[Dr.WoW] [No.41] Web Proxy

Pubilicado 2019-1-11 17:18:06 56 0 0 0

Aunque ambos implican acceso a recursos a nivel de objeto, la URL y el uso compartido de archivos no son lo mismo. Al acceder a una URL, se utiliza el protocolo HTTP. Como el protocolo SSL es un socio natural de HTTP, la conversión del protocolo ya no es necesaria en la función de proxy web. Sin embargo, todavía queremos centrarnos en las dos áreas de contenido más importantes en nuestra descripción aquí: control de acceso a nivel de URL y ocultando la dirección URL real.

Servicios de proxy web, significa acceder a los recursos del servidor web de la red interna (recursos de URL) utilizando el firewall como agente. En este caso, podría preguntarse, ¿no es esto simplemente una función de proxy ordinaria: cuando se usa un servidor como un trampolín para acceder a una dirección URL de destino, este servidor actúa como un proxy, no hace lo mismo el firewall? La respuesta es que no son exactamente lo mismo, ya que durante todo el proceso, el firewall no solo actúa como un proxy, sino que también reescribe la URL real, logrando así el objetivo de ocultar la URL de la red interna real y protegiendo aún más la seguridad de la red interna del servidor web.

1       Configurando recursos Web Proxy.

 

Supongamos que una empresa ya ha configurado un servidor web y ha proporcionado una dirección de portal para la red interna de la empresa (http://portal.test.com:8081/) y espera utilizar la función de web proxy para proporcionar acceso a usuarios remotos.

 

Al igual que con los recursos para compartir archivos, a fin de refinar la granularidad del control de acceso al nivel de URL, es necesario configurar un recurso web proxy correspondiente en la puerta de enlace virtual, como se muestra en la Figura 1-1.

 

Figura 1-1 Lista de recursos de web proxy: creación de un nuevo recurso.


171521ljrfr210d98188z8.png


En la configuración anterior, el parámetro más importante es el tipo de recurso, que define el método de proxy web. Los métodos de proxy incluyen la reescritura web y el enlace web, y las diferencias entre los dos se muestran en la tabla 1-1.

Tabla 1-1 Comparación de reescritura web y enlace web

 

Elemento    comparado

Reescritura    Web

Web-Link

Seguridad

Vuelve a escribir la URL real, ocultando la   dirección del servidor de red interna: confiere una seguridad sólida.

No se puede volver a escribir la URL y   reenviar directamente las solicitudes y respuestas web, lo que puede revelar   la dirección real de los servidores de la red interna.

Facilidad de uso

No se basa en los controles de IE y puede   usarse normalmente en un navegador que no sea de IE.

Se basa en los controles de IE y no se puede   utilizar normalmente en entornos que no son de IE.

Compatibilidad

Como la tecnología web se ha desarrollado muy   rápidamente, los firewalls no pueden reescribir cada clase de recursos de   URL, y pueden surgir algunos problemas, como imágenes mal ubicadas, fuentes   con apariencia anormal, etc.

No es necesario volver a escribir los   recursos, y el firewall envía directamente las solicitudes y respuestas, por   lo que no hay problemas con la compatibilidad de la página.

Consejos

La reescritura web es la opción preferencial,   ya que es el tipo de método de acceso más seguro y conveniente. Si aparecen   anomalías en la visualización de la página, se puede considerar el método de   enlace web.

Web-Link es el mejor sustituto para la   reescritura web, pero debido a su dependencia de los controles de IE, todavía   hay limitaciones en su uso. Además, no vuelve a escribir la URL de la red   interna, lo que significa que existe un riesgo de seguridad.

 

En la tabla 1-2 se enlistan el significado de algunos otros parámetros.

 

Tabla 1-2  Detalles de los parámetros Web proxy

 

 

Parámetro

Detalles

URL

Una dirección de aplicación   web a la que se puede acceder directamente desde la red interna. Si está en   un formato de nombre de dominio, esto requiere que la dirección del servidor   DNS correspondiente esté configurada en la puerta de enlace virtual.

Grupo de recursos

Es equivalente a una   clasificación autodefinida de direcciones de aplicaciones web; después de que   los usuarios remotos inician sesión, pueden seleccionar los recursos   necesarios por grupo de recursos, esto es como la entrada y las agrupaciones   de bebidas en un menú.

171536sqq4b475234fvp03.png

Portal link

Selecciona si los recursos   proxy web aparecen o no en la página de inicio de la puerta de enlace virtual   después de iniciar sesión. Si no se selecciona, esto es como preparar un   'plato de la casa' que no está en el menú para un cliente antiguo. El   "usuario anterior" puede, después de iniciar sesión, ingresar   manualmente una dirección URL en la barra de direcciones de la esquina   superior derecha y acceder a algunos recursos URL relativamente   confidenciales.

171542huo4ubnlaywwb0xu.png


Llevaré a todos a una exploración más profunda de cómo funciona realmente la reescritura web. En cuanto a Web-Link, solo he hecho una pequeña introducción a esto aquí, como lo resaltaré en "8.4 reenvío de puertos".

1       Reescritura de direcciones URL

 

Desde la dirección URL que realmente aparece al usuario, podemos ver que la URL del recurso proxy web configurada anteriormente, http://portal.test.com:8081/, se ha reescrito.

 

Figura 1-2 interfaz de inicio de sesión VPN SSL: proxy web

171607ipqw6ry6r86y6hn8.png


To anayze the rewriting results, in the address, 4.1.64.12 is the virtual gateway address, and the remaining portions can roughly be broken down as:

l   Webproxy: the Web proxy's exclusive directory.

l   1/1412585677/4: UserID/SessionID/ResourceID; these parameters have already been mentioned when introducing file sharing

l   http/portal.test.com:8081/0-2+: the altered form of the original URL address.

When the user accesses the rewritten address, the following exchange occurs.

1.         The remote user makes a request to the firewall for the rewritten URL address.

Para analizar los resultados de la reescritura, en la dirección, 4.1.64.12 es la dirección de la puerta de enlace virtual, y las partes restantes se pueden dividir aproximadamente como:

 

·         Webproxy: el directorio exclusivo del proxy web.

·         1/1412585677/4: UserID / SessionID / ResourceID; Estos parámetros ya se han mencionado al introducir el intercambio de archivos.

·         http / portal.test.com: 8081 / 0-2 +: la forma alterada de la dirección URL original.

Cuando el usuario accede a la dirección reescrita, se produce el siguiente intercambio.

1.       El usuario remoto realiza una solicitud al firewall para la dirección URL reescrita.


171631ru6uqd6zzaj6jhsu.png


Antes de llegar al firewall, el paquete de solicitud está en un estado cifrado. La captura de pantalla anterior se toma después del descifrado, por lo que también podemos entender que se trata de la solicitud real recibida por el firewall.

2. Después de que el firewall descifra el paquete recibido, pero antes de enviar la solicitud al servidor interno, realiza el siguiente tratamiento adicional del paquete original:

a. El campo Accept-Encoding del encabezado del paquete original debe eliminarse; de lo contrario, el servidor web puede cifrar el paquete de respuesta y enviarlo al firewall virtual, que no podrá descifrar el paquete y no podrá reenviar más el paquete. En la captura de pantalla de abajo, se puede ver que el firewall ya ha eliminado el campo de codificación de aceptación del paquete original.

b. La dirección de los recursos web de la red interna real se sustituye por el campo host.



171640n4xn0ngwx9wgd0m9.png


c. El campo de referencia para algunas URL relacionadas con este recurso web se reescribe para que sea la dirección de recurso web real de la red interna


171651e5av53h5hbsn3a4v.png


3.  El firewall, que actúa como cliente web, envía los datos reescritos al servidor web real.

Después de esto viene el intercambio HTTP normal, que no vamos a detallar.

3.         Reescritura de rutas de recursos en URLs

El firewall recibe el paquete de respuesta, la página que debe mostrarse para el usuario (usaremos la página de inicio http://portal.test.com:8081/ como ejemplo) y también debe volver a escribir algún recurso. Si las rutas de recursos no se vuelven a escribir, el cliente utilizará direcciones erróneas / no existentes para obtener los recursos, lo que en última instancia significará que el contenido correspondiente no se puede mostrar normalmente. En la actualidad, los firewalls admiten la reescritura de los siguientes recursos de página:

·         atributos de HTML

·         eventos HTML

·         VBScript

·         ActiveX

·         CSS

·         XML

El firewall puede reescribir las rutas internas de estos recursos, con el objetivo de ser la visualización normal de la página y el uso normal de la función.

 

4          Archivos de reescritura contenidos en URLs

De hecho, en la última subsección ya dimos una introducción parcial a la reescritura de archivos. Sin embargo, todo esto se basó en la reescritura de recursos de la página de solicitud, lo que quiere decir que no era necesario que el usuario percibiera el contenido reescrito; lo que le importaba era si la página podía mostrarse normalmente y si la funcionalidad web era normal. Sin embargo, de lo que hablaremos a continuación son los archivos cercanos y queridos al corazón del usuario, incluidos PDF, Java Applet y Flash.

Usando PDF como ejemplo, hemos incorporado a.pdf en http://portal.test.com:8081/, para proporcionar esto al usuario para que lo descargue en forma de un enlace. El contenido del PDF es el siguiente, incluido un enlace al que solo se puede acceder en la red interna (http://support.test.com/enterprise). Si el firewall no lo reescribe, cuando el usuario remoto abre el PDF descargado e intenta acceder a los enlaces que contiene, no podrá acceder, como se muestra en la Figura 1-3.

Figura 1-3 Archivo contenido en una URL

 

171716v9wn2cwce4jqq2wm.png


Pero, a través de una descarga de la puerta de enlace virtual del archivo PDF contenido en un recurso proxy web, la visualización es la siguiente cuando se abre localmente. Como puede ver, la URL de la red interna original en el archivo ya se ha reescrito, y la URL reescrita es el comienzo de la dirección de la puerta de enlace virtual. De esta manera, los usuarios de la red externa pueden acceder al recurso de la red interna incrustado en el archivo PDF. Esto se muestra en la Figura 1-4.

Figura 1-4 Reescribiendo un archivo contenido en una URL

 



171700hl7z4ga4e4sh4g4z.png

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba