Zu Beginn des aufkommenden Internets waren Proxy Server oft der einzige Weg ins World Wide Web. Nach und nach aber wurden diese Systeme wieder abgeschafft, weil ihre primäre Aufgabe als Web-Cache mit zunehmender Bandbreite der Anbindungen nicht mehr benötigt wurde. Aus Sicht der IT-Sicherheit muss man Rückblickend einräumen, dass mit diesen Proxys auch ein Stück an Sicherheit abhanden gekommen ist.
Aktuell ist aber wieder ein rückläufiger Trend zu beobachten, der spätestens mit IPv6 noch mehr an Fahrt aufnehmen dürfte. Gerade der Web Proxy Squid war schon immer seiner Zeit etwas voraus. Die Entwickler hatten sich schon zu Beginn des Projekts Gedanken darüber gemacht, wie man zum Beispiel den Cache in der Struktur des Dateisystems organisiert und die Zugriffe darauf optimiert. Moderne MTA’s wie zum Beispiel Postfix nutzen ähnliche Mechanismen um ihre Mail-Queues zu organisieren. Der Web Proxy Squid ist zwar schon ein Urgestein im Zeitalter des Internets, gehört aber noch lange nicht zum alten Eisen. Ganz im Gegenteil, der Einsatz eines Web Proxy oder Gateways ist aktueller denn je.
Mit der Einführung von IPv6 werden Proxy-Systeme wieder gefragt sein, da IPv6 kein NAT kennt. Als Administrator für VPN-Verbindungen wird man sagen „endlich(!)“, für den der seine Infrastruktur ungern nach außen preisgeben möchte, wird es vielleicht weniger erfreulich sein. Aber die Bedenken sind doch eher unbegründet. Mit IPv6 kommen mehr Vor- als Nachteile und alle Workarounds wie NAT und Co. haben endlich ausgespielt. Um nun die interne Struktur nicht bei jedem Zugriff auf das Internet preis zu geben, sind Proxy-Server ein probates Mittel den Client hinter ihnen weiterhin zu verstecken.
Der weitaus wichtigere Punkt ist aber der Gewinn an Sicherheit und dies schon jetzt bei noch IPv4 und nicht erst nach dem IPv6 da ist. Der Einsatz eines Proxy-Server bringt zwei große Vorteile. Ein Vorteil sind die definierten Kommunikationswege der Clients. Alle Clients sprechen nur mit dem Proxy und dieser holt die Daten aus dem Internet. Jeder Versuch einer Anwendung, oder von Schadcode direkt, mit dem Internet zu kommunizieren fällt sofort auf.
Die Funktionen der Web Proxys sind auch immer noch in aktuellen Firewall-Systemen vorhanden. Oft nicht mehr als dedizierte Applikation, sondern in den http-Proxys der Firewall-Systeme. Sehr oft unterstützen diese Proxy nicht nur den transparenten Zugriff eines Client zum Webserver, sondern fungieren gleichzeitig als klassischer Web Proxy. Dieser deckt natürlich nur die rudimentären Funktionen für die Zugriffe ab. Aber trotzdem ist diese Funktionalität nie verschwunden.
Weiterführende Funktionen wie zum Beispiel URL-Filter, Reputation oder Schadcodeprüfung stellen spezialisierte Web Gateways zur Verfügung. Diese Systeme bieten einen Mehrwert, der nicht nur für die Sicherheit des Benutzers sorgt, sondern auch mehr Komfort für ihn bietet. Ein Beispiel ist der Schutz vor manipulierten Webseiten die ggf. von Suchmaschinen bei der Recherche in den Ergebnissen angezeigt werden. Hier prüft das System die Ergebnisse für den Benutzer, ob diese z.B. Links zu Webseiten mit Schadcode führen und säubert so die Ergebnisse von manipulierten Seiten. Dies ist nur ein Beispiel was den Synergie-Effekt solcher Systeme zeigt. Die Vorteile lassen sich jetzt noch weiter fortführen, würden aber den Rahmen des Artikels mehr als sprengen.
Ein sehr wichtiger Punkt der für den Einsatz eines Web Proxy oder Gateways spricht, ist die einfachere Netzwerkstruktur, wenn Regeln zur Verbindungskontrolle auf den einzelnen Hosts eingesetzt werden (Artikel „Kontrolle …„). Hier bietet sich der Einsatz eines Web Proxy gerade zu an. Auf dem System können dann zentral die ACL’s für die gesamte Infrastruktur verwaltet werden. So lassen sich global Regeln für den Zugriff auf lokale Ressourcen oder das Internet definieren. Das Kommunikationsverhalten der Clients ist dabei sehr einfach, der Client spricht nur mit dem Web Proxy oder Gateway und dieses kümmert sich um den Rest. So entstehen klare definierte Wege die trotz manch komplexer Umgebung die Regelwerke der Verbindungskontrolle sehr übersichtlich werden lassen.