Router oder Proxy->Was ist sicherer

[Thombo]

Hallo,

ich habe mal eine Frage:

Hier bei uns kam gerade die Frage auf was eigentlich sicherer gegen Angriffe ist. Ein Router oder ein Proxy.....

Hier sind 5 Clients (2K und XP jeweils mit den aktuellen SP und Patches)

die momentan an einem DSL Router im Internet hängen.

Ist ein Proxy wirklich sicherer gegen Angriffe ?

Ausser dem Site-Caching bietet der Proxy doch eine wirklichen

Vorteile, oder übersehe ich da was ?

[geloescht_JesterDay]

Hier bei uns kam gerade die Frage auf was eigentlich sicherer gegen Angriffe ist. Ein Router oder ein Proxy.....

[...]

Ist ein Proxy wirklich sicherer gegen Angriffe ?

Ausser dem Site-Caching bietet der Proxy doch eine wirklichen

Vorteile, oder übersehe ich da was ?

Ich sehe auch keinen (sicherheitsrelevanten) Unterschied.

Ein Router leitet eben alle Anfragen, die ankommen je nach Routingtabelle weiter. Ein Proxy macht nicht viel anderes, nur er benutzt u.U. gecachte Daten.

Nur ist ein Router (eigentlich) nicht nur für HTTP oder FTP sondern routet eben den kompletten Netzverkehr. Wenn du eine Anwendung hast, die über ein eigenes Protokoll nach aussen geht, hast du damit hinter einem Proxy Probleme. Es war früher (weiss nicht wie es da mittlerweile aussieht) nicht möglich einen Pop3-Client über einen HTTP-Proxy zu leiten (also Outlook Express hinter einem Proxy z.B.)

Wenn das Caching nicht so wichtig ist, würd ich einen Router nehmen... ist aber meine Meinung.

[hades]

Beides fuer sich genommen ist unsicher.

Sicher ist nur ein Sicherheitskonzept und eine oder mehrere Firewall(s), die sowohl auf einem Router als auch auf einem Proxy integriert sein koennen.

Beispielsweise der ISA Server, der Proxy und Firewall in einem sein kann.

[Thombo]

OK, es gibt jetzt jedoch nur die Auswahl zwischen Proxy und Router......

Bei einem Proxy werde nur expliziert Anfragen an den Proxy in Web geleitet,

bei einem Router kommt mehr nach draussen, oder ?

Wie sieht es mit Angriffen von ausserhalb aus?

Oder mit Paketen die für keinen PC im LAN gedacht sind ?

Welche "Kleinigkeiten" ausser Caching / Routing unterscheidet die beiden Möglichkeiten noch von einander ?

-> Mehr Details bitte

[geloescht_JesterDay]

Bei einem Proxy werde nur expliziert Anfragen an den Proxy in Web geleitet,

bei einem Router kommt mehr nach draussen, oder ?

Wie sieht es mit Angriffen von ausserhalb aus?

Oder mit Paketen die für keinen PC im LAN gedacht sind ?

Bei einem Router wird alles so geroutet, wie du es einstellst (routing table). Ok, bei den kleinen SOHO gibt es diese Möglichkeit eigentlich nicht. Im Zweifel gibt es eine default route, zu der alles geleitet wird, was sonst nich passt. (Ein SOHO-Router hat ja eigentlich immer einen Switch eingebaut, und alle Rechner die da dranhängen, werden entsprechend geroutet. Also Anfragen für die REchner werden nicht nach draussen geroutet)

Beim Fli4L (Softwarerouter) gab es z.B. die Möglichkeit, eine eigene Domain einzutragen. Wenn alle Windowsrechner (dafür war das vorallem da) auch dieser Domain angehören (also zumindest der Name passt), wurde Anfragen dafür (Windows hat die angewohnheit, alle paar Minuten das Netz nach seinen Nachbarn abzufragen) nicht weitergeleitet. Ob es sowas bei Hardware-Routern gibt, k.A.

Um Anfragen ins Netz zu verhindern, kannst du meist gewisse Ports sperren, also z.B. nur Port 80 zulassen.

Angriffe von ausserhalb sind bei einem Router schlecht möglich, da er eigentlich immer NAT beherrscht. NAT (=Network Adress Translation) wandelt die lokalen IP-Adressen der einzelnen PCs um in die WAN-Adresse des Routers (ich geh von einem SOHO-Router aus, der ein Modem eingebaut hat), schickt die Anfragen raus und wandelt es umgekehrt wieder zurück. anfragen an einen Rechner im Netz hinter dem Router sind somit nicht möglich, da ja die IP nur vom Router bekannt ist (bzw. lokale IPs im Netz eh nicht geroutet werden).

Das ganze ist natürlich dann doch wieder möglich, wenn du Portforwarding aktiviert hast. Dann werden Anfragen auf einem bestimmten Port an den Rechner geleitet, den du als Ziel für den Port eingestellt hast.

Ein Router funktioniert also (wenn du es so einstellst) in beide Richtungen (rein und raus, du kannst also hinter dem Router einen Server betreiben), ein Proxy kann das (AFAIK) nicht. (Was noch eine Kleinigkeit ist)

Ach ja, Pakete, die für keinen Rechner gedacht sind. Im Normalfall (ohne Portforwarding) werden nur die Antworten an die Rechner weitergeleitet, die vorher angefragt wurden (NAT), der Rest wird verworfen. Wenn die Anfrage auf einen POrt kommt, für den Portforwarding eingestellt ist, wird die Anfrage ans Ziel weitergeleitet (Pro Port nur ein Ziel möglich).

[nic_power]

Hallo,

Bei einem Router wird alles so geroutet, wie du es einstellst (routing table). Ok, bei den kleinen SOHO gibt es diese Möglichkeit eigentlich nicht. Im Zweifel gibt es eine default route, zu der alles geleitet wird, was sonst nich passt.

Auch ein SoHo-Router hat eine Routingtabelle und pro eigenem Subnetz einen entsprechenden Eintrag in dieser Tabelle (da ein SoHo-Router aber meist nur ein Interface nach aussen hat, reicht in der Regel auch ein Defaulteintrag).

(Ein SOHO-Router hat ja eigentlich immer einen Switch eingebaut, und alle Rechner die da dranhängen, werden entsprechend geroutet. Also Anfragen für die REchner werden nicht nach draussen geroutet)

Das hat aber nichts mit einem SoHo-Router zu tun, sondern mit der Tatsache dass es nicht besonders sinnvoll ist, nach "draussen" zu routen, wenn die Zieladressen im selben Netz liegen.

Um Anfragen ins Netz zu verhindern, kannst du meist gewisse Ports sperren, also z.B. nur Port 80 zulassen.

Um Anfragen ins lokale Netz im Falle eine Router zu sperren, verwende man üblicherweise eine zusätzliche Firewall oder konfiguriert Access-Liste auf dem Router.

Angriffe von ausserhalb sind bei einem Router schlecht möglich, da er eigentlich immer NAT beherrscht.

Was spricht dagegen, den Router direkt anzugreifen? Abgesehen davon verwendet nicht jeder NAT.

Ein Router funktioniert also (wenn du es so einstellst) in beide Richtungen (rein und raus, du kannst also hinter dem Router einen Server betreiben), ein Proxy kann das (AFAIK) nicht. (Was noch eine Kleinigkeit ist)

Warum sollte man hinter einem Proxy keinen Server betreiben können. Wenn ich über einen Proxy auf einen Server zugreife, dann läuft dieser Server _hinter_ dem Proxy.

Nic

[MBaeuml]

Ein Router funktioniert also (wenn du es so einstellst) in beide Richtungen (rein und raus, du kannst also hinter dem Router einen Server betreiben), ein Proxy kann das (AFAIK) nicht. (Was noch eine Kleinigkeit ist)

Kann ich ganz klar verneinen, weil wir mehrere solcher Strukturen, also Web- Mail- etc. hinter Proxy-Server, bei Kunden im Einsatz haben.

Und ob ein Proxy viel sicherer ist sei mal dahingestellt, der Vorteil ist halt das kein Rechner direkt Pakete aus dem Internet bekommt. Alle Anfragen der Clients führt der Proxy aus so das LAN und WAN getrennt sind. Der Proxy speichert dazu die Pakete immer erst zwischen (wen den richtig konfiguriert) und kann dann entscheiden ob er sie auch weiterleitet ins LAN, z.B. nach einem Virenscan.

Weiterer Vorteil (bedingt mit Sicherheit zu tun) ist das nicht alle Seiten neu geladen werden müssen sondern schnell aus dem Cache zur Verfügung stehen.

Der Router hat den Vorteil, dass das System an sich sehr sicher ist (wen den der Hersteller eine gescheite Firmware hat). Von Sicherheitslücken in Routerfirmware hört man selten, von Lücken im Windows wo z.B. ein Proxy-Serverläuft fast täglich.

Ob nun das eine oder andere sicherer ist läßt sich so pauschal nicht sagen, schließlich kommt es auf die Umgebung an und auf noch viel mehr andere Sicherheitskomponenten wie Virenscanner, Zugangskontrollen etc.

[Jasper]

Hier bei uns kam gerade die Frage auf was eigentlich sicherer gegen Angriffe ist. Ein Router oder ein Proxy.....

proxy. ein router weiss nichts von den protokollen, d.h er kann sie nicht prüfen. ein proxy schon. ein proxy wiederum ist sehr einfach weil er die daten nicht verarbeiten, sondern nur prüfen muss. ein http-proxy ist vom aufbau viel einfacher als ein http-server. und weniger code bedeutet statistisch gesehen weniger fehler.

nicht umsonst enthalten alle ernstzunehmenden firewalls applikation-level-gateways aka proxies um einen direkten zugriff auf die zu schützenden netze zu unterbinden.

-j

[DevilDawn]

Hier bei uns kam gerade die Frage auf was eigentlich sicherer gegen Angriffe ist. Ein Router oder ein Proxy.....

So per se vergleichst du Äpfel mit Birnen. Denn im Prinzip ist ein Proxy auch nur ein Client.

Der Proxy reduziert deine Probleme insofern das er der einzige Client ist der ins Netz geht. D.h. du musst - gegen Connects von aussen - nur diesen Client härten, da er ja stellvertretend für die anderen ins Netz geht.

Es ist ausserdem Sicherer insofern, das man den Leuten im LAN diverse Unfugsoftware abgewöhnen kann

Im Prinzip willst du also beides:

(Clients) <- -> Proxy <- -> Router <- -> { grosses böses Internet }

wobei der Router NUR den Proxy NATtet, und zwar Hiding-NAT.

Just my 2 cents.