博客

可编程代理是互联网的管道胶带

Lori MacVittie 缩略图
洛里·麦克维蒂
2017 年 8 月 14 日发布

可编程代理保护端口免受掠食者的攻击——例如当今针对 SMB 的攻击。

当互联网还处于起步阶段时,我的三个大孩子都十几岁了。 即便如此,由于互联网规模还很小,我们也不想要允许不受限制的访问。 相信我,孩子们会在浏览器地址栏中输入最奇怪的东西。 尽管如今“家长控制”已十分普及,但在当时我们却不得不用胶带和捆扎线来建立自己的家长控制系统。

好的,我们实际上使用了 Squid,但这听起来不太酷。 但这仍是这篇文章的重点。 不是 Squid 本身,而是将代理用作 Web应用负载均衡机制以外的其他东西。

瞧,代理如今不仅仅适用于网络应用程序。 它们可以用来控制任何端口上您想要的任何流量。 在家里,我们主要使用 Squid 来为三个好奇的青少年控制出站互联网网络流量;在办公室,我们使用它来提供记录出站流量的中心位置,以了解为什么我们在员工人数如此之少的情况下占用了如此多的带宽。

代理

有很多使用代理来控制出站互联网访问的例子,并且毫不奇怪,入站路由上也有很多这样的例子。

代理是负载均衡、访问控制、转换(网关)和大量其他“网络托管”服务的基础,这些服务可以控制、丰富和管理往返于“数据中心”(无论是物理上位于公共云中)宝贵资源的流量。 代理提供了对入口流量的战略控制点,可用于多种目的,包括下游资源的安全和防御。

最近爆发的 WannaCry/SambaCry 就是一个很好的例子,说明代理如何提供针对针对 Web 应用程序以外资源的攻击的保护。 快速浏览一下我们最新的iHealth统计数据,我发现有大量可通过端口 445 访问的公开的 SMB 服务。 就在您期望的位置。 截至 5 月 30 日, shodan.io 搜索“port:445”找到 1,928,046 个设备/系统。 尽管最初的 WannaCry 攻击专门针对微软 SMB,但其最新目标是 samba.org 的 Linux 实现,这使得向全球开放端口 445 的 722,000 多个 Unix 操作系统变得十分可怕。

F5 有一个可用的“阻止程序” ,但重点不在于我们拥有它,而是我们拥有它的原因: BIG-IP 是一个可编程的、基于代理的平台。 

事实是,代理(特别是具有双栈的完整代理)仅通过位于数据路径中就可以提供对安全威胁的精确发现和拒绝。 检查是代理的重要组成部分;其检查能力是实现更高级、更灵活的功能(例如协议转换)的必要手段。 由于它拦截并检查流量,因此它具有完全的可见性。 因此,它可以被用来监视表明即将发生威胁或攻击开始的特定异常情况。

这就是代理的本质;代表参与交换的双方充当中间人。 就技术而言,这是一个请求者系统和一个响应者系统。 一个客户端和一个应用程序。交换是使用端口 80 上的 HTTP 还是端口 445 上的 SMB 进行并不重要。 代理可以提供必要的流量可见性,以识别(并希望随后拒绝)恶意流量。

代理不仅适用于网络应用程序或青少年。 它们适用于需要查看和控制任何入站流量的专业人士,以便检测和防止攻击对资源造成严重(且昂贵)的损害。

可编程代理是互联网的管道胶带。 如果你拥有它,那么你可以在需要的时候做任何你需要做的事情。