Jump to content

Proxy in DMZ oder LAN?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

meine Firma möchte für die Clients im LAN einen Proxy verwenden. In erster Linie zum Cachen von Webzugriffen. Da hat sich für uns der MS ISA-Server angeboten. Der ISA-Server wird von einer zustäzlichen Firewall geschützt. Doch wo stellt man solch eine Maschine am besten ab. Die Maschine ist von außen nicht zugägnlich. Ich tendiere eher im LAN und mein Kollege meint der Proxy wäre besser in der DMZ aufgehoben.

Meine zweite Frage... ist es sinnvoll auf einem Proxy auch einen VPN-Tunnel einzurichten und wo stellt man Proxy+VPN am besten hin? Bin leider kein Netzwerker und irgendwie erzählt jeder einem etwas anderes. Vielleicht kann jemand weiterhelfen über einen sinnvollen Einsatz.

 

Danke

 

Mike

Link zu diesem Kommentar

Hallo Mike,

mal kurz, also ein WebProxy gehört eigentlich immer in die DMZ! Da er wie du ja schon sagtest in erster Linie für die HTTP/FTP-Connects zustädig sein soll, was soll so eine Maschine im LAN?!

Thema VPN ist event. ein Thema für sich. Prinzipiell schadet die DMz ja nicht, eventuell kannst du ja auch in der FW ein VPN konfigurieren. Die Frage wird hier sein, was beabsichtigst du genau? Wird VPN gewünscht oder event. nur SSH? Auf welche(n) Rechner?....

Link zu diesem Kommentar

Hi,

danke für die antworten. Leider kann ich aus technischen Gründen den Proxy und VPN-Server nicht logisch trennen. Habe noch eine Frage bzgl. des VPN in der DMZ. Unser ISA-Server hat zwei Netzwerkkarten, eine geht in die DMZ und die andere ist im moment noch brach. Die zweite müsste doch eigentlich in mein LAN zeigen wenn ich VPN-Clients Zugriff auf mein LAN gewähren möchte. Oder wie würdet ihr sowas einrichten?

 

Grüßle

 

Mike

Link zu diesem Kommentar

Ich sehe bisher keinen zwingenden Ansatz einen REINEN Proxyserver (so man andere Firewalls hat), nicht im LAN aufzustellen, und ich kenne viele, die das so haben. Alleine schon der Fakt, dass eine Authentifizierung und damit Zugriffsteuerung im AD möglich ist (beim ISA z.B.) legt sowas nahe. Übliche Schutzvorkehrungen wie HTTP-Filter für Malware, Virenscanner usw. auf dem Proxy setze ich als gegeben voraus.

Aber ein Nur-Proxy?! Ins LAN ;)

 

Wenn er auch noch VPN machen soll, dan bietet sich ISA hervorragend als Back-End-Firewall mit proxy in einem an

 

grizzly999

Link zu diesem Kommentar

Hi,

mein Problem ist, ich weiß nicht wo ich den ISA am sinnvollsten hinstelle. Vielleicht beschreibe ich kurz das Netzwerk. Wir haben eine Firewall mit zwei DMZs. An der Firewall ist ein Router der das Netz in zwei VLANs aufteilt. Das eine ist für die Clients und im anderen stehen zwei bis drei Server.

Wo liegen die Vor- und Nachteile den ISA (Proxy- und VPN funktionalität) in die DMZ zu legen?

 

Mike

Link zu diesem Kommentar
Hi,

mein Problem ist, ich weiß nicht wo ich den ISA am sinnvollsten hinstelle. Vielleicht beschreibe ich kurz das Netzwerk. Wir haben eine Firewall mit zwei DMZs. An der Firewall ist ein Router der das Netz in zwei VLANs aufteilt. Das eine ist für die Clients und im anderen stehen zwei bis drei Server.

Wo liegen die Vor- und Nachteile den ISA (Proxy- und VPN funktionalität) in die DMZ zu legen?

 

Mike

 

Hi,

 

ganz einfach. Sicherheit.

 

Die WS kommen nur über den Proxy ins Inet. Der Verkehr von und zum Proxy wird hierbei schon von der Firewall (optimal aber meist zu teuer wäre zweistuffig) gefillter. Die Verbindung der WS wird am Proxy sauber getrennt und neu aufgebaut. Der von grizzly999 erwähnte Content & Virenscanner kann hierbei eine weitere Filterung des übertragen Inhaltes vornehmen.

 

Das Aufstellen eines Proxy im Lan der eine Auth. über das AD vornimmt habe ich bis jetzt in der praxis noch nicht gesehen - es würde sich für mich auch die Frage stellen ob das Sicherheitstechnisch Sinn macht. Auf jeden Fall müsste man bei einer solchen Konfiguration jedoch den Internetport der Firewall an den Proxy binden um ein Umgehen des Proxys zu verhindern. Ich würde allerdings weiterhin davon abraten das so zu machen.

 

Gruß

Link zu diesem Kommentar

Das Aufstellen eines Proxy im Lan der eine Auth. über das AD vornimmt habe ich bis jetzt in der praxis noch nicht gesehen - es würde sich für mich auch die Frage stellen ob das Sicherheitstechnisch Sinn macht.

Das haben einige/viele Firmen so, dass nur bestimmte Benutzer oder Benutzergruppen ins Internet dürfen.

 

@pastors:

Da es aus meiner Sicht doch etwas an Fachwissen mangelt, würde ich dir allerdings raten, im Sinne der Sicherheit Eures Netzes, fachmännische Hilfe zu Rate zu ziehen, und nicht von hier im Board. Nicht weil es die hier nicht gäbe, sondern weil man hier zwischen Tastatur und Bildschirm nicht alle Details erötern und sinnvolle Beratung leisten kann.

Ausserdem hast du hier schnell zwölf Beiträge und sieben Meinungen zusammen, die Hälfte davon aus consultarischer Sicht - naja, so wie z.B. "Ein Proxy ... gehört immer ...." Wenn ich das lese ... macht man IMMER so oder so, das hat nichts mit Beratung zu tun, ausser es gibt technische Einschränkungen, die etwas nicht anders machen lassen.

 

grizzly999

Link zu diesem Kommentar
Das haben einige/viele Firmen so, dass nur bestimmte Benutzer oder Benutzergruppen ins Internet dürfen.

:D wie arbeiten ohne Internet - das geht? :shock: :eek:

Wie sieht dass dann vom Aufbau her aus? Den ISA direkt ins CN und eine Verbindung über den Proxy dann direkt über die FW ins Internet?

@pastors:

Da es aus meiner Sicht doch etwas an Fachwissen mangelt, würde ich dir allerdings raten, im Sinne der Sicherheit Eures Netzes, fachmännische Hilfe zu Rate zu ziehen, und nicht von hier im Board. Nicht weil es die hier nicht gäbe, sondern weil man hier zwischen Tastatur und Bildschirm nicht alle Details erötern und sinnvolle Beratung leisten kann.

Ausserdem hast du hier schnell zwölf Beiträge und sieben Meinungen zusammen, die Hälfte davon aus consultarischer Sicht - naja, so wie z.B. "Ein Proxy ... gehört immer ...." Wenn ich das lese ... macht man IMMER so oder so, das hat nichts mit Beratung zu tun, ausser es gibt technische Einschränkungen, die etwas nicht anders machen lassen.

 

grizzly999

Das würde ich auch vorschlagen zumal das Thema Sicherheit wirklich viele Aspekte hat. Ein Fehler bzw. eine falsche Einstellung hat in diesem Bereich u. U. fatale Auswirkungen!

Link zu diesem Kommentar
Wie sieht dass dann vom Aufbau her aus? Den ISA direkt ins CN und eine Verbindung über den Proxy dann direkt über die FW ins Internet?

Da gäbe es auf die Schnelle zwei Varianten. Einmal. der ISA ist die Backend FW in einem zweistufigen FW Prinzip. Dann wäre die eine NIC sowieso schon im LAN. Proxy könnte er wunderbar machen, wenn's sein muss mit Authentifizierung, und VPN-Server.

 

Als reiner Proxy würde er hinter der FW im LAN stehen, die Benutzer müssten über ihn (Proxyeintrag im Browser) ins Internet gehen. Der Proxy leitet weiter an die FW, die nur für den Proxy den Port 80 öffnet.

 

grizzly999

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...