Ein Proxy ist eine Kommunikationsschnittstelle in einem Netzwerk. Als Vermittler nimmt er Anfragen entgegen und stellt als Stellvertreter des Anfragenden eine Verbindung her. Inwiefern ein Proxy im gleichen Zuge die IT-Sicherheit stärkt und zur Aufklärung von Vorfällen beiträgt, erklärt dieser Artikel.
Der Inhalt im Überblick
Was ist ein Web Proxy Server?
Ein Web Proxy Server wird dazu verwendet, um Netzwerkverkehr zwischen zwei Systemen zu vermitteln, z.B. zwischen einem lokalen Rechner und dem Webserver einer Internetseite. Der Web Proxy Server ist ein aktiver Vermittler, daher beschränkt sich seine Funktion nicht nur auf dieses Beispiel. Er kann sich gegenüber einem Client oder Server ebenfalls als Client oder als Server ausgeben. Somit kann er zwischen sämtlicher Kommunikation im Netzwerk sitzen. Selbstverständlich gibt es noch weitere Arten von Proxys, bspw. Transparente Proxys. Auf diese wird im Beitrag jedoch nicht eingegangen.
Ursprünglich wurden Proxys häufig dafür eingesetzt, um eine bestimmte Bandbreite in langsamen Netzwerken zu erhalten und das interne Netzwerk in seiner Schnelligkeit zu behalten. Dies kann folgendermaßen ablaufen:
- Jede Kommunikation von einem Client ins Internet wird über den Proxy Server geleitet. Webseitenaufrufe laufen somit gezwungenermaßen auch über den Proxy.
- Wenn ein Server auf eine Anfrage vom Proxy antwortet, speichert dieser eine Kopie des Inhalts und leitet die Antwort an den entsprechenden Client weiter. Den Inhalt hält er vorrätig, falls ein weiterer Client dieselbe Anfrage stellt.
- Der Proxy kann mit dem vorgehaltenen Inhalt antworten, ohne den Inhalt erneut aus dem Internet abzufragen. Dies entlastet die Internetanbindung und beschleunigt das Antwortverhalten.
Sicherheit durch Proxys
Durch eine entsprechende Konfiguration des Web Proxys kann zu dem das IT-Sicherheitsniveau gesteigert werden. Nach einer Anfrage des Clients wird die Antwort zuerst an den Proxy zurückgesendet und dessen Inhalt überprüft. Somit können unerwünschte Inhalte aussortiert, unautorisierte Fernzugriff erschwert und auch unterbunden werden. Netzwerkadministratoren können zudem unerwünschte Inhalte blockieren, sodass einige Webseiten gar nicht erst aufgerufen werden können. Dies kann durch Positiv- oder auch Negativlisten geschehen.
Neben Clients können selbstverständlich auch Server durch Proxys geschützt werden. Zugriffe auf den Server können nur über den Proxy durchgeführt werden, welcher eine geringere Komplexität aufweist und somit weniger mögliche Schwachstellen besitzt.
Auswerten von Web Proxy Daten
Aus den Proxy Log Dateien können somit viele nützliche Informationen gewonnen werden, um Aktivitäten von Systemen und Benutzern im Netzwerk festzustellen. Diese Informationen kommen IT-Forensikern bei der Aufklärung eines IT-Sicherheitsvorfall zugute. Aus einem Web Proxy können zwei Arten von Inhalten extrahiert werden. Einerseits die Logs, welche die Transaktionen enthalten, andererseits die vorgehaltenen Daten selber, welche von den Clients angefragt wurden. In diesen Daten kann z.B. Schadcode vorhanden sein, welcher aus dem Internet geladen wurde und nun das Netzwerk infiziert hat.
Die Logs, die von einem Proxy geschrieben werden, sind unfassbar wertvoll. Aus ihnen kann unter anderem ausgelesen werden, welche Webseiten (URLs) von den Clients aufgerufen wurden. Dadurch kann schnell ermittelt werden, von welchem Client ein mögliches Sicherheitsrisiko ausgeht, wer auf eine schadhafte Seite zugegriffen oder auch Inhalte heruntergeladen hat.
So lassen sich z.B. Phishing-Angriffe schneller aufklären, denn die gefälschte Webseite, auf der ein Mitarbeiter seine Daten eingegeben hat und der PC, vom dem diese Webseite aufgerufen wurde, können zentral an einer Stelle identifiziert werden.
Auch die Infizierung und der Missbrauch des Netzwerks durch ein Botnet kann schneller nachvollzogen werden. Denn der Proxy gibt Aufschluss, von welchem System die Schadsoftware heruntergeladen wurde, die das Botnet benötigt, um sich ausbreiten zu können. Reagiert man schnell genug befindet sich auf dem Proxy auch noch die heruntergeladene Schadsoftware zwischengespeichert, wodurch die Möglichkeit besteht, diese mittels Reverse Engineering zu untersuchen.
Da, wie bereits erwähnt, der Web Proxy zwischen sämtlicher Kommunikation im Netzwerk sitzen kann, ermöglicht er es bei einem IT-Sicherheitsvorfall, dessen Reichweite deutlich schneller einzuschätzen. Anstatt jedes System im Netzwerk einer Analyse zu unterziehen und anhand dieser die Bewegung eines Angreifers in einem Netzwerk nachzuvollziehen, können die Log Dateien des Proxy Server als zentrale Anlaufstelle ausgewertet werden. So lässt sich deutlich schneller feststellen, wer mit wem was kommuniziert hat.
Die Aufklärung
Typsicherweise enthalten Proxy Logs nicht nur den Zeitstempel, die IP-Adresse und die URL, sondern auch den Status der Abfrage und möglicherweise auch den Benutzernamen, der die Anfrage gestartet hat. All diese Informationen helfen, das Einfallstor zu finden und weitere Maßnahmen zur Schadensminimierung zu treffen.
Um einen Web Proxy zur Aufklärung eines IT-Sicherheitsvorfalls verwenden zu können, muss das Logging konfiguriert und auch gesichert werden, um diese langfristig vorrätig zu halten. Denn ohne die Logdaten ist eine Aufklärung deutlich zeitaufwändiger und unter Umständen nicht im vollen Umfang möglich.
