Proxies stellen Authentifikationsmechanismen über one-time passwords zur Verfügung. Somit besteht keine Gefahr, daß ein Angreifer in den Besitz eines gültigen Authentifikationsschlüssels gelangen könnte.
Proxies besitzen recht umfangreiche Möglichkeiten um zu verhindern, daß ein Angreifer die Privilegien eines servers mißbraucht, um einen Angriff durchzuführen:
Möchte ein Benutzer über einen Proxy mit einem Server kommunizieren, so erhält er keinen direkten Kontakt zum Server sondern nur zum Proxy. Das bedeutet, daß eventuell im Server enthaltenen bugs oder trapdoors keine Bedeutung zukommt, da ein Angreifer den Server nicht direkt ansprechen kann. Proxies sind üblicherweise sehr einfach geschrieben, sodaß sie relativ schnell auf Fehlerfreiheit überprüft werden können. Man kann also davon ausgehen, daß bugs und trapdoors bei Verwendung von sicheren Proxies keine Gefahr darstellen können. Enthält natürlich der Proxy selber einen Fehler, so ist nicht nur der entsprechende server angreifbar sondern der Firewall selber. Deshalb muß unbedingt auf absolute Fehlerfreiheit bei der Verwendung von Proxies geachtet werden.
Da der Proxy der einzige server ist, mit dem externe Benutzer kommunizieren können und da er von einem sicherheitsbewußten Firewall-Administrator konfiguriert wird, sollte es keine Probleme mit Konfigurationsfehlern durch System-Administratoren geben. Auch durch Benutzer hervorgerufene Konfigurationsfehler können bei entsprechender Konfiguration des Proxies behoben werden.
Mit Hilfe eines Proxies ist es möglich, einzelne Kommandos eines Dienstes zu unterbinden bzw. zu gestatten, um somit eventuell vorhandene Schwächen der einzelnen Protokolle ausgleichen zu können. Ebenso kann man natürlich Dienste, die über keine oder nur unzureichende Authentifizierungsmaßnahmen verfügen dadurch sichern, daß die Authentifizierung der Benutzer bereits im Proxy stattfindet.
Auch bei der Ausnutzung von Benutzerprivilegien gibt es Ansätze, mit Proxies zur Sicherung beizutragen. So können neuere Versionen von Mail-Proxies den Absender der Mail mit Hilfe des identd-Daemons überprüfen. Dies bietet aber keinen hundertprozentigen Schutz, da ein Angreifer den Daemon ebenfalls verändert haben könnte, sodaß dieser falsche Informationen verbreitet.
Ein Proxy könnte natürlich so programmiert werden, daß er nur eine bestimmte Anzahl von Verbindungen zu einem bestimmten Server pro Zeiteinheit gestattet. Somit würde der Server für die internen Benutzer stets verfügbar bleiben, auch wenn die Anzahl der von außen eintreffenden Verbindungswünsche sehr groß wird.
Da Proxies im allgemeinen eine benutzerbezogene Authentifizierung vornehmen, besteht nur eine geringe Gefahr, daß durch Maskerade ein Angreifer unerlaubten Zugang zum System erhalten könnte. Bei den peer-to-peer-Diensten verläßt sich natürlich auch ein Proxy auf die angegebene IP-Adresse, sodaß hier die Möglichkeit besteht, einen Angriff zu starten. Verbietet man hier aber wieder Verbindungen von außen, so kann auch diese Gefahr unterbunden werden.
Natürlich kann mit Hilfe eines Proxies eine Verschlüsselung der übertragenen Daten vorgenommen werden. Dies setzt aber voraus, daß der Kommunikationspartner in der Lage ist, diese Daten wieder zu entschlüsseln. Da dies im allgemeinen nicht der Fall ist, muß auf eine Verschlüsselung meist verzichtet werden. Dann bietet der Proxy nur die Möglichkeit, das Erkennen von Kommunikationsbeziehungen zu erschweren, da jedes Paket auf dem ungesicherten Netz die Adresse des Proxies statt des eigentlichen Zieles enthält.