Sicurezza del server proxy

La sicurezza del server Caching Proxy è importante e fornisce dettagli su come controllare chi ha accesso ai file.

Qualsiasi server accessibile da Internet è a rischio di attirare l'attenzione indesiderata sul sistema su cui viene eseguito. Le persone non autorizzate potrebbero tentare di indovinare le password, aggiornare i file, eseguire i file o leggere i dati riservati. Parte dell'attrazione del World Wide Web è la sua apertura. Tuttavia, il web è aperto sia all'uso positivo che all'abuso.

Le seguenti sezioni descrivono come controllare chi ha accesso ai file sul server Caching Proxy .

Caching Proxy supporta le connessioni SSL (Secure Sockets Layer), in cui le trasmissioni protette che implicano la codifica e la decodifica vengono stabilite tra il browser del client e il server di destinazione (un server di contenuto o un server surrogato).

Quando Caching Proxy è configurato come un surrogato, può stabilire connessioni sicure con i client, con i server di contenuto o con entrambi. Per abilitare connessioni SSL, nei moduli Configurazione e amministrazione , selezionare Configurazione proxy Impostazioni SSL. In questo modulo, selezionare la casella di spunta Abilita SSL e specificare un database key ring e un file di password del database key ring.

Quando Caching Proxy è configurato come un server proxy di inoltro, segue un protocollo pass-through chiamato SSL Tunneling per passare le richieste codificate tra il client e il server di contenuti. Le informazioni codificate non vengono memorizzate nella cache perché il server proxy non decodifica le richieste con tunnel. In un'installazione proxy di inoltro, il tunneling SSL è abilitato. Per disabilitarlo, nei moduli Configurazione e amministrazione , selezionare Configurazione proxy Impostazioni proxye deselezionare la check box Tunneling SSL su questo modulo.

È possibile prendere diverse precauzioni di base per proteggere il sistema:
  • Posiziona un server destinato all'accesso pubblico in una rete separata dalla tua rete locale o interna.
  • Disabilitare i programmi di utilità che consentono agli utenti remoti di accedere ai processi interni del server. In particolare, si consiglia di disabilitare i client telnet, TN3270, rlogin e finger sul sistema su cui è in esecuzione il server.
  • Utilizzare il filtro dei pacchetti e i firewall.

    Il filtro dei pacchetti fornisce una scelta per definire da dove possono provenire i dati e dove possono andare. È possibile configurare il sistema per rifiutare determinate combinazioni origine - destinazione.

    Un firewall separa una rete interna da una rete accessibile pubblicamente, come Internet. Il firewall può essere un gruppo di computer o un singolo computer che funge da gateway in entrambe le direzioni, regolando e tracciando il traffico che lo attraversa. IBM® Firewall è un esempio di software firewall.

  • Controllare gli script CGI. L'utilizzo di script CGI su un server Web può creare un rischio per la sicurezza poiché è possibile che questi script mostrino le variabili di ambiente che includono dati sensibili come ID utente e password. Accertarsi di sapere esattamente cosa fa un programma CGI prima di eseguirlo sul server e controllare chi ha accesso agli script CGI sul server.
Nota: Se la procedura guidata di configurazione viene utilizzata per configurare server proxy, per abilitare SSL, è necessario creare una regola di associazione per le richieste proxy ricevute tramite porta 443.
Esempi:
Proxy /* http://content server :443
Proxy /* https://content server :443