Jump to content
Sign in to follow this  
pastors

Proxy in DMZ oder LAN?

Recommended Posts

Hi,

meine Firma möchte für die Clients im LAN einen Proxy verwenden. In erster Linie zum Cachen von Webzugriffen. Da hat sich für uns der MS ISA-Server angeboten. Der ISA-Server wird von einer zustäzlichen Firewall geschützt. Doch wo stellt man solch eine Maschine am besten ab. Die Maschine ist von außen nicht zugägnlich. Ich tendiere eher im LAN und mein Kollege meint der Proxy wäre besser in der DMZ aufgehoben.

Meine zweite Frage... ist es sinnvoll auf einem Proxy auch einen VPN-Tunnel einzurichten und wo stellt man Proxy+VPN am besten hin? Bin leider kein Netzwerker und irgendwie erzählt jeder einem etwas anderes. Vielleicht kann jemand weiterhelfen über einen sinnvollen Einsatz.

 

Danke

 

Mike

Share this post


Link to post
Share on other sites

Hallo Mike,

mal kurz, also ein WebProxy gehört eigentlich immer in die DMZ! Da er wie du ja schon sagtest in erster Linie für die HTTP/FTP-Connects zustädig sein soll, was soll so eine Maschine im LAN?!

Thema VPN ist event. ein Thema für sich. Prinzipiell schadet die DMz ja nicht, eventuell kannst du ja auch in der FW ein VPN konfigurieren. Die Frage wird hier sein, was beabsichtigst du genau? Wird VPN gewünscht oder event. nur SSH? Auf welche(n) Rechner?....

Share this post


Link to post
Share on other sites

Hi,

 

Proxy und VPN Gateway sind auf jeden Fall in der DMZ am besten aufgehoben. Dafür sind die DMZ's ja da.

 

P. S. Für das VPN und den Proxy solltest du selbstverständlich jeweils eine DMZ einrichten die auch untereinander abgesichert ist.

 

Gruß

Share this post


Link to post
Share on other sites

Hi,

danke für die antworten. Leider kann ich aus technischen Gründen den Proxy und VPN-Server nicht logisch trennen. Habe noch eine Frage bzgl. des VPN in der DMZ. Unser ISA-Server hat zwei Netzwerkkarten, eine geht in die DMZ und die andere ist im moment noch brach. Die zweite müsste doch eigentlich in mein LAN zeigen wenn ich VPN-Clients Zugriff auf mein LAN gewähren möchte. Oder wie würdet ihr sowas einrichten?

 

Grüßle

 

Mike

Share this post


Link to post
Share on other sites

Ich sehe bisher keinen zwingenden Ansatz einen REINEN Proxyserver (so man andere Firewalls hat), nicht im LAN aufzustellen, und ich kenne viele, die das so haben. Alleine schon der Fakt, dass eine Authentifizierung und damit Zugriffsteuerung im AD möglich ist (beim ISA z.B.) legt sowas nahe. Übliche Schutzvorkehrungen wie HTTP-Filter für Malware, Virenscanner usw. auf dem Proxy setze ich als gegeben voraus.

Aber ein Nur-Proxy?! Ins LAN ;)

 

Wenn er auch noch VPN machen soll, dan bietet sich ISA hervorragend als Back-End-Firewall mit proxy in einem an

 

grizzly999

Share this post


Link to post
Share on other sites

Hi,

mein Problem ist, ich weiß nicht wo ich den ISA am sinnvollsten hinstelle. Vielleicht beschreibe ich kurz das Netzwerk. Wir haben eine Firewall mit zwei DMZs. An der Firewall ist ein Router der das Netz in zwei VLANs aufteilt. Das eine ist für die Clients und im anderen stehen zwei bis drei Server.

Wo liegen die Vor- und Nachteile den ISA (Proxy- und VPN funktionalität) in die DMZ zu legen?

 

Mike

Share this post


Link to post
Share on other sites
Hi,

mein Problem ist, ich weiß nicht wo ich den ISA am sinnvollsten hinstelle. Vielleicht beschreibe ich kurz das Netzwerk. Wir haben eine Firewall mit zwei DMZs. An der Firewall ist ein Router der das Netz in zwei VLANs aufteilt. Das eine ist für die Clients und im anderen stehen zwei bis drei Server.

Wo liegen die Vor- und Nachteile den ISA (Proxy- und VPN funktionalität) in die DMZ zu legen?

 

Mike

 

Hi,

 

ganz einfach. Sicherheit.

 

Die WS kommen nur über den Proxy ins Inet. Der Verkehr von und zum Proxy wird hierbei schon von der Firewall (optimal aber meist zu teuer wäre zweistuffig) gefillter. Die Verbindung der WS wird am Proxy sauber getrennt und neu aufgebaut. Der von grizzly999 erwähnte Content & Virenscanner kann hierbei eine weitere Filterung des übertragen Inhaltes vornehmen.

 

Das Aufstellen eines Proxy im Lan der eine Auth. über das AD vornimmt habe ich bis jetzt in der praxis noch nicht gesehen - es würde sich für mich auch die Frage stellen ob das Sicherheitstechnisch Sinn macht. Auf jeden Fall müsste man bei einer solchen Konfiguration jedoch den Internetport der Firewall an den Proxy binden um ein Umgehen des Proxys zu verhindern. Ich würde allerdings weiterhin davon abraten das so zu machen.

 

Gruß

Share this post


Link to post
Share on other sites

Das Aufstellen eines Proxy im Lan der eine Auth. über das AD vornimmt habe ich bis jetzt in der praxis noch nicht gesehen - es würde sich für mich auch die Frage stellen ob das Sicherheitstechnisch Sinn macht.

Das haben einige/viele Firmen so, dass nur bestimmte Benutzer oder Benutzergruppen ins Internet dürfen.

 

@pastors:

Da es aus meiner Sicht doch etwas an Fachwissen mangelt, würde ich dir allerdings raten, im Sinne der Sicherheit Eures Netzes, fachmännische Hilfe zu Rate zu ziehen, und nicht von hier im Board. Nicht weil es die hier nicht gäbe, sondern weil man hier zwischen Tastatur und Bildschirm nicht alle Details erötern und sinnvolle Beratung leisten kann.

Ausserdem hast du hier schnell zwölf Beiträge und sieben Meinungen zusammen, die Hälfte davon aus consultarischer Sicht - naja, so wie z.B. "Ein Proxy ... gehört immer ...." Wenn ich das lese ... macht man IMMER so oder so, das hat nichts mit Beratung zu tun, ausser es gibt technische Einschränkungen, die etwas nicht anders machen lassen.

 

grizzly999

Share this post


Link to post
Share on other sites
Das haben einige/viele Firmen so, dass nur bestimmte Benutzer oder Benutzergruppen ins Internet dürfen.

:D wie arbeiten ohne Internet - das geht? :shock: :eek:

Wie sieht dass dann vom Aufbau her aus? Den ISA direkt ins CN und eine Verbindung über den Proxy dann direkt über die FW ins Internet?

@pastors:

Da es aus meiner Sicht doch etwas an Fachwissen mangelt, würde ich dir allerdings raten, im Sinne der Sicherheit Eures Netzes, fachmännische Hilfe zu Rate zu ziehen, und nicht von hier im Board. Nicht weil es die hier nicht gäbe, sondern weil man hier zwischen Tastatur und Bildschirm nicht alle Details erötern und sinnvolle Beratung leisten kann.

Ausserdem hast du hier schnell zwölf Beiträge und sieben Meinungen zusammen, die Hälfte davon aus consultarischer Sicht - naja, so wie z.B. "Ein Proxy ... gehört immer ...." Wenn ich das lese ... macht man IMMER so oder so, das hat nichts mit Beratung zu tun, ausser es gibt technische Einschränkungen, die etwas nicht anders machen lassen.

 

grizzly999

Das würde ich auch vorschlagen zumal das Thema Sicherheit wirklich viele Aspekte hat. Ein Fehler bzw. eine falsche Einstellung hat in diesem Bereich u. U. fatale Auswirkungen!

Share this post


Link to post
Share on other sites
Wie sieht dass dann vom Aufbau her aus? Den ISA direkt ins CN und eine Verbindung über den Proxy dann direkt über die FW ins Internet?

Da gäbe es auf die Schnelle zwei Varianten. Einmal. der ISA ist die Backend FW in einem zweistufigen FW Prinzip. Dann wäre die eine NIC sowieso schon im LAN. Proxy könnte er wunderbar machen, wenn's sein muss mit Authentifizierung, und VPN-Server.

 

Als reiner Proxy würde er hinter der FW im LAN stehen, die Benutzer müssten über ihn (Proxyeintrag im Browser) ins Internet gehen. Der Proxy leitet weiter an die FW, die nur für den Proxy den Port 80 öffnet.

 

grizzly999

Share this post


Link to post
Share on other sites
Das haben einige/viele Firmen so, dass nur bestimmte Benutzer oder Benutzergruppen ins Internet dürfen.

 

Ist bei uns gerade nicht so, kenne das aber auch von anderen Firmen. Finde das vor allem mit dem ISA nicht abwägig, den Proxy im LAN zu haben, da ja auf dem ISA auch nur das klappt, was in der Rule-Base steht...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...