Zum Inhalt springen

proxy server in die dmz?


DeusExMachina

Empfohlene Beiträge

einen proxy in die dmz ?!

ich kenn nur das Modell das ein Proxy zur WAN Seite gestellt wird und ein Proxy zur LAN seite.

In der DMZ würden dann z.B. deine Web Server stehen. Aber das nochmal ein Proxy in der DMZ steht habe ich noch nie gehört...lass mich aber gern eines besseren belehren ! :)

Sinn macht es zwei verschiedene Proxy Server zu verwenden...denn falls mal einer den ersten Proxy zur DMZ knackt beisst er sich evtl. die Zähne am Proxy zum LAN aus ;)

MfG

rote_gefahr

Link zu diesem Kommentar
Auf anderen Seiten teilen

Grundsätzlich würde ich sagen ist es ratsam ihn in die DMZ zu setzen. Macht aber nur wirklich Sinn, wenn du das ziel hast generell keine direkte verbindung zwischen Internet und internes Netz zustande kommen lassen. Würde er in der DMZ stehen ist somit gewährleistet das eingehender Verkehr in der DMZ landet.

gruß gurkenpapst

Link zu diesem Kommentar
Auf anderen Seiten teilen

Original geschrieben von DeusExMachina

hi,

wann ist es allgemein üblich einen proxy-server in die dmz zu stellen? nur wenn er als application firewall fungiert oder auch dann wenn er als reiner cache arbeitet? gibt es dazu irgendwelche empfehlungen?

Also wenn er als ALF fungiert besteht mit Sicherheit KEIN Grund ihn in die DMZ zu stellen!

Warum sollte man eine Firewall nochmals durch eine Firewall schützen????

Wenn ein Proxy richtig aufgesetzzt ist (gehärteter Protokollstack) besteht auch bei einem "nur caching Proxy" (aber wer macht das schon???) auch kein Grund ihn in die DMZ zu stellen.

BTW: Auch auf Rechnern in der DMZ sollten keine unnötigen Dienste laufen!

Original geschrieben von gurkenpapst

Würde er in der DMZ stehen ist somit gewährleistet das eingehender Verkehr in der DMZ landet.

Und was soll das sein? Ein Proxy hat keinen "eingehenden" Verkehr!!!!

GG

Link zu diesem Kommentar
Auf anderen Seiten teilen

Nabend,

wir nutzen einen Caching-Proxy im LAN, welcher auf einen "nicht-caching" Proxy in der DMZ zugreift, nur der DMZ-Proxy hat Zugriff ins Internet.

Dies wurde uns bisher von allen Experten empfohlen (die Experten waren keine Proxy-Hersteller etc., haben also mit dieser Empfehlung kein Geld verdient ;) )

Die Gründe finde ich auch einleuchtend,

selbst ein "gehärteter" Proxy ist nur so "hart", wie der aktuelle Sicherheitsstand, taucht über Nacht ein Exploit auf, kann mir das Ding auch gehackt werden.

Passiert dies mit meinen Proxy in der DMZ, ist dies zwar schlimm, mein internes LAN oder andere Dienste sind aber nicht direkt betroffen.

Hängt der Proxy im LAN, und der Angreifer hat die Kontrolle, habe ich schon größere Probleme.

Gruß

Terran

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 7 Jahre später...
selbst ein "gehärteter" Proxy ist nur so "hart", wie der aktuelle Sicherheitsstand, taucht über Nacht ein Exploit auf, kann mir das Ding auch gehackt werden.

Unter härten versteht man, unter anderem, auch das Einsetzen von Software wie SELinux oder AppArmor.

Dann soll die Software halt einen Exploit haben, solange die Software von SELinux oder AppArmor eingeschrenkt ist kann selbst mit einem Exploit nicht so viel angefangen werden.

Da müssten grad eine Kombination von mehreren Exploits auftreten.

Und wer ein sicheres gehärtetes System hat muss in sehr selten Fällen, wenn überhaupt, mit Exploits rechnen.

Entweder das System ist gehärtet, oder man hat angst vor einem Exploit. Es hat ja kein Sinn sein System zu härten wenn man trotzdem angst haben muss das man jeden Tag einfach mal eben gehackt werden könnte.

Zitat von OpenBSD

Nur eine über das Netz angreifbare Sicherheitslücke in mehr als acht Jahren.

(diese wurde btw. gefunden bevor sie jemand ausgenutzt hat)

Inzwischen gibt es OpenBSD seit 17 Jahren und sie hatten erst 2 Sicherheitslücken. 17 Jahre sind verdammt lange.

Gehärtet heisst wirklich gehärtet. Wenn man ein gehärtetes System hat und trotzdem sich nicht sicher sein kann das über Nacht nicht plötzlich ein Exploit auftaucht der einen Angreifbar macht, der hat einfach ein unsicheres System.

Unsichere Systeme zu verwenden ist aus Gründen der Sicherheit nicht empfohlen ;) ;) ;)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gehärtet heisst wirklich gehärtet. Wenn man ein gehärtetes System hat und trotzdem sich nicht sicher sein kann das über Nacht nicht plötzlich ein Exploit auftaucht der einen Angreifbar macht, der hat einfach ein unsicheres System.

Mal davon abgesehen das du hier einen 7 Jahre alten Thread aufwärmst vertritst du da eine ziemlich merkwürdige Logik.

Wenn ich mein System also gehärtet nenne brauch ich keine Angst mehr zu haben das da jemals jemand einen Exploit für findet? Cool...

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...