Friewall, Internet Security und andere Sicherheitslücken
Hallo.... Ich frage mich gerade, ob es im Punkto Sicherheit einen Unterschied zwichen Proxy Server (z.B. Squid) und einer Firewall mit eingeschaltetem Masqurading gibt! Mir fällt nur ein, das der Proxy Daten zwischenspeichert... Was ist mit der SIcherheit? Wenn ich ein LAN ins Internet breigen möchte, mache ich das besser über Maqurading oder besser über einen Proxy? mfg Jan
Jan Hendrik Berlin wrote:
Mir fällt nur ein, das der Proxy Daten zwischenspeichert... Was ist mit der SIcherheit? Wenn ich ein LAN ins Internet breigen möchte, mache ich das besser über Maqurading oder besser über einen Proxy?
Um die Clients zu schuetzen, ist ein Proxy-Server besser geeignet, da du hier ja eine Filterung am Content vornehmen kannst. Die NAT-Loesung hat den Vorteil, das keine Surfprotokolle erstellt werden. -- Have fun, Peter
[...]
Um die Clients zu schuetzen, ist ein Proxy-Server besser geeignet, da du hier ja eine Filterung am Content vornehmen kannst.
in wiefern geht das auf die Geschwindigkeit???? Wird da die CPU sehr belastet?
Die NAT-Loesung hat den Vorteil, das keine Surfprotokolle erstellt werden.
NAT-Loesung ist also, wenn ich das Masqurading einschalte?... Surfprotokollle? Ist doch nich tunbedingt ein Nachteil! Da weis man z.B. wo sich Kinder so im Netz herumtreiben!
-- Have fun, Peter
mfg Jan
Jan Hendrik Berlin wrote:
[...]
Um die Clients zu schuetzen, ist ein Proxy-Server besser geeignet, da du hier ja eine Filterung am Content vornehmen kannst.
in wiefern geht das auf die Geschwindigkeit????
Beim reinen Proxy merkt man kaum was. Wenn da Virus/Malware-Filter dazukommen wird es sicher gemuetlicher zugehen.
Wird da die CPU sehr belastet?
Im Vergleich zum reinen NAT: Ja, klar.
Da weis man z.B. wo sich Kinder so im Netz herumtreiben!
Naja, aber dadurch kannst du wieder nur reagieren. Setz dich daneben - ist sicher effektiver. -- Have fun, Peter
[...]
Um die Clients zu schuetzen, ist ein Proxy-Server besser geeignet, da du hier ja eine Filterung am Content vornehmen kannst.
in wiefern geht das auf die Geschwindigkeit????
Beim reinen Proxy merkt man kaum was. Wenn da Virus/Malware-Filter dazukommen wird es sicher gemuetlicher zugehen.
Wird da die CPU sehr belastet?
Im Vergleich zum reinen NAT: Ja, klar.
Ich hab als Server ne 2GHz Maschine! Die Soll aber auch ncoh e-mail abholen, und Fileserver spielen! Ist ein kleines LAN für meinen Vater im Geschäft... Aber eigentlich müsste er das doch packen oder? Also ein reienr Proxy, um sicherheit zu bekommen! Auf Vieren überprüfe ich höchstens die Mails.... Danke! mfg Jan
Jan Hendrik Berlin am Samstag, 27. September 2003 00:58:
[...]
Um die Clients zu schuetzen, ist ein Proxy-Server besser geeignet, da du hier ja eine Filterung am Content vornehmen kannst.
in wiefern geht das auf die Geschwindigkeit????
Beim reinen Proxy merkt man kaum was. Wenn da Virus/Malware-Filter dazukommen wird es sicher gemuetlicher zugehen.
Wird da die CPU sehr belastet?
Im Vergleich zum reinen NAT: Ja, klar.
Ich hab als Server ne 2GHz Maschine! Die Soll aber auch ncoh e-mail abholen, und Fileserver spielen! Ist ein kleines LAN für meinen Vater im Geschäft... Aber eigentlich müsste er das doch packen oder? Also ein reienr Proxy, um sicherheit zu bekommen! Auf Vieren überprüfe ich höchstens die Mails....
*Lach* (SCNR) Was für ein Netzwerk willst du denn versorgen? Ich hab für diesen Zweck diverse Alt-PCs (PII-233, AMD-K6-300 mit 64..128 MB RAM) in verschiedenen Netzen mit bis zu 100 Windows-Clients zur Anbindung an DSL im Einsatz. Und da es sich fast ausschließlich um Bildungseinrichtungen handelt, wird auch dementsprechend viel und intensiv gesurft *g*. Erfahrungswerte: Nur mit Proxy (Squid) pur gibt es gegenüber reinem NAT (Masquerading) keinen feststellbaren Geschwindigkeitsverlust - im Gegenteil: häufig (!) besuchte Seiten werden spürbar schneller aufgerufen. Da ist es auch egal, ob 10 oder 50 Leute surfen, auch das fällt kaum ins Gewicht (solange keine großen Downloads nebenher laufen, das geht dann auf die Bandbreite der DSL-Leitung). Bei URL-Filterung mit Squidguard ist der Geschwindigkeitsverlust wohl auch eher nur Einbildung, erst bei Contenfilterung über Expressions mit Squidguard spürt man ggf. einen leichten Geschwindigkeitverlust. Ähnlich ist es beim Virentest. Aber wie gesagt, es sind alles nur "lahme Krücken" mit 200-300 MHz, 66er SD-RAM und einer IDE-33 Platte. Nebenbei läuft auf diesen Kisten auch noch ein Mail-Server und ein Apache mit PHP und MySQL sowie auf einem auch noch das Routing für 4 interne Subnetze (Sparvariante *g*). Ach ja, und IPSec fürs VPN (mit Verschlüsselung) müssen die Kisten auch noch bringen. Lediglich der/die Fileserver laufen auf anderen Maschinen (logisch). Fazit: Ein 2 GHz-Maschinchen (mit sicherlich mind. 128 MB RAM) ist dafür mehr als ausreichend. -- Gruß MaxX 8-)
[...]Lediglich der/die Fileserver laufen auf anderen Maschinen (logisch).
Wieso ist das logisch? also ich wollte auf dem gelichen auch noch samba laufen lassen! Ist das "schlimm" müsste der dohc auch noch packen! ich hab da zwei 40GB IDE HDDs drin, die ich gespiegelt hab!
Fazit: Ein 2 GHz-Maschinchen (mit sicherlich mind. 128 MB RAM) ist dafür mehr als ausreichend.
jo, 512MB hat er! *g* mfg Jan
Jan Hendrik Berlin am Montag, 29. September 2003 22:46:
[...]Lediglich der/die Fileserver laufen auf anderen Maschinen (logisch).
Wieso ist das logisch? also ich wollte auf dem gelichen auch noch samba laufen lassen! Ist das "schlimm" müsste der dohc auch noch packen! ich hab da zwei 40GB IDE HDDs drin, die ich gespiegelt hab!
Nein, von der Leistungsfähigkeit her sicher nicht. Aber zumindest im kommerziellen Bereich sollte man den Internet-Zugangsrechner als separate Firewall laufen lassen und andere Dienste für das Netzwerk auf andere Maschinen legen. Nur so kann man eine gewisse Mindestsicherheit gewährleisten. Privat hab ich auch vieles auf einem Server zusammengelegt. Wenn ich allerdings via DSL eine Quasi-Standleitung hätte (statt kurzfristiger ISDN-Einwahlen mit stets neuer IP) würde ich das wahrscheinlich auch sauber trennen. -- Gruß MaxX 8-)
participants (3)
-
Jan Hendrik Berlin -
Matthias Houdek -
Peter Wiersig