Incoming Web-Proxy

Der Incoming Web-Proxy Service bietet für spezielle Ausnahmefälle auf Antrag die Möglichkeit einer Weiterleitung von externen Webanfragen auf einen internen Server ohne Firewall-Ausnahmeregel. Der eingesetzte Proxy untersucht dabei auch die Anfragen auf typische Angriffe und blockt sie ab.

Konzept


Die IT-Services betreiben am Übergang zwischen dem Universitätsnetz und dem externen Internet eine Firewall . Deren Filterregeln verhindern, dass ein interner Rechner aus dem Internet direkt erreichbar ist. Wenn Dienste (Webseiten, FTP-Server, Media-Server) aus dem Internet erreichbar sein sollen, so muss in der Firewall eine entsprechende Ausnahmeregel eingetragen werden. Jeder von aussen erreichbare Dienst ist jedoch ein potentielles Sicherheitsrisiko, da über diesen Dienst potentielle Angreifer eindringen können.
Werden diese Rechner gehackt, ist ein Angreifer hinter der Firewall und kann andere Rechner im Uninetz leichter angreifen. Daher muss ein weltweit erreichbarer Server in eine DMZ. Ein Ziel der IT-Services ist daher der Abbau der Ausnahmeregeln für interne Server und des damit verbundenen Risikos.
Leider gibt es besondere technische Gründe das solche internen Server nicht in eine DMZ migriert werden können. Oder es besteht besonderer Schutzbedarf durch zusätzliche Webfilter. In diesen Sonderfällen bieten die IT-Services auf Antrag die Möglichkeit einer Weiterleitung von externen Webanfragen auf einen internen Server in der speziellen internen Zone über einen speziellen Incoming Web-Proxy. Der eingesetzte Incoming-Proxy untersucht dabei auch die Anfragen auf typische Angriffe und blockt diese ab. Der interne Server ist nicht direkt aus dem Internet angreifbar.

Weg einer Anfrage


Eine Anfrage von ausserhalb des Universitätsnetzes wird über den Servernamen zum Webproxy geleitet. Dieser überprüft die Anfrage auf mögliche Angriffe und leitet dann zum internen Server (mit anderem Servernamen) weiter (bzw. verwirft die Anfrage, wenn er einen Angriff erkannt hat). Die Antwort des internen Servers geht zunächst zum Proxy, der sie dann überarbeitet und dem Anfrager weiterreicht. Im Webbrowser wird immer die angefragte URL dargestellt, Links mit dem internen Servernamen im Text werden ebenfalls durch den "äusseren" Servernamen ersetzt.
Eine Anfrage von innerhalb des Netzes kann je nach Proxy-Konfiguration ebenfalls nach diesem Schema behandelt werden oder die Anfrage wird direkt auf den internen Server umgeleitet (d.h. der Verkehr geht dann nicht mehr über den Proxy, im Browser ist dann der Name des internen Servers dargestellt).

Voraussetzungen

  • Der interne Server ist ein Server, der Webseiten über HTML oder HTML über SSL anbietet.
  • Es sollten nach Möglichkeit keine absoluten URLs mit Servernamen wie "http://meinserver.unibas.ch/andere_Seite" sondern relative Links verwendet werden wie "/andere_Seite".
  • Nicht standardkonforme Fonts / Sprachen / Skripte machen unter Umständen Probleme beim Umschreiben von internen URLs.
  • Das Antragsformular ist ausgefüllt.
  • Der Betreiber des internen Webservices ist bereit für die Ersteinrichtung und das Anpassen ausreichend Zeitressourcen zur Verfügung zu stellen.

Beispiel


http://wiki.biozentrum.unibas.ch
wird von ausserhalb über den Proxy geleitet, Anfragen von innerhalb werden direkt umgeleitet zum internen Server.

Für Fragen wenden Sie sich bitte an den ITS-Support