LOAD BALANCER NEWS

Hey, wo ist mein Reverse Proxy?!

Hey, wo ist mein Reverse Proxy hin?
Überlebensstrategie in einer Post-TMG Welt.

Die Grafik weiter unten zeigt eine typische Lync 2013 Architektur mit Mobilityservices und sollte jedem bekannt sein, der diese in der Vergangenheit öffentlich erreichbar konfiguriert und designed hat.
In der Vergangenheit war die in der Grafik als „Reverse Proxy“ bezeichnete Netzwerkkomponente als TMG, Microsofts Threat Management Gateway im Einsatz. Das seit Ende 2012 nicht mehr erhältliche Produkt verursacht seitdem nun vielen Consultants und Administratoren Kopfschmerzen und lässt diese fragen, was nun zu tun sei. Dieser kurze Artikel soll hier einen Lösungsansatz für das Replacement des TMG’s bieten:

 

Was ist eigentlich ein Reverse Proxy?

Der Begriff „Reverse Proxy“ ist ein wenig mit dem Begriff „Cloud“ zu vergleichen. Wenn Sie 3 verschiedene Leute befragen erhalten Sie vier und eine halbe Antwort.
Ist es eine Firewall? Ein Router? Ein Loadbalancer? Um Gottes Willen was ist denn nun ein Reverse Proxy?

Das Problem dieser Frage kommt daher, daß sehr viele den Reverse Proxy als ein spezielles Gerät bezeichnen, obwohl es eigentlich nur eine Netzwerkfunktion, genauso wie das routen oder switching ist. Viele unterschiedliche Produkte und Geräte können die Aufgabe eines Reverse Proxies erfüllen.

Beginnen wir einmal mit einer einfacheren Frage, nämlich was ist ein „Proxy“?

Es ist Ihnen vielleicht gar nicht aufgefallen, aber in der Lync Grafik ist beides enthalten. Nur was ist der Unterschied? In der Terminologie von Computernetzwerken ist ein „Proxy“ ein System, daß eine Verbindung zwischen zwei Systemen besteht.(in der Regel ist ein System ein Client und das andere ein Server). Der Client sendet seine Anfrage an den Proxy und der Proxy leitet diese Anfrage an den Server weiter. Der Server wiederum sendet seine Antwort an den Proxy und der leitet diese dann letztendlich wieder an den Client zurück. Schön und einfach.
Wo kommt denn nun das Reverse in einem Reverse Proxy her? Das ist der Punkt wo die ganze Sache etwas komplizierter wird.

Ein „Forward Proxy“ ist ein Proxy der so konfiguriert ist, Anfragen von einer Gruppe bestehend aus Clients unter der Berücksichtigung der Sicherheitseinstellungen von Administratoren an wiederum eine Gruppe von Servern (entweder bekannte oder unbekannte die nicht unter der Kontrolle der Administratoren stehen) weiterzuleiten. Üblicherweise wird das Wort „Forward“ weggelassen und daher kennen wir nur den Begriff „Proxy“ . Zumindest im Falle von Microsofts Topologie ist das der Fall.
Ein weiteres gutes Beispiel ist eine WebProxyAppliance, welche Webanfragen von Clients aus dem „lokalen“ Netzwerk akzeptiert und diese an die Webserver im Internet proxied. Der Hauptgrund für einen WebProxy ist die einfachere Managebarkeit der Clientsysteme.

Ein Reverse Proxy ist ein Proxy, der so konfiguriert ist, daß er Anfragen von einer Gruppe von remote oder aus anderen Netzwerken befindlichen Clients annimmt und diese an eine Gruppe von bekannten und konfigurierten Servern unter Berücksichtigung von Security Regeln der lokalen Administratoren weiterleitet. Eines der bekanntesten Beispiele ist ein Application Delivery Controller der eine Lastverteilung sowie eine Optimierung von einer Gruppe von Applikationsservern (wie zum Beispiel die Microsoft Lync FrontEndServer aus unserem Grafikbeispiel) ermöglicht.
Die eigentliche Aufgabe dieses Application Delivery Controller ist die Managebarkeit der Serversysteme zu erhöhen. Alles darüber hinausgehende sind Details die auf spezielle Situationen oder Produkte abzielt die aber nichts mit dem eigentlichen Thema „Reverse Proxy“ zu tun hat.
Nur die Rolle oder Funktion eines Reverse Proxy zu haben ist wichtig für das Bereitstellen von vielen Netzwerkservices macht aber keinen ReverseProxy aus.
Zum Beispiel in einer Microsoft Lync Umgebung ist es notwendig eine Port Adress Translation durchzuführen, um den von externen Clients genutzten Port 443 auf den von den LyncServern verwendeten Port 4443 zu ändern. Sicherheitsgeräte wie zum Beispiel eine Web Application Firewall arbeiten ebenfalls als Reverse Proxies um zum Beispiel den Applikationstraffic zu analysieren bevor dieser an den eigentlichen Applikationsserver zugestellt wird.

Seitdem ich bei KEMP Technologies arbeite erhalte ich oft die Frage „Wie schalte ich denn das Reverse Proxiing ein“? Die Wahrheit ist – Es ist bereits eingeschalten! Ab dem Zeitpunkt wo sie ein Virtual Service auf Layer-7 konfigurieren arbeitet der KEMP LoadMaster als Reverse Proxy. Dies kann auch unter gewissen Situation auf Layer-4 der Fall sein.

 

Wie kann ich nun einen TMG ersetzen?

Die Antwort auf diese Frage hängt davon ab, wofür sie den TMG Server verwenden. TMG hat viele zusätzliche Security Features und Funktionen aber wir bei KEMP bieten daraus nur 2 und sehr bald 3 Funktionen daraus an.
Diese sind:

1)      Port Adress Translation oder IP Adress Change Rules

2)      Pre-Authentication für die Verbindungen

3)      In sehr naher Zukunft auf WAF Funktionalitäten  (zur Zeit noch in Entwicklung)

Wenn Sie also auf die Topologie die einen „Reverse Proxy“ enthält betrachten denken Sie in erster Linie aun die Applikationen oder Services die sie zur Verfügung stellen wollen. Das ist der richtige Weg um die richtige Lösung für Sie zu finden. Es gibt viele unterschiedliche Anbieter von „Reverse Proxies“ aber das ist ein übergeordneter Begriff wie Netzwerkgerät. Wenn Sie sich also fragen wo ist denn mein „Reverse Proxy“ besteht eine große Chance das sie bereits einen irgendwo in Ihrem Netzwerk haben. Wenn nicht, dann schauen Sie sich doch das Portfolio von www.kemptechnologies.com an – wir freuen uns Ihnen bei der Lösung zu helfen.

Tags:

Related.Posts

Comments are closed.