Proxy-Server-Sicherheit

Die Sicherheit des Caching-Proxy -Servers ist wichtig. Hier finden Sie detaillierte Informationen dazu, wie Sie steuern können, wer Zugriff auf die dort gespeicherten Dateien hat.

Jeder über das Internet zugängliche Server ist dem Risiko ausgesetzt, dass dem System, auf dem er ausgeführt wird, unerwünschtes Interesse geschenkt wird. Nicht autorisierte Personen könnten versuchen, Kennwörter zu erraten, Dateien zu aktualisieren oder auszuführen oder vertrauliche Daten zu lesen. Teil der Anziehungskraft des World Wide Web ist seine Zugänglichkeit für jedermann. Diese Zugänglichkeit ist jedoch nicht nur von Vorteil, sondern fördert auch den Missbrauch.

In den folgenden Abschnitten wird beschrieben, wie Sie steuern können, wer Zugriff auf die Dateien auf Ihrem Caching-Proxy -Server hat.

Der Caching-Proxy unterstützt SSL-Verbindungen (Secure Sockets Layer), bei denen zwischen dem Browser des Clients und dem Zielserver (entweder einem Content-Server oder einem Surrogate-Server) sichere Übertragungen mit Verschlüsselung und Entschlüsselung hergestellt werden.

Wenn Caching Proxy als Stellvertreter konfiguriert ist, kann es sichere Verbindungen zu Clients, zu Content-Servern oder zu beiden herstellen. Um SSL-Verbindungen zu aktivieren, wählen Sie in den Formularen „Konfiguration“ und „Verwaltung“ die Option „Proxy-Konfiguration SSL-Einstellungen “. Wählen Sie in diesem Formular das Markierungsfeld SSL aktivieren aus und geben Sie eine Schlüsselringdatenbank und eine Kennwortdatei für die Schlüsselringdatenbank an.

Wenn Caching Proxy als Forward-Proxy-Server konfiguriert ist, folgt er einem Pass-Through-Protokoll namens SSL-Tunneling, um verschlüsselte Anfragen zwischen dem Client und dem Content-Server weiterzuleiten. Die verschlüsselten Daten werden nicht im Cache gespeichert, weil der Proxy-Server im Tunnelungsverfahren übertragene Anforderungen nicht entschlüsselt. In einer Forward-Proxy-Installation ist die SSL-Tunneling aktiviert. Um diese Funktion zu deaktivieren, wählen Sie in den Formularen „Konfiguration“ und „Verwaltung“ die Option „Proxy-KonfigurationProxy-Einstellungen “ aus und deaktivieren Sie das Kontrollkästchen „SSL-Tunneling“ in diesem Formular.

Sie können mehrere grundlegende Vorsichtsmaßnahmen zum Schutz Ihres Systems treffen:
  • Verwenden Sie einen für den öffentlichen Zugriff bestimmten Server in einem Netz, das von Ihrem lokalen oder internen Netz getrennt ist.
  • Deaktivieren Sie Dienstprogramme, mit denen ferne Benutzer auf die internen Verarbeitungsprozesse des Servers zugreifen können. Darunter fallen insbesondere telnet-, TN3270-, rlogin- und finger-Clients auf dem System, auf dem der Server aktiv ist.
  • Verwenden Sie Paketfilter und Firewalls.

    Mit Paketfiltern können Sie die Quelle und den Zielort von Daten definieren. Sie können Ihr System so konfigurieren, dass bestimmte Kombinationen von Quelle und Ziel zurückgewiesen werden.

    Eine Firewall trennt das interne Netz von einem öffentlich zugänglichen Netz, wie z. B. dem Internet. Die Firewall kann eine Gruppe von Computern oder ein einzelner Computer sein, der als Gateway in beide Richtungen agiert und den Datenverkehr reguliert und verfolgt. IBM® Firewall ist ein Beispiel für Firewall-Software.

  • Kontrollieren Sie die Verwendung von CGI-Scripts. Die Verwendung von CGI-Scripts auf einem Webserver kann ein Sicherheitsrisiko darstellen, da diese Scripts Umgebungsvariablen anzeigen können, die sensible Daten wie beispielsweise Benutzer-IDs und Kennwörter enthalten. Machen Sie sich mit den Funktionen des CGI-Programms genau vertraut, bevor Sie es auf Ihrem Server ausführen, und kontrollieren Sie, wer auf die CGI-Scripts auf Ihrem Server zugreifen kann.
Hinweis: Wenn der Konfigurationsassistent zum Konfigurieren des Proxy-Servers verwendet wird, muss zum Aktivieren von SSL eine Zuordnungsregel erstellt werden, um über Port 443 empfangene Anfragen zu proxyen.
Beispiele:
Proxy /* http://content server :443
Proxy /* https://content server :443