Skip to content

11. Posredniški, filtrirni in prehodni servisi

Bistvo poglavja

Proxy in sorodni prehodni servisi nadzorujejo, filtrirajo ali usmerjajo promet med uporabnikom in ciljno storitvijo.

Pogosta napaka

Pogosta zmeda je mešanje forward proxyja in reverse proxyja. Prvi deluje v imenu odjemalca, drugi pa v imenu strežnika oziroma aplikacije.

11.1 Kaj je forward proxy

Forward proxy deluje v imenu odjemalca. Odjemalec promet pošlje proxy strežniku, ta pa v njegovem imenu dostopa do interneta ali drugega omrežja.

Uporablja se za: - nadzor dostopa, - filtriranje, - predpomnjenje, - beleženje prometa, - ločevanje uporabnika od zunanjega sveta.

11.2 Kaj je reverse proxy

Reverse proxy deluje v imenu strežnika oziroma storitve. Uporabniki komunicirajo z reverse proxyjem, ta pa promet posreduje backend storitvam.

Uporablja se za: - objavo več storitev prek enotne točke, - terminacijo TLS, - usmerjanje prometa, - load balancing, - dodatno zaščito.

11.3 Filtriranje spletnih vsebin

Filtriranje pomeni omejevanje ali razvrščanje spletnega prometa glede na: - kategorije vsebin, - domene, - URL-je, - uporabnike ali skupine, - časovna pravila.

V šoli je to tudi organizacijsko in pravno vprašanje, ne le tehnično.

11.4 DNS filtriranje

Ena enostavnejših oblik filtriranja je že na ravni DNS.

Prednosti: - preprostost, - hitra demonstracija, - dober uvod v varnostne politike.

Slabosti: - ni popolna zaščita, - v nekaterih okoljih jo je mogoče obiti, - ne rešuje vseh vrst vsebin.

11.5 Dobre prakse

  • politiko filtriranja jasno dokumentiraj,
  • ne blokiraj "na slepo",
  • imej postopek za izjeme,
  • beleži spremembe in razloge,
  • poskrbi za možnost odpravljanja lažno pozitivnih blokad.

11.6 Pogosti problemi

  • preveč agresivno filtriranje,
  • spletna aplikacija deluje le deloma zaradi blokiranih zunanjih virov,
  • napačno kategorizirane domene,
  • konflikt med lokalnim DNS in filtriranim DNS,
  • težko dokazovanje, ali je problem v aplikaciji ali v filtru.