プログラム可能なプロキシはインターネットのダクトテープである
プログラム可能なプロキシは、現在 SMB を標的にしているような攻撃者からポートを保護します。
インターネットがまだ黎明期だった頃、私の上の3人の子供たちは10代でした。 当時でも、インターネットの規模ははるかに小さく、制限のないアクセスを許可することは望ましくありませんでした。 信じてください、子供たちはブラウザのアドレスバーにとんでもない文字を入力するんです。 今日では「ペアレンタルコントロール」が普及していますが、当時はダクトテープと結束バンドで独自のものを構築する必要がありました。
わかりました。実際は Squid を使いましたが、それほどクールには聞こえません。 それでも、それがこの投稿のポイントです。 Squid 自体ではありませんが、Web アプリケーションの負荷分散メカニズム以外の何かとしてプロキシを使用することです。
ご覧のとおり、プロキシは今日では Web アプリ専用ではありません。 これらを使用して、任意のポート上のほぼすべてのトラフィックを制御できます。 自宅では主に好奇心旺盛な 3 人のティーンエイジャーのインターネット Web 送信トラフィックを制御するために Squid を使用しましたが、オフィスでは、少数の従業員で大量の帯域幅を消費する理由を解明するために、送信トラフィックをログに記録する中心的な場所を提供するために Squid を使用しました。
プロキシを使用してインターネットへの発信アクセスをゲートする例は数多くありますが、当然ながら着信ルートの例も数多くあります。
プロキシは、負荷分散、アクセス制御、変換 (ゲートウェイ)、および「データセンター」(物理的にオンプレミスでもパブリック クラウドでも) 内の貴重なリソースとの間のトラフィックを制御、強化、管理するその他のさまざまな「ネットワーク ホスト」サービスの基礎となります。 プロキシは、ダウンストリーム リソースのセキュリティや防御など、さまざまな目的に使用できる、イングレス トラフィックを制御するための戦略的なポイントを提供します。
最近の WannaCry/SambaCry の発生は、プロキシが Web アプリ以外のリソースを標的とする攻撃からどのように保護できるかを示す良い例です。 最新のiHealth統計をざっと見てみると、ポート 445 経由でアクセスできる公開された SMB サービスが多数あることがわかります。 まさに予想通りの場所。 5月30日現在、 shodan.ioで「port:445」を検索すると、 1,928,046台のデバイス/システムが見つかります。 また、最初の WannaCry 攻撃は特に Microsoft SMB をターゲットとしていましたが、最新のターゲットは samba.org の Linux 実装であり、ポート 445 が世界中に広く開かれている 722,000 を超える Unix オペレーティング システムは非常に恐ろしいものとなっています。
F5 には「ブロッカー」が用意されていますが、重要なのは、ブロッカーがあることではなく、ブロッカーが用意されている理由です。 BIG-IP は、プログラム可能なプロキシ ベースのプラットフォームです。
重要なのは、プロキシ、特にデュアル スタックを備えた完全なプロキシは、データ パス内に存在するだけで、セキュリティの脅威を正確に検出し、拒否できるということです。 検査はプロキシの不可欠な部分であり、検査を行う能力は、プロトコル変換などのより高度で柔軟な機能を有効にする手段として必須です。 トラフィックを傍受して検査するため、完全な可視性が得られます。 したがって、差し迫った脅威や攻撃の開始を示す特定の異常を監視するように指示することができます。
代理人の性質は、交換に関与する 2 つの当事者に代わって仲介役を務めることです。 テクノロジーの場合、それはリクエスター システムとレスポンダー システムです。 クライアントとアプリ。交換がポート 80 経由の HTTP を使用して行われるか、ポート 445 経由の SMB を使用して行われるかは関係ありません。 プロキシは、悪意のあるトラフィックを認識する(そして、望ましくはその後拒否する)ために必要なトラフィックの可視性を提供できます。
プロキシは Web アプリやティーンエイジャーだけのものではありません。 これらは、攻撃を検出してリソースに重大な(そしてコストのかかる)損害を与えるのを防ぐために、あらゆる受信トラフィックの可視性と制御を必要とする本格的なプロフェッショナル向けです。
プログラム可能なプロキシはインターネットのダクトテープです。 これがあれば、必要なときに必要なことなら何でもできます。