Hexa Geschrieben 31. Januar 2006 Geschrieben 31. Januar 2006 Hallo ich würde gerne wissen wir ich eine Proxyserver in die DMZ einbinden kann. Also eigentlich sieht das ganz doch so aus Intranet->Packetfilter-> DMZ mit den Servern(Mail,Ftp,Web)-> Packetfilter-> Internet Wo kommt den dann der Proxy Server hin, mit in die DMZ?? Der Proxy soll dann die Mails etc auf Virensignaturen überprüfen etc. Hat jemdn eine idee wie das Realisiert wird? Mfg Hexa Zitieren
dummabua Geschrieben 1. Februar 2006 Geschrieben 1. Februar 2006 Äh sorry, aber ein Proxy ist nicht dazu da, Emails auf Viren zu prüfen (ausser du redest von Webmail, aber für POP3 etc. gibds andere Produkte; Ausserdem haben Proxies ein Problem mit https-Filterung, wie es bei vielen Web-Mailern zum Einsatz kommt d.h. der Vorteil von Webmailer Virenscanning fällt weg, weil der Proxy nur SSL zu Gesicht bekommt) Wenn er als Reverse Proxy arbeiten soll, dann "muss" er mit in die DMZ rein. Wenn er Web Zugriffe managen soll (da kann man z.B. nach Schadecode filtern) Dann würde ich Ihn auch in die DMZ stellen, ausser du kannst dir einen Proxy im LAN und einen in der DMZ leisten und machst damit ne Forwarding Chain. Das is schon sexy . Kommt eben drauf an, was dieser Proxy machen soll. Zitieren
Hexa Geschrieben 2. Februar 2006 Autor Geschrieben 2. Februar 2006 Eigentlich wollte ich alle Server in die DMZ stellen und die Clients in das Interne Netz, also das ganz Normale, aber die DMZ schützt ja nur vor Unerlaubten Zugriffen also auf Schicht 3 und 4. Ein Proxy kann doch Schicht 3-7 anschaun oder irre ich mich da?? Der Grundgedanke ist, dass die Clients halt über einen Proxy ins Internet gehen, der Proxy soll dann die Daten die die Clients aus dem Internet laden überprüfen um keine Viren runterzuladen. Habe ich da einen Denkfehler? Geht das überhaupt? Zitieren
dummabua Geschrieben 2. Februar 2006 Geschrieben 2. Februar 2006 Ein Proxy kann bis in Schicht 7 reinschauen, ja das stimmt, aber nur in HTTP Traffic (Squid etc...).Da kann er URLs filtern - sperren, Aktive Inhalte oder bestimmte Header oder Tags ändern/löschen und Popups blocken (und noch mehr). Protokolle die nicht Proxy fähig sind,musst du entweder drum herum routen oder "Socksen", also in Socks packen. Prüfen, ob dein Client per http einen Virus etc herunterlädt kannst du schon mit einem Proxy, aber eben nicht in https Traffic, weil der Proxy da nur SSL verschlüsselte Daten sieht. Da viele Viren von Emails kommen, die du per Webmail abrufst, welches aber oft https verschlüssel ist hast du da auch keinen Vorteil. Grosser Vorteil ist, dass ein Proxy dein FW Regelwerk überschaubar hält (zumindest in Internet Access Sachen) und du Authentisieren und Autorisieren kannst. Zitieren
hades Geschrieben 2. Februar 2006 Geschrieben 2. Februar 2006 ...aber eben nicht in https Traffic, weil der Proxy da nur SSL verschlüsselte Daten sieht. Hier setzen dann Application Layer Filter an und koennen auch https untersuchen. Zitieren
dummabua Geschrieben 3. Februar 2006 Geschrieben 3. Februar 2006 @hades: Ja, gibds schon , aber die müssen dazu den Tunnel terminieren und das is Datenschutzrechtlich immer heikel, weils ne Gradwanderung ist. Was verstehst du unter einem Application Layer Filter? Bzw. was ist der Unterschied zu nem Proxy? Zitieren
Hexa Geschrieben 3. Februar 2006 Autor Geschrieben 3. Februar 2006 Dankeschön erstmal, hat mir schon geholfen...nun wird es aber noch ein wenig komplexer^^. Wenn der Proxy in der DMZ zusammen mit einem WEB und FTP server steht, kann dann über den Proxy sowohl der FTP-Server, der WEB-Server und die Clients laufen. Also das jeder Traffic, sowohl reinkommend(WEB und FTP) als auch rausgehend (Clients) über den Proxy geht? Schafft das ein Proxy? Das also nur der Proxy die Berechtigung hat aus dem WAN-Interface rauszugehen? Zitieren
dummabua Geschrieben 3. Februar 2006 Geschrieben 3. Februar 2006 Also du brauchst erstmal einen HTTP Proxy (Squid, am besten mit ner localhost Chain und Privoxy) und dann einen FTP Proxy (z.b. FROX). Dann mus dein Proxy so geconft sein, dass er für den Webserver als Reverse Proxy arbeitet. HTTP und FTP handlen dann Frox und Squid. An der internen FW erlaubst du eben nur Zugriff ins Web über den Proxy: Also: LAN komplett darf nur mit Proxy Port (8800 oder so, je nach konf.) auf den Proxy in der DMZ und sonst nichts. Somit darf das Lan nur in die DMZ. Und somit verhinderst du auch die Umgehung des Proxy. Dann an der vorderen FW darf eben nur der Proxy per 21 - ftp, 80 und 443 ins Internet (und ggf. mit den Socks Ports, die du willst). Weiterhin darf das Internet nur mit 80/443 auf deinen Proxy für Web Access auf deinen Webserver. Nen FTP Reverse Proxy kenn ich nicht ?!?! Muss aber nicht heissen, dasses den nicht gibt . Du kannst also folgendes über den Proxy führen: Aus dem LAN ins Internet: http https ftp socks Aus dem Internet in die DMZ Server: http https PS: Was willst du überhaupt machen Zitieren
Hexa Geschrieben 3. Februar 2006 Autor Geschrieben 3. Februar 2006 ^^ danke das ist klasse Ich habe halt eine DMZ fähige FW, eine FTP und WEB Server sowie mehrere Clients. Einen Rechner der als Proxy fungieren kann auch. Überlege halt was die Beste Lösung ist, nur Clients über den Proxy oder alles über den Proxy etc. Man will halt immer die beste Lösung haben^^ Zitieren
dummabua Geschrieben 4. Februar 2006 Geschrieben 4. Februar 2006 wenn du EINE FW hast, die DMZ fähig ist, dann hast du ne "Collapsed DMZ". Ein Schritt zur besten Lösung ist, keinen FTP Proxy zu nehmen.Das ist in einem LAN deiner Dimensionnicht notwendig, bzw. der Aufwand rechnet sich ned . Ein keinesfalls böse gemeinter Rat: Überleg dir genau vorher WAS du WOMIT erreichen möchtest. Dann sparst du dir viel Arbeit und das Ergebniss stell am ehesten zufrieden (Erfahrung) cu dummabua Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.