Hallo Liste, hallo Jochen, Jochen Lillich wrote:
Peter Kuechler schrieb am 30 Jan 2002 09:07:26 +0100:
Das würde mich auch interessieren, da ich gerade zwei Rechner mit mit iptables und Statefull Filtering gebastelt habe und bis jetzt davon begeistert bin.
Hallo Peter, hallo Waldemar,
1. Proxies sind insofern besser als Masquerading, dass sie Routing unnötig machen.
Beim Masquerading werden Pakete (wenn auch mit manipulierten Adressen) durch die FW zwischen Intranet und Internet geroutet. Alle (eventuellen) Schwächen von Server- und Client-Software sind daher voll als Angriffsfläche anzusehen.
Proxies unterbrechen den Paketfluss von innen nach aussen: Client sagt Proxy "Ich hätte gern...", Proxy besorgt es. Hier kommuniziert also nur der Proxy nach aussen. Und bevor der Client seine Informationen bekommt, werden sie wieder vom Proxy geprüft.
2. Proxies sind einfach mächtiger als Masquerading. Ein Paketfilter (mit oder ohne NAT) spielt nur bis OSI-Schicht 4, d.h. es können nur TCP/IP-Informationen (Adressen, Protokolle, etc.) geprüft werden. Ein Proxy versteht die Pakete bis zur Anwendungsebene (Schicht 7) hinauf. Daher der Name "Application Level Gateway". Ein HTTP-Proxy kann daher z.B. auch ActiveX-Inhalte rausfiltern.
Proxies sollten aus diesen Gründen so weit wie möglich Paketfilter ersetzen. Das Problem ist nur, dass für jedes Protokoll ein passender Proxy existieren und eingerichtet werden muss. Deshalb setzt man beides meist in ergänzender Kombination ein.
HTH,
Jochen
Danke, da kommt der theoretische Unterbau, ohne daß ich die (nicht unbedingt spannenden) RFC' s lesen muß, weil einer, in diesem Fall Jochen, das schon getan hat. Voila, ich habe dazugelernt, Zweck erfüllt, da freut sich das Gehirn :o) mfg Harry