Обзор рынка прокси-серверов Secure Web Gateways. Описание и назначение

Обзор рынка прокси-серверов Secure Web Gateways. Описание и назначение

Прокси-серверы с функциями информационной безопасности  (Security Web Gateway — SWG) — это программно-аппаратный комплекс, позволяющий обеспечить безопасный доступ к интернету и возможность безопасного использования веб-приложений.

Одной из основных причин выполнения успешных атак на ресурсы предприятия являются сотрудники, а именно использование ими интернета и передача информации во внешние сети. Риски, которые необходимо учитывать, когда у пользователей есть доступ во внешнюю сеть, связаны со следующими угрозами:

• Сетевые атаки на операционные системы сотрудников за счет уязвимостей операционных систем.
• Сетевые атаки на браузеры и другие приложения, в которых также могут присутствовать незакрытые уязвимости.
• Внедрение вредоносных программ, которые могут быть причиной халатного отношения сотрудника в политикам информационной безопасности на предприятии или умышленным действием.
• Несанкционированный доступ пользователей к ресурсам внешних сетей, как для личного использования, так и для передачи конфиденциальной информации злоумышленникам.

Использование защищенных веб-шлюзов позволит сократить риски за счет основных функций:

• Защита от вредоносного кода в веб-трафике, как внешнем, так и внутреннем.
• Фильтрация категорий и репутаций сайтов в веб-трафике.
• Определение и фильтрация приложений в веб-трафике
• Блокирование ботнет-трафика.
• Обнаружение утечек информации в веб-трафике.

В дополнение к общим функциям при выборе решений класса Security Web Gateway стоит обратить внимание на следующие возможности:

• обнаружение вредоносных приложений нулевого дня за счет полной проверки веб-трафика;
• запрет использования опасных приложений или отдельных функций и сервисов;
• проверка SSL-трафика;
• идентификация пользователей в различных системах, таких как Microsoft Active Directory, LDAP или RADIUS;
• контроль пропускной способности по спискам пользователей либо ресурсов;
• механизмы анализа происшествий или возможность построения детализированных отчетов.

Поскольку шлюз развертывается на границе внешней и внутренней сети компании, он позволяет защитить все ресурсы организации и нейтрализовать последствия возможных атак. В случае если на рабочем месте сотрудника отключен антивирус, шлюз способен перехватить вирус или заблокировать соединение с вредоносным ресурсом.

В настоящее время ассортимент защищенных веб-шлюзов на российском рынке представлен в основном иностранными разработчиками. Однако среди отечественных производителей также можно найти оборудование, способное учитывать трафик, управлять доступом и даже организовывать IP-телефонию.

Описанные выше возможности пересекаются с другим решением для обеспечения сетевой безопасности, а именно межсетевыми экранами нового поколения (NGFW). Отличие заключается в возможностях межсетевого экранирования у решений NGFW, а у Security Web Gateway имеется встроенный прокси-сервер. Таким образом, если фаервол уже установлен и настроен в компании, то рекомендуется остановить свой выбор на защищенном веб-шлюзе, и обратная ситуация — в случае прокси-сервера.

Прокси-сервер на предприятии. Какие бывают типы прокси-серверов

Прозрачный прокси – самый простой вид, в браузере даже не прописываются настройки прокси-сервера. Прозрачный прокси просто перехватывает идущий HTTP-трафик. У пользователя создается ощущение, что он работает в интернете без прокси-сервера. Пример использования: фильтрация развлекательных веб-сайтов в сети образовательных учреждений.

Анонимный прокси никогда не передают IP-адрес клиента на целевой ресурс. Хороший вариант, е сли вы не хотите, чтобы таргетированная реклама следила за вами или вашим местоположением. Прокси высокой анонимности не передает ни IP-адрес, ни личные данные и даже не идентифицирует себя как прокси. В процессе работы IP-адрес периодически меняется – это позволяет обеспечить максимальную конфиденциальность. Браузер TOR использует этот тип прокси-сервера. Поскольку IP меняется, чрезвычайно трудно отследить источник запросов.

Искажающий (distorting) прокси работает аналогично анонимному, но передает заведомо ложный IP-адрес. Такой подход используется, чтобы обойти локальные ограничения доступа к контенту.

Резидентный (residential) прокси используют реальные (белые, статические) IP-адреса. Для серверов они выглядят как обычные клиенты. Противоположность резидентного – data center прокси , имеющие IP-адреса, не привязанные к реальному устройству. Облачные провайдеры имеют высокоскоростные интернет-соединения. Однако если на одном сервере размещено сотни прокси-серверов, все они будут иметь одинаковые IP-адреса.

Публичный (public) прокси – самый небезопасный и ненадежный. Могут «отвалиться» в любой момент, уязвимы для хакерских атак. Найти списки бесплатных публичных прокси не так уж сложно, но найти хороший публичный прокси – почти невозможно.

Частный (private) прокси может использоваться единовременно только одним клиентом, а перед использованием происходит проверка подлинности. Это более надежная версия публичного прокси. Частный прокси-сервер может быть прозрачным или иметь высокую анонимность, подобно вышеописанным собратьям, таким как резидентный или data center прокси.

Общий (shared) прокси – один из самых дешевых видов прокси-серверов. Стоимость аренды сервера разделяется между клиентами, которые получают к нему одновременный доступ.

Ротационный (rotating) прокси для нового клиента выделяет новый IP-адрес. То есть один и тот же IP не используется более одного раза. Ротационный сервер обеспечивает высокий уровень безопасности и конфиденциальности.

SSL-прокси работают по принципу HTTPS-запросов – запросы между клиентом и сервером защищены шифрованием.

Обратный (reverse) прокси предлагает совершенно другой подход к проксированию. Здесь скрывается не IP-адрес клиента, а IP-адрес сервера, на который отправляется запрос. И нструмент используется, чтобы контролировать доступ к серверу и ограничивать неконтролируемый доступ к базе данных, а также для снижения трафика за счет кэширования информации.

Pfsense прозрачный прокси. pfSense as a Transparent Proxy (http & https TLS)

Getting a transparent proxy up and running can be troublesome especially getting it to terminate the HTTPS (TLS) connection, inspect it (if need be) and re-terminate it. Most businesses these days don’t want to actually inspect the traffic but can’t go without some-kind of internet monitoring so a minimalistic transparent proxy seems to be a nice fit.

The ability to let 99% of traffic through, block obviously bad content, and then log the traffic for later review. That’s what most businesses are doing these days.

Before we get too far into this, a word on architecture. The only way this will work is if the pfSense is already or going to be your default gateway or is in a position where traffic will pass through it as a router – not just a proxy. The pfSense will take packets routing through it with destination ports of 80 or 443 and redirect them to the traditional proxy port.

The risk of losing connection to your pfSense web portal is low. I note that here because you probably manage the pfSense on port 443 and you’ve probably come to the conclusion that if you manage it on 443 and we’re going to be proxy’ing on that port, how will you maintain your connection to the pfSense? Glad you asked. The pfSense is smart enough to only do redirections of packets that have a destination other than its self. We’re safe.

We’ll need a CA configured. If you have a scheme already in place for your business/home, you’ll probably need to use that in-place of what we configure here. But follow along anyway as a CA is needed before we can allow the Squid proxy to intercept HTTPS traffic.

Go to System, Cert Manager, CA’s. Click Add. Configure your CA to be similar to the following but adapted to your needs.

Install the “Squid” proxy package. Go to System, Package Manager, find Squid in the list and click Install. You’ll then see Squid in the list of installed packages.

Go to Services, Squid Proxy. Go to the Local Cache tab. Go to the bottom of the page and Save.

Go to the General tab. Tick the box to enable Squid.

Tick the box to enable HTTP transparent proxy services.

Tick the box to enable HTTPS (TLS) transparent proxy services.

Enable logging locally. In the real world you’d likely enable this for remote logging (to a remote syslog server).

Save the changes. You should now have a working transparent proxy. However, your web browsers will error as they don’t yet trust the CA.

At this point we need to export and trust the CA certificate that we created at the start of this walk-through.

Go to System, Certificate Manager. Click the “Export” icon that looks like a star to the right of the CA we created earlier.

Take that certificate and trust it. For me (on my lab) I simply imported it into my Firefox browser. But in the real-world, you’d either a) use Group Policies to apply it to all machines, or b) use your existing internal CA’s certificate which is probably already trusted by your workstation.

Some websites don’t work well if the connection to them is intercepted by a transparent proxy. Banks commonly have issues with this. The Squid proxy allows for exceptions to prevent these sites from being included in the interception scheme. You can add exceptions based on the destination (websites, etc) and/or the source (workstations in your business).

TIP: You can use IP addresses, subnets and/or domain names. For example, the destination might be “nab.com.au” and the source might be “192.168.0.0/24”.

Go to Services, Squid Proxy.

Save your changes and you should find the exceptions are working.

Лучший прокси-сервер для организации. Список прокси-серверов

Сервисы по предоставлению прокси-сервера предлагают клиентам сетевые IP-адреса, которые используются для изменения предполагаемого местоположения подключенного к интернету устройства или серверов в центре обработки данных. Прокси-сервер подключает устройства к серверу, указанному по его IP-адресу. Большинство поставщиков прокси-решений предлагают множество типов прокси-серверов из различных физических местоположений. Некоторые тарифы сервисов разработаны специально для предоставления многочисленных IP-адресов с высоким трафиком для центров обработки данных, в то время как другие предложения меняют IP-адреса или предоставляют статические полупостоянные IP-адреса.

Компании используют сервисы по предоставлению прокси-серверов для ряда целей, наиболее распространенной из которых является сбор данных из интернета. Прокси-серверы из списка помогают избежать обнаружения на предмет ботов и маскировать повторных посетителей новыми IP-адресами. Другие варианты использования прокси-серверов подпадают под сбор конкурентной информации и мониторинг бренда.

• Контроль использования интернета сотрудниками и детьми — организации и родители настраивают прокси-серверы для контроля и мониторинга того, как их сотрудники или дети используют интернет. Большинство организаций не хотят, чтобы вы просматривали определенные веб-сайты в рабочее время, и они могут настроить прокси-сервер так, чтобы он запрещал доступ к определенным сайтам, вместо этого выдавая надпись с просьбой воздержаться от просмотра указанных сайтов в сети компании. Сервисы по предоставлению прокси-серверов помогут отслеживать и регистрировать все веб-запросы, поэтому, даже если сайт не блокируется, можно узнать, сколько пользователь проводит времени в интернете и как.
• Конфиденциальность — как частные лица, так и организации используют прокси-серверы для конфиденциальности в интернете. Некоторые прокси-серверы изменяют IP-адрес и другую идентифицирующую информацию, содержащуюся в веб-запросе. Это означает, что конечный сервер не знает, кто на самом деле сделал первоначальный запрос, что помогает сохранить вашу личную информацию и историю просмотра в секрете.
• Получение доступа к заблокированным ресурсам — сервисы по предоставлению прокси-сервера позволят пользователю обходить ограничения на контент, введенный провайдерами или правительствами.

• Экономия пропускной способности и повышение скорости — организации могут повысить общую производительность сети с помощью хорошего прокси-сервера. Прокси-серверы могут кешировать популярные веб-сайты, что экономит пропускную способность для компании и повышает производительность сети.
• Улучшенная безопасность — сервисы по предоставлению прокси-серверов обеспечивают преимущества в безопасности в дополнение к преимуществам конфиденциальности. Вы можете настроить свой прокси-сервер для шифрования ваших веб-запросов, чтобы посторонние не читали вашу историю. Вы также можете запретить доступ к известным вредоносным сайтам через прокси-сервер.
• Организации могут связать свой прокси-сервер с VPN, поэтому удаленные сотрудники всегда получают доступ к интернету через прокси-сервер компании. VPN — прямое подключение к корпоративной сети, которое компании предоставляют внештатным или удаленным сотрудникам. Используя VPN, компания может контролировать и проверять, что их пользователи имеют доступ к необходимым ресурсам (электронной почте, внутренним данным), а также обеспечивать безопасное соединение для пользователя для защиты данных компании.

Ростелеком прокси. Инструкция по настройке прокси-сервера для Windows 7

1. В поиске ввести Свойства браузера и щёлкнуть левой кнопкой мыши по появившейся иконке «Свойства браузера» (рис.1)
2. Зайти в меню Пуск-> В строке поиска ввести Свойства обозревателя

Рисунок 1. Свойства браузера в поиске Windows 7  

1. В свойствах браузера выбрать вкладку «Подключения», далее нажать кнопку «Настройка сети» и нажать кнопку OK (рис.2).

Рисунок 2. Переход к настройкам сети в Свойствах браузера  

1. В появившемся окне необходимо снять галочки в строках «Автоматическое определение параметров» и «Использовать автоматический сценарий настройки». 
2. Необходимо поставить галочку в строке «Использовать прокси сервер для локальных подключений (не применяется для коммутируемых и VPN-подключений). 
3. В активных полях «Адрес» и «Порт» нужно ввести ip proxy и порт (для каждого региона ip proxy индивидуальные и различаются в 3-м октете ip адреса), далее нажать кнопку ОК (рис.3).

Прокси сервер с веб интерфейсом. О Squid

Это кэширующий прокси-сервер для интернета, поддерживающий HTTP, HTTPS, FTP и не только. Он снижает пропускную способность и улучшает время отклика за счет кэширования и повторного использования часто запрашиваемых веб-страниц.

У Squid широкие возможности контроля доступа и он является отличным ускорителем сервера. Он работает на большинстве доступных операционных систем, включая Windows, и лицензируется по лицензии GNU GPL.

По-простому 一 это прокси-сервер, посредник между клиентом (компьютером пользователя) и ресурсом (сайтом, сервером). Клиент отправляет запрос к ресурсу через прокси-сервер, который, в свою очередь, либо делает запрос от своего имени и возвращает ответ клиенту, либо берет его из кэша.

Пример
Отец отправляет ребенка в конкретный магазин за хлебом. Ребенок знает, где расположен магазин, идет и покупает хлеб от своего имени и несет хлеб домой. Это пример работы прокси-сервера с использованием кэша. Если немного изменить ситуацию и ребенок не знает, где магазин, он его находит и возвращается домой с хлебом. Это пример работы прокси-сервера без использования кэша. При правильной настройке ребенок запомнит местоположение магазина, а мы получим кэширующий прокси-сервер.

Теперь следует немного разобраться с настройками сети в Ubuntu 20.04. В случае простой настройки прокси-сервера для анонимизации нам потребуется сервер с одним сетевым интерфейсом. В нашем случае сервер будет настроен как простой шлюз, через который будут проходить запросы клиентов, поэтому сетевых интерфейсов потребуется 2.

Squid прокси сервер. Решение задачи

Был найден неиспользуемый стационарный компьютер с двух-ядерным Intel-ом, 1 Гб ОЗУ и жестким на 80 Gb.Для решения будет сделано следующее:

1. Установлена Linux Ubuntu Server 18.04 LTS
2. На сервер установлен и настроен прозрачный Proxy Squid, собранный из исходных кодов с поддержкой HTTPS.
3. Интеграция сервера в подсеть, путем перенаправления запросов на Proxy или альтернативным вариантом (в самом конце)

Начнем.

3.1. Установка и настройка Ubuntu 18.04

Процесс установки прост. Качаем дистрибутив Ubuntu Server 18.04 с официального сайта. Рекомендую качать со старым установщиком, так как новый, лично у меня, ушел в бесконечную загрузку во время установки. Записываем образ на флешку/диск любым удобным способом. Для записи на флешку рекомендую использовать Rufus и в начале записи выбрать «Запись DD-образа». Далее, следуя информации на экране, устанавливаем систему. Остановимся только на выборе компонентов, где можно выбрать сразу OpenSSH и всё. Нам много не нужно, а что нужно, установим сами.Итак, Ubuntu установлена. Сеть, если у вас DHCP, уже настроена. Войдем в режим суперпользователя, чтобы каждый раз не добавлять sudo к командам.

sudo -s

Введем свой пароль и обновим систему.

apt-get update apt-get upgrade

Установим текстовый редактор и файловый менеджер.

apt-get install nano mc

Чтобы сохранить файл в nano , необходимо нажать Ctrl+O и следом Y . Выход из редактора осуществляется нажатием Ctrl+X . Можно сохранить файл сразу перед выходом, нажав Ctrl+X и следом Y .Чтобы открыть файловый менеджер, введите mc . Откроется типичный DOS-овский NortonCommander или в Windows TotalCommander/FAR с двумя панелями. Хотя я привык работать с консолью, файловый менеджер тоже иногда помогает, например, найти нужный файл быстрее.Если же у вас не DHCP или вы хотите отдельный IP-адрес для своего сервера, как этого захотел я, то перейдем к настройке.

Настройка статического IP-адреса

В отличии от предыдущих версий Ubuntu, в новой 18.04 сеть настраивается уже не в привычном всем нам /etc/network/interfaces , а через netplan в файле /etc/netplan/*.yaml . Файл может называться по разному, но он там один. Сам же /etc/network/interfaces пишет нам следующее:
Также, если вы захотите обновиться с версии старше до 18.04, настройки сети останутся там, где и были. Netplan актуален только для чистой установки 18.04.
Приступим, все-таки, к настройке сети.
Для начала посмотрим название сетевого интерфейса, присвоенное ОС, и запомним его.

ifconfig

Теперь откроем файл с настройками.

nano /etc/netplan/*.yaml

В нем уже должна быть настройка DHCP. Приведем файл к следующему виду.

# This file describes the network interfaces available on your system # For more information, see netplan(5). network: version: 2 renderer: networkd ethernets: название сетевого интерфейса: dhcp4: no dhcp6: no addresses: gateway4: шлюз nameservers: addresses:

Вписываем свои интерфейс, адрес и шлюз. DNS рекомендую оставить эти — Яндекс.DNS Детский будет как дополнительная защита. Такой же DNS настроен у меня в роутере. В любом случае, необходимо указывать тот DNS, который раздает роутер.
Здесь необходимо обратить внимание на пробелы (именно пробелы, а не табуляция). Каждый, своего рода, пункт отделяется от предыдущего пробелом. К примеру, если после nameservers строку addresses не отделить пробелом, а выровнять со строкой выше, то, при попытке применения настроек, netplan выдаст ошибку.
Применим настройки.

netplan apply

Перезагрузим сервер, на всякий случай.

Авторизация на прокси-сервере. SOCKS-прокси с авторизацией по логину и паролю

Прокси-сервера являются посредниками между клиентами и серверами. Например они позволяют из локальной сети обращаться к ресурсам глобальной сети. Не самым распространённым но одним из самых продвинутых прокси-протоколов является SOCKS (SOCKet Secure). Для многих приложений это единственный поддерживаемый или наиболее предпочтительный прокси-протокол.

В Linux в качестве SOCKS-прокси обычно используется пакет dante-server, а доступ ограничивают по IP-адресам или включают поддержку PAM и используют системных пользователей. Первый вариант далеко не всегда удобен, а второй весьма спорен. Далее будет показано как настроить dante-сервер с авторизацией по логину и паролю, но без использования системных пользователей.

Мы будем разворачивать наш прокси-сервер на самой дешёвой VPS от Vultr (всего 2.5 USD за достаточную для наших целей конфигурацию), работающей под управлением Ubuntu 16.04. Установим dante-server:

apt-get install dante-server

Далее нужно привести файл "/etc/danted.conf" к виду:

# Настроки логирования logoutput: stderr logoutput: /var/log/sockd.log # Системные пользователи для разных операций user.privileged: root user.notprivileged: nobody user.libwrap: nobody # Интерфейс и порт, на котором слушает сервер internal: ens3 port = 8088 # Интерфейс для исходящего трафика external: ens3 # Будем использовать авторизацию через PAM method: pam # Списки доступов. # Разрешаем всё для авторизованных пользователей client pass { from: 0.0.0.0/0 to: 0.0.0.0/0 log: error } pass { from: 0.0.0.0/0 to: 0.0.0.0/0 log: error # Имя сервиса в PAM pam.servicename: sockd }

Здесь мы указываем авторизацию через PAM, однако несмотря на это мы не будем использовать системных пользователей, а будем использовать файл с паролями. Для этого нам понадобится модуль "pam_pwdfile" и утилита "mkpasswd" из пакета "whois". Установим необходимые пакеты:

apt-get install libpam-pwdfile whois

Теперь создаём файл "/etc/pam.d/sockd" (Важно: имя файла должно совпадать с параметром "pam.servicename" в файле "dante.conf"!), он имеет вид:

#%PAM-1.0 auth required /lib/x86_64-linux-gnu/security/pam_pwdfile.so pwdfile=/etc/danted.passwd account required pam_permit.so

Ну и наконец создаём файл "/etc/danted.passwd", каждая строчка которого имеет вид:

логин:шифрованный_пароль

И вот тут как раз пригодится утилита "mkpasswd": с ещё помощью нужно шифровать пароли. Закончив настройку перезапускаем сервис:

service danted restart

Так же если используется файрволл то необходимо разрешить обращение к порту tcp/8088. На этом настройка сервера закончена и можно приступать к настройкам клиентов. Например для одного популярного мессенджера настройки будут выглядеть так:

Если вы используете браузер Firefox то столкнётесь с тем что он не поддерживает авторизацию на SOCKS-прокси. В качестве решения можно установить дополнение FoxyProxy Standard . В браузере Google Chrome такое же ограничение можно обойти с помощью расширения Proxy Helper .

На этом всё. Приятной работы!