Am Dienstag 07 September 2004 13:16 schrieb Ralf Prengel:
Damian Philipp wrote:
Hallo,
Dr. Thorsten Brandau wrote:
Sicherer ist es immer über proxies zu gehen.
Mal ganz blöd geftagt: Warum eigentlich? Es macht doch eigentlich keinen großen Unterschied, ob man einen Proxy verwendet oder nicht. Interessant wird es doch eigentlich erst dann, wenn der Proxy Dialer, Popups, JavaScripts und Active-X-Sachen aus dem Datenstrom filtert.
Eben drum.
Und nicht nur das.
Dazu kommen dannn noch unter aderem alle Inhalte die rechtlich bedenklich sind für die man als Verantwortlicher richtig Ärger bekommen kann.
Das Filtern ist aber nur eine Zusatzaufgabe, die viele Proxies auch können.
Ausserdem spart ein Proxy Traffic was dem Provider gegenüber ein feiner Zug ist (auch wenn das in den heutigen Zeiten ziemlich in Vergessenheit geraten ist).
Naja, es kommt auch der Performance zugute. Aber nur, wenn viele Seiten häufig angewählt werden. Der Hauptvorteil eines Proxies liegt aber in seiner Firewall-Funktionalität (Achtung: Paketfilter != Firewall). Wenn ein Proxy installiert (und genutzt ;-) wird, dann besteht keine direkte Verbindung mehr zwischen den Clients und dem Internet. Werden alle benötigten Dienste über Proxies oder Relays abgewickelt, braucht es kein Forwarding (Routing) mehr zwischen dem LAN und dem Internet zu geben. Was das für die Sicherheit bedeutet, braucht man wohl nicht mehr detailiert zu erörtern. Contentfilter sind dann nur noch schmückendes Beiwerk. Eine brauchbare Firewall-Konfiguration sieht z.B. so aus (Minimalkonfiguration, mehr ist immer möglich, weniger wird deutlich unsicherer und ist höchstens bei Privat noch vertretbar): [Zone 3] | [Zone 2] | --------------- ------------ | Proxy mit | | Firewall | LAN -------------| Paketfilter |-----------------| mit |--- ... 192.168.100.0/24 | zum LAN | 192.168.10.0/24 | IP-Tables | --------------- ------------- | | lokales Netz | DMZ (bedingt sicher) | äußeres Netz (sicher) | hier evtl. auch Web-Server, | (unten gehts | Mailserver, ... | weiter) [Zone 1] | ----------------- | DSL-Router | ... ------------| (Hardware- |--------------- 192.168.0.0/24 | router mit | / ins Internet | Packetfilter) | /----------------> ----------------- äußeres Netz | "die Böse Welt da draußen ;-)" | Du brauchst dafür zwei zusätzliche Rechner und hast defür eine sehr hohe Sicherheit. Keiner deiner Rechner ist direkt aus dem Netz erreichbar, ja nicht einmal sichtbar. Mit der vorgelagerten Firewall mit IP-Tables kannst du zielgerichtet Ports in abhängigkeit der offenen Verbindungen freischalten (wichtig vor allem für die High-Ports) und der Proxy (auf dem meinetwegen auch noch der Mailserver und der DNS laufen können) schottet das LAN endgültig ab. Wenn da ein Angreifer unbemerkt durchkommt, hat der Admin gepennt ;-) Als Sparvariante könnte man IP-Tables auch auf dem Proxy laufen lassen, aber wenn der kompromittiert ist, ist es auch das LAN, da er direkt im LAN hängt. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu