Nginx als Reverse Proxy Firewall

[Sirlex]

Hallo Zusammen,

ich möchte gerne auf CentOS mit Nginx eine Reverse Proxy Firewall aufbauen um Webseiten gegen Layer7 oder Angriffe auf Application Ebene zu schützen.

Der Server auf der CentOS installiert ist, hat zusätzlich eine Hardware Firewall gegen Layer7 Angriffe.

Meine Frage wäre, ob dies ohne weiteres möglich wäre das zu realisieren?

Sowie welche Parameter benötige ich das dies problemlos funktioniert, sowie kann man das ohne eine kurze Verzögerung machen beim betreten der geschützten Seite?

Ich würde mich sehr freuen wenn Ihr mir da weiterhelfen könntet.

Gruß

Sirlex

 

[KillerCow]

Ohne genaue Kenntniss deiner Applikation(en) und dem gewünschten Ergebnis, kann dir wohl niemand sagen, ob es möglich ist oder nicht.

Wahrscheinlich müsstest du dir naxsi anschauen: https://github.com/nbs-system/naxsi

 

[Sirlex]

Ich würde gerne Webserver hauptsächlich gegen http und https Angriffe absichern.

 

[KillerCow]

Und welche Angriffe schweben dir da so vor, gegen die du dich schützen willst? Versteh mich nicht falsch, aber es wirkt so, als hättest du keine Ahnung von dem Thema und hoffst/erwartest/glaubst, dass man sich mit ein paar vorgefertigten Zeilen gegen alle Angriffe schützen könnte. Leider funktioniert das so nicht.

Gegen gängige/bekannte Angriffe auf Protokolle/Anwendungen gibt es sicherlich nützliche Voreinstellungen für Webserver, Firewalls und Anwendungen. Dazu findest du mit Sicherheit viele Infos im Netz, wenn du nach Schlagworten wie: "webserver absichern" oder "ANWENDUNG_X absicher" suchst.

Wenn du dir hier Hilfe erhoffst, dann musst du wahrscheinlich mehr Input liefern.

 

[Sirlex]

Ich habe schon Ahnung von dem Thema...
Bloß meine Frage wäre eben, ob bei einem Server der bereits eine Hardware Firewall hat, gegen alle erdenklichen Web basierende Angriffe Schutz bieten kann. In diesem Fall via eine Nginx Reverse Proxy.

Das beim Betreten der eingetragenen (geschützten) Webseite, der eingehende Angriff durch den Proxy von der Hardware Firewall gefiltert werden könnte.

 

[KillerCow]

ob bei einem Server der bereits eine Hardware Firewall hat, gegen alle erdenklichen Web basierende Angriffe Schutz bieten kann

Gegen "alle erdenklichen Angriffe" sicherlich nicht, denn manch ein Angriff lässt sich schlicht nicht von normalem Verhalten unterschreiden. Ansonsten kommt es darauf an, wie detailiert diese Hardwarefirewall konfiguriert werden kann. Auch hier gilt wieder, ohne das Produkt zu kennen, kann niemand darüber eine Aussage treffen.

 

[Sirlex]

Die Hardware Firewall ist darauf konfiguriert Web basierende Angriffe zu erkennen und zu filtern. Mir geht es nur darum ob bei einem Reverse Proxy die Firewall dann auch die Angriffe erkennt, und auch direkt filtert somit das die eingetragene (zu schützende Webseite) ohne Unterbrechungen weiter läuft.

 

[KillerCow]

Mir geht es nur darum ob bei einem Reverse Proxy die die Firewall dann auch die Angriffe erkennt, und auch direkt filtert somit das die eingetragene (zu schützende Webseite) ohne Unterbrechungen weiter läuft.

Was die vorgeschaltete Firewall filtert, kommt beim Reverseproxy nicht mehr an, das ist ja der Sinn bei einer Firewall. Natürlich kann sich das bei dem von dir verwendeten Produkt wieder anders verhalten, keine Ahnung...

Aktuell bin ich mir auch nicht mehr sicher, ob ich deine Frage überhaupt verstanden habe. Eventuell ist ein anderssprachiges Forum besser für dich? Zumindest lesen sich deine Beiträge etwas holprig.

 

[mensch183]

Der Server auf der CentOS installiert ist, hat zusätzlich eine Hardware Firewall gegen Layer7 Angriffe.

Klingt spannend. Was ist das für ein Ding? Computermaus mit Fingerabdrucksensor?

 

[Sirlex]

sorry wenn die Sätze etwas doof klingen, habe die ganze Zeit vom Handy aus geschrieben, und da wurde bisschen was dazu gedichtet....

Ich werde es nun mal ausführlicher schreiben, vielleicht verstehen wir uns dann besser.

Also ich habe einen Server, auf dem CentOS mit nginx installiert ist. Zusätzlich besitzt dieser Server eine Hardware Firewall die gegen Web basierende Angriffe ausreichend Schutz bietet.

Mein eigentliches vorhanden ist, einen anderen oder mehrere Webserver über den CentOS Server per Reverse Proxy zu schützen (CloudFlare ähnlich).

Was aber ich gerne vermeiden würde ist, dass es eine Verzögerung beim betreten der geschützten Seite gibt, bezogen auf Werbebilder oder ähnliche Texte (wie man es halt kennt).

Und da ist eben meine Frage ob sowas realisierbar ist oder, ob ich das anders angehen sollte?

 

[mensch183]

Du solltest einfach deinen eigentlichen Webserver ohne irgendwelchen "Schutzkrempel" davor ordentlich aufsetzen. Halte das System möglichst einfach! Was für ein Webserver ist es denn? Auch ein nginx? Vor diesen muß man nichts aus Sicherheitsgründen davorschalten, wenn er vernünftig konfiguriert ist. Falls es was anders ist, vor das man wirklich was davorschalten möchte, handelt es sich um einen Müll-Webserver, der entweder gegen etwas anderes getauscht oder gar nicht mit Internet verbunden werden sollte - auch nicht hinter 10 Proxies und Firewalls.

Dein Reverse-Firewall-Proxy-Hardware-Wasweissichwas-Dingens läßt du einfach weg. Außer einer nebulösen Angst vor DEM BÖSEN(tm) hast du keinerlei Gründe für solchen Krempel nennen können und mit großer Wahrscheinlichkeit gibts auch keine Gründe dafür.

Angenehmer Nebeneffekt: Was man weglässt, kann keine zusätzlichen Probleme verursachen.

 

[Silent1337]

Klingt spannend. Was ist das für ein Ding? Computermaus mit Fingerabdrucksensor?

Das sind Web Application Firewalls, die gegen Injections, XSS usw. schützen. Es gibt auch intelligente Methoden, die entsprechende Profile anhand der Benutzer-Eingaben erstellen.

@TE
Das was du willst, ist im Grunde so ein Standard-Setup.
Was die Verzögerung angeht: Die Anfragen müssen über die HW-Firewall -> an den Proxy -> an den Application-Server. Du hast hier also durchaus einen gewissen Delay. Schön wäre, wenn du WAF und Proxy/Loadbalancer in einem Gerät hättest. Der nginx muss bei dir auch als Cache-Proxy dienen.

Der nginx kann ebenfalls Layer7 FW: https://github.com/nbs-system/naxsi