proxy server in die dmz?

[DeusExMachina]

hi,

wann ist es allgemein üblich einen proxy-server in die dmz zu stellen? nur wenn er als application firewall fungiert oder auch dann wenn er als reiner cache arbeitet? gibt es dazu irgendwelche empfehlungen?

[rote_gefahr]

einen proxy in die dmz ?!

ich kenn nur das Modell das ein Proxy zur WAN Seite gestellt wird und ein Proxy zur LAN seite.

In der DMZ würden dann z.B. deine Web Server stehen. Aber das nochmal ein Proxy in der DMZ steht habe ich noch nie gehört...lass mich aber gern eines besseren belehren !

Sinn macht es zwei verschiedene Proxy Server zu verwenden...denn falls mal einer den ersten Proxy zur DMZ knackt beisst er sich evtl. die Zähne am Proxy zum LAN aus

MfG

rote_gefahr

[DeusExMachina]

hm... ich glaube wir sind uns nur über die begriffe nicht ganz einig, du meinst mit den 2 proxy-servern wahrscheinlich 2 packet-filter, oder?

afaik ist der begriff proxy-server am gebräuchlichsten für einen cache für webseiten und für eine kombination aus cache und application firewall.

[gurkenpapst]

Grundsätzlich würde ich sagen ist es ratsam ihn in die DMZ zu setzen. Macht aber nur wirklich Sinn, wenn du das ziel hast generell keine direkte verbindung zwischen Internet und internes Netz zustande kommen lassen. Würde er in der DMZ stehen ist somit gewährleistet das eingehender Verkehr in der DMZ landet.

gruß gurkenpapst

[TschiTschi]

Original geschrieben von DeusExMachina

hi,

wann ist es allgemein üblich einen proxy-server in die dmz zu stellen? nur wenn er als application firewall fungiert oder auch dann wenn er als reiner cache arbeitet? gibt es dazu irgendwelche empfehlungen?

Also wenn er als ALF fungiert besteht mit Sicherheit KEIN Grund ihn in die DMZ zu stellen!

Warum sollte man eine Firewall nochmals durch eine Firewall schützen????

Wenn ein Proxy richtig aufgesetzzt ist (gehärteter Protokollstack) besteht auch bei einem "nur caching Proxy" (aber wer macht das schon???) auch kein Grund ihn in die DMZ zu stellen.

BTW: Auch auf Rechnern in der DMZ sollten keine unnötigen Dienste laufen!

Original geschrieben von gurkenpapst

Würde er in der DMZ stehen ist somit gewährleistet das eingehender Verkehr in der DMZ landet.

Und was soll das sein? Ein Proxy hat keinen "eingehenden" Verkehr!!!!

GG

[gurkenpapst]

Original geschrieben von TschiTschi

Und was soll das sein? Ein Proxy hat keinen "eingehenden" Verkehr!!!!

GG

Wenn er als Angriffsziel ausgewählt wird schon, aber im Regelfall nicht, richtig

[TschiTschi]

Original geschrieben von gurkenpapst

Wenn er als Angriffsziel ausgewählt wird schon,...

Deswegen sollte er ja "gehärtet" sein!!

[Terran Marine]

Nabend,

wir nutzen einen Caching-Proxy im LAN, welcher auf einen "nicht-caching" Proxy in der DMZ zugreift, nur der DMZ-Proxy hat Zugriff ins Internet.

Dies wurde uns bisher von allen Experten empfohlen (die Experten waren keine Proxy-Hersteller etc., haben also mit dieser Empfehlung kein Geld verdient )

Die Gründe finde ich auch einleuchtend,

selbst ein "gehärteter" Proxy ist nur so "hart", wie der aktuelle Sicherheitsstand, taucht über Nacht ein Exploit auf, kann mir das Ding auch gehackt werden.

Passiert dies mit meinen Proxy in der DMZ, ist dies zwar schlimm, mein internes LAN oder andere Dienste sind aber nicht direkt betroffen.

Hängt der Proxy im LAN, und der Angreifer hat die Kontrolle, habe ich schon größere Probleme.

Gruß

Terran

[Vamp898]

selbst ein "gehärteter" Proxy ist nur so "hart", wie der aktuelle Sicherheitsstand, taucht über Nacht ein Exploit auf, kann mir das Ding auch gehackt werden.

Unter härten versteht man, unter anderem, auch das Einsetzen von Software wie SELinux oder AppArmor.

Dann soll die Software halt einen Exploit haben, solange die Software von SELinux oder AppArmor eingeschrenkt ist kann selbst mit einem Exploit nicht so viel angefangen werden.

Da müssten grad eine Kombination von mehreren Exploits auftreten.

Und wer ein sicheres gehärtetes System hat muss in sehr selten Fällen, wenn überhaupt, mit Exploits rechnen.

Entweder das System ist gehärtet, oder man hat angst vor einem Exploit. Es hat ja kein Sinn sein System zu härten wenn man trotzdem angst haben muss das man jeden Tag einfach mal eben gehackt werden könnte.

Zitat von OpenBSD

Nur eine über das Netz angreifbare Sicherheitslücke in mehr als acht Jahren.

(diese wurde btw. gefunden bevor sie jemand ausgenutzt hat)

Inzwischen gibt es OpenBSD seit 17 Jahren und sie hatten erst 2 Sicherheitslücken. 17 Jahre sind verdammt lange.

Gehärtet heisst wirklich gehärtet. Wenn man ein gehärtetes System hat und trotzdem sich nicht sicher sein kann das über Nacht nicht plötzlich ein Exploit auftaucht der einen Angreifbar macht, der hat einfach ein unsicheres System.

Unsichere Systeme zu verwenden ist aus Gründen der Sicherheit nicht empfohlen ;)

[Guybrush Threepwood]

Gehärtet heisst wirklich gehärtet. Wenn man ein gehärtetes System hat und trotzdem sich nicht sicher sein kann das über Nacht nicht plötzlich ein Exploit auftaucht der einen Angreifbar macht, der hat einfach ein unsicheres System.

Mal davon abgesehen das du hier einen 7 Jahre alten Thread aufwärmst vertritst du da eine ziemlich merkwürdige Logik.

Wenn ich mein System also gehärtet nenne brauch ich keine Angst mehr zu haben das da jemals jemand einen Exploit für findet? Cool...