DeusExMachina Geschrieben 27. Januar 2004 Geschrieben 27. Januar 2004 hi, wann ist es allgemein üblich einen proxy-server in die dmz zu stellen? nur wenn er als application firewall fungiert oder auch dann wenn er als reiner cache arbeitet? gibt es dazu irgendwelche empfehlungen? Zitieren
rote_gefahr Geschrieben 27. Januar 2004 Geschrieben 27. Januar 2004 einen proxy in die dmz ?! ich kenn nur das Modell das ein Proxy zur WAN Seite gestellt wird und ein Proxy zur LAN seite. In der DMZ würden dann z.B. deine Web Server stehen. Aber das nochmal ein Proxy in der DMZ steht habe ich noch nie gehört...lass mich aber gern eines besseren belehren ! Sinn macht es zwei verschiedene Proxy Server zu verwenden...denn falls mal einer den ersten Proxy zur DMZ knackt beisst er sich evtl. die Zähne am Proxy zum LAN aus MfG rote_gefahr Zitieren
DeusExMachina Geschrieben 28. Januar 2004 Autor Geschrieben 28. Januar 2004 hm... ich glaube wir sind uns nur über die begriffe nicht ganz einig, du meinst mit den 2 proxy-servern wahrscheinlich 2 packet-filter, oder? afaik ist der begriff proxy-server am gebräuchlichsten für einen cache für webseiten und für eine kombination aus cache und application firewall. Zitieren
gurkenpapst Geschrieben 28. Januar 2004 Geschrieben 28. Januar 2004 Grundsätzlich würde ich sagen ist es ratsam ihn in die DMZ zu setzen. Macht aber nur wirklich Sinn, wenn du das ziel hast generell keine direkte verbindung zwischen Internet und internes Netz zustande kommen lassen. Würde er in der DMZ stehen ist somit gewährleistet das eingehender Verkehr in der DMZ landet. gruß gurkenpapst Zitieren
TschiTschi Geschrieben 28. Januar 2004 Geschrieben 28. Januar 2004 Original geschrieben von DeusExMachina hi, wann ist es allgemein üblich einen proxy-server in die dmz zu stellen? nur wenn er als application firewall fungiert oder auch dann wenn er als reiner cache arbeitet? gibt es dazu irgendwelche empfehlungen? Also wenn er als ALF fungiert besteht mit Sicherheit KEIN Grund ihn in die DMZ zu stellen! Warum sollte man eine Firewall nochmals durch eine Firewall schützen???? Wenn ein Proxy richtig aufgesetzzt ist (gehärteter Protokollstack) besteht auch bei einem "nur caching Proxy" (aber wer macht das schon???) auch kein Grund ihn in die DMZ zu stellen. BTW: Auch auf Rechnern in der DMZ sollten keine unnötigen Dienste laufen! Original geschrieben von gurkenpapst Würde er in der DMZ stehen ist somit gewährleistet das eingehender Verkehr in der DMZ landet. Und was soll das sein? Ein Proxy hat keinen "eingehenden" Verkehr!!!! GG Zitieren
gurkenpapst Geschrieben 29. Januar 2004 Geschrieben 29. Januar 2004 Original geschrieben von TschiTschi Und was soll das sein? Ein Proxy hat keinen "eingehenden" Verkehr!!!! GG Wenn er als Angriffsziel ausgewählt wird schon, aber im Regelfall nicht, richtig Zitieren
TschiTschi Geschrieben 29. Januar 2004 Geschrieben 29. Januar 2004 Original geschrieben von gurkenpapst Wenn er als Angriffsziel ausgewählt wird schon,... Deswegen sollte er ja "gehärtet" sein!! Zitieren
Terran Marine Geschrieben 30. Januar 2004 Geschrieben 30. Januar 2004 Nabend, wir nutzen einen Caching-Proxy im LAN, welcher auf einen "nicht-caching" Proxy in der DMZ zugreift, nur der DMZ-Proxy hat Zugriff ins Internet. Dies wurde uns bisher von allen Experten empfohlen (die Experten waren keine Proxy-Hersteller etc., haben also mit dieser Empfehlung kein Geld verdient ) Die Gründe finde ich auch einleuchtend, selbst ein "gehärteter" Proxy ist nur so "hart", wie der aktuelle Sicherheitsstand, taucht über Nacht ein Exploit auf, kann mir das Ding auch gehackt werden. Passiert dies mit meinen Proxy in der DMZ, ist dies zwar schlimm, mein internes LAN oder andere Dienste sind aber nicht direkt betroffen. Hängt der Proxy im LAN, und der Angreifer hat die Kontrolle, habe ich schon größere Probleme. Gruß Terran Zitieren
Vamp898 Geschrieben 29. Juli 2011 Geschrieben 29. Juli 2011 selbst ein "gehärteter" Proxy ist nur so "hart", wie der aktuelle Sicherheitsstand, taucht über Nacht ein Exploit auf, kann mir das Ding auch gehackt werden. Unter härten versteht man, unter anderem, auch das Einsetzen von Software wie SELinux oder AppArmor. Dann soll die Software halt einen Exploit haben, solange die Software von SELinux oder AppArmor eingeschrenkt ist kann selbst mit einem Exploit nicht so viel angefangen werden. Da müssten grad eine Kombination von mehreren Exploits auftreten. Und wer ein sicheres gehärtetes System hat muss in sehr selten Fällen, wenn überhaupt, mit Exploits rechnen. Entweder das System ist gehärtet, oder man hat angst vor einem Exploit. Es hat ja kein Sinn sein System zu härten wenn man trotzdem angst haben muss das man jeden Tag einfach mal eben gehackt werden könnte. Zitat von OpenBSD Nur eine über das Netz angreifbare Sicherheitslücke in mehr als acht Jahren. (diese wurde btw. gefunden bevor sie jemand ausgenutzt hat) Inzwischen gibt es OpenBSD seit 17 Jahren und sie hatten erst 2 Sicherheitslücken. 17 Jahre sind verdammt lange. Gehärtet heisst wirklich gehärtet. Wenn man ein gehärtetes System hat und trotzdem sich nicht sicher sein kann das über Nacht nicht plötzlich ein Exploit auftaucht der einen Angreifbar macht, der hat einfach ein unsicheres System. Unsichere Systeme zu verwenden ist aus Gründen der Sicherheit nicht empfohlen ;) Zitieren
Guybrush Threepwood Geschrieben 1. August 2011 Geschrieben 1. August 2011 Gehärtet heisst wirklich gehärtet. Wenn man ein gehärtetes System hat und trotzdem sich nicht sicher sein kann das über Nacht nicht plötzlich ein Exploit auftaucht der einen Angreifbar macht, der hat einfach ein unsicheres System. Mal davon abgesehen das du hier einen 7 Jahre alten Thread aufwärmst vertritst du da eine ziemlich merkwürdige Logik. Wenn ich mein System also gehärtet nenne brauch ich keine Angst mehr zu haben das da jemals jemand einen Exploit für findet? Cool... Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.