DMZ und Proxyserver

[Hexa]

Hallo ich würde gerne wissen wir ich eine Proxyserver in die DMZ einbinden kann. Also eigentlich sieht das ganz doch so aus

Intranet->Packetfilter-> DMZ mit den Servern(Mail,Ftp,Web)-> Packetfilter-> Internet

Wo kommt den dann der Proxy Server hin, mit in die DMZ??

Der Proxy soll dann die Mails etc auf Virensignaturen überprüfen etc.

Hat jemdn eine idee wie das Realisiert wird?

Mfg

Hexa

[dummabua]

Äh sorry, aber ein Proxy ist nicht dazu da, Emails auf Viren zu prüfen (ausser du redest von Webmail, aber für POP3 etc. gibds andere Produkte; Ausserdem haben Proxies ein Problem mit https-Filterung, wie es bei vielen Web-Mailern zum Einsatz kommt d.h. der Vorteil von Webmailer Virenscanning fällt weg, weil der Proxy nur SSL zu Gesicht bekommt)

Wenn er als Reverse Proxy arbeiten soll, dann "muss" er mit in die DMZ rein. Wenn er Web Zugriffe managen soll (da kann man z.B. nach Schadecode filtern) Dann würde ich Ihn auch in die DMZ stellen, ausser du kannst dir einen Proxy im LAN und einen in der DMZ leisten und machst damit ne Forwarding Chain. Das is schon sexy . Kommt eben drauf an, was dieser Proxy machen soll.

[Hexa]

Eigentlich wollte ich alle Server in die DMZ stellen und die Clients in das Interne Netz, also das ganz Normale, aber die DMZ schützt ja nur vor Unerlaubten Zugriffen also auf Schicht 3 und 4. Ein Proxy kann doch Schicht 3-7 anschaun oder irre ich mich da??

Der Grundgedanke ist, dass die Clients halt über einen Proxy ins Internet gehen, der Proxy soll dann die Daten die die Clients aus dem Internet laden überprüfen um keine Viren runterzuladen. Habe ich da einen Denkfehler?

Geht das überhaupt?

[dummabua]

Ein Proxy kann bis in Schicht 7 reinschauen, ja das stimmt, aber nur in HTTP Traffic (Squid etc...).Da kann er URLs filtern - sperren, Aktive Inhalte oder bestimmte Header oder Tags ändern/löschen und Popups blocken (und noch mehr). Protokolle die nicht Proxy fähig sind,musst du entweder drum herum routen oder "Socksen", also in Socks packen.

Prüfen, ob dein Client per http einen Virus etc herunterlädt kannst du schon mit einem Proxy, aber eben nicht in https Traffic, weil der Proxy da nur SSL verschlüsselte Daten sieht. Da viele Viren von Emails kommen, die du per Webmail abrufst, welches aber oft https verschlüssel ist hast du da auch keinen Vorteil. Grosser Vorteil ist, dass ein Proxy dein FW Regelwerk überschaubar hält (zumindest in Internet Access Sachen) und du Authentisieren und Autorisieren kannst.

[hades]

...aber eben nicht in https Traffic, weil der Proxy da nur SSL verschlüsselte Daten sieht.

Hier setzen dann Application Layer Filter an und koennen auch https untersuchen.

[dummabua]

@hades: Ja, gibds schon , aber die müssen dazu den Tunnel terminieren und das is Datenschutzrechtlich immer heikel, weils ne Gradwanderung ist.

Was verstehst du unter einem Application Layer Filter? Bzw. was ist der Unterschied zu nem Proxy?

[Hexa]

Dankeschön erstmal, hat mir schon geholfen...nun wird es aber noch ein wenig komplexer^^. Wenn der Proxy in der DMZ zusammen mit einem WEB und FTP server steht, kann dann über den Proxy sowohl der FTP-Server, der WEB-Server und die Clients laufen.

Also das jeder Traffic, sowohl reinkommend(WEB und FTP) als auch rausgehend (Clients) über den Proxy geht? Schafft das ein Proxy?

Das also nur der Proxy die Berechtigung hat aus dem WAN-Interface rauszugehen?

[dummabua]

Also du brauchst erstmal einen HTTP Proxy (Squid, am besten mit ner localhost Chain und Privoxy) und dann einen FTP Proxy (z.b. FROX). Dann mus dein Proxy so geconft sein, dass er für den Webserver als Reverse Proxy arbeitet. HTTP und FTP handlen dann Frox und Squid.

An der internen FW erlaubst du eben nur Zugriff ins Web über den Proxy:

Also:

LAN komplett darf nur mit Proxy Port (8800 oder so, je nach konf.) auf den Proxy in der DMZ und sonst nichts. Somit darf das Lan nur in die DMZ. Und somit verhinderst du auch die Umgehung des Proxy. Dann an der vorderen FW darf eben nur der Proxy per 21 - ftp, 80 und 443 ins Internet (und ggf. mit den Socks Ports, die du willst). Weiterhin darf das Internet nur mit 80/443 auf deinen Proxy für Web Access auf deinen Webserver. Nen FTP Reverse Proxy kenn ich nicht ?!?! Muss aber nicht heissen, dasses den nicht gibt .

Du kannst also folgendes über den Proxy führen:

Aus dem LAN ins Internet:

http

https

ftp

socks

Aus dem Internet in die DMZ Server:

http

https

PS: Was willst du überhaupt machen

[Hexa]

^^ danke das ist klasse

Ich habe halt eine DMZ fähige FW, eine FTP und WEB Server sowie mehrere Clients. Einen Rechner der als Proxy fungieren kann auch.

Überlege halt was die Beste Lösung ist, nur Clients über den Proxy oder alles über den Proxy etc. Man will halt immer die beste Lösung haben^^

[dummabua]

wenn du EINE FW hast, die DMZ fähig ist, dann hast du ne "Collapsed DMZ".

Ein Schritt zur besten Lösung ist, keinen FTP Proxy zu nehmen.Das ist in einem LAN deiner Dimensionnicht notwendig, bzw. der Aufwand rechnet sich ned .

Ein keinesfalls böse gemeinter Rat: Überleg dir genau vorher WAS du WOMIT erreichen möchtest. Dann sparst du dir viel Arbeit und das Ergebniss stell am ehesten zufrieden (Erfahrung)

cu

dummabua