути от VPN-клиента до целевого сервера.
- Гибкость. Проще настроить избирательное проксирование. Использование прокси можно ограничить конкретными приложениями, в браузере — конкретными доменами. Можно использовать несколько разных прокси для разных адресов назначения одновременно.
- Трудно обнаружить с помощью DPI, в том числе DPI осуществляющими активные пробы. Однако, для этого необходима некоторая донастройка. В случае с прокси через TLS, такое соединение можно выдать за обычное HTTPS-соединение. В случае с VPN факт его использования виден даже пассивному DPI. Даже если это Wireguard.
- Нет целого класса проблем с внезапно прервавшимся VPN-соединением. В худшем сценарии VPN-соединение может прерваться и пользователь не заметит, что его трафик уже не защищён и/или он уже работает со своего «домашнего» IP-адреса. В случае с прокси такие проблемы исключены.
- Нет принципиальной возможности проводить атаки, пускающие трафик мимо VPN-туннеля. Пример такой проблемы .
- Не нужны высокие привилегии в системе ни для клиента прокси, ни для сервера. Это может быть весьма полезно в случаях, когда у Вас нет высоких прав в системе.
Прокси -- это. Риски, которые несет с собой использование прокси
1. Безопасность. Угрозы безопасности информации касаются преимущественно открытых прокси. Они бесплатные, поэтому владельцы серверов ищут иные способы монетизации своих ресурсов: от сбора геоинформации для распространения таргетинговой рекламы и до откровенной продажи пользовательских данных. По этой причине использование публичных прокси не рекомендуется.
2. Прокси — это третье лицо. До использования сервера-прокладки ваши личные данные могли посмотреть только провайдер и владельцы просматриваемых сайтов. Вместо сайтов доступ ко всему трафику получит третье лицо — владелец прокси-сервера. Нет никаких гарантий, что он будет шифровать данные и хранить их в безопасности. Всегда есть риск, что proxy делится информацией с государством — учитывайте это, если вам есть, что скрывать.
3. Прокси могут заблокировать. Многие сайты запрещают использование через прокси и активно блокируют их IP. Например, Википедия запрещает редактировать свои материалы через открытые и анонимные прокси-серверы, а если выявляет нарушение — ставит блок.
4. Прокси под «вялым» запретом. По закону прокси-сервер — это анонимайзер. В КоАПе есть целая статья, которая запрещает поисковым системам выдавать ссылки на сервисы-анонимайзеры. Роскомнадзор всячески старается их блокировать и закрывать, как и VPN. Это не значит, что обычные пользователи не могут использовать прокси — на них запрет и штрафы не распространяются. Но сам факт повышенного внимания к прокси-серверам со стороны государства настораживает.
5. Отсутствие шифрования. Не все прокси-службы шифруют ваши данные. Это означает, что ваша информация потенциально может быть перехвачена между вашим компьютером и прокси-сервером. Если вы пользуетесь прокси-службой, настаивайте на полном шифровании, особенно при доступе к высоко конфиденциальным сайтам, таким как ваш интернет-банк.