fuhssrfe
Goto Top

WPAD noch Standard in Windows Domänen?

Mooin,

der Titel ist schon alles, was ich mich frage. Wir machen über unseren DHCP-Server in den Serveroptionen über den WPAD Eintrag (http://wpad/wpad.dat) die WPAD-Datei bekannt, die dazu genutzt werden kann, um unseren Proxy zu nutzen.

Ist das Äquivalent dazu nicht in den Interneteinstellungen (inetcpl.cpl) > Connections >LAN settings > Proxy server zu finden?

2023-11-23_13-15-46_avww6vj3nm

Nutzt ihr bei euch noch die WPAD? Oder habt ihr sie ersetzt durch etwas anderes? Wenn ja durch was?


Beste Grüße
FUHSSrfe

Content-Key: 8487503254

Url: https://administrator.de/contentid/8487503254

Printed on: March 1, 2024 at 19:03 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Nov 23, 2023 at 12:44:07 (UTC)
Goto Top
Moin,

wir nutzen es nicht da Proxylösungen einfach obsolet sind.

Gruß
Spirit
Member: FUHSSrfe
FUHSSrfe Nov 23, 2023 at 12:46:40 (UTC)
Goto Top
Führ es bitte mal weiter aus. D. h. deine MA sind direkt mit dem Internet verbunden?
Wie steuert ihr den Web-Zugriff, um bestimmte Webseiten zu verbieten… über die Firewall?
Member: Spirit-of-Eli
Spirit-of-Eli Nov 23, 2023 at 12:48:12 (UTC)
Goto Top
Zitat von @FUHSSrfe:

Führ es bitte mal weiter aus. D. h. deine MA sind direkt mit dem Internet verbunden?
Wie steuert ihr den Web-Zugriff, um bestimmte Webseiten zu verbieten… über die Firewall?

ja genau, den Zugriff steuere ich über die WAF. Da kann ich alles machen was ich mit einem Proxy auch tun würde.
Traffic aufbrechen usw.
Member: maretz
maretz Nov 23, 2023 at 13:09:47 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Moin,

wir nutzen es nicht da Proxylösungen einfach obsolet sind.

Gruß
Spirit

lol - ich mag ja solche generellen aussagen... da die generell auch sinnlos sind. Kleiner Tipp: Nicht jeder Standort hat ne riesige Bandbreite... Ich nutze zB. nen Squid für div. Linux-Server fürs Update um eben Daten zu sparen (und der TO scheint ja auch nen Squid zu nutzen) - und auch die Zeit für den Download...

Allerdings trage ich für die handvoll Rechner die das betrifft (win-server + linux systeme) den Proxy einfach manuell ein... generell würde ich aber eine Konfig wie die wpad nutzen wenns mehr als 5-6 Rechner sind und die auch ein einheitliches OS wie Windows haben.
Member: Spirit-of-Eli
Spirit-of-Eli Nov 23, 2023 at 16:22:19 (UTC)
Goto Top
Zitat von @maretz:

Zitat von @Spirit-of-Eli:

Moin,

wir nutzen es nicht da Proxylösungen einfach obsolet sind.

Gruß
Spirit

lol - ich mag ja solche generellen aussagen... da die generell auch sinnlos sind. Kleiner Tipp: Nicht jeder Standort hat ne riesige Bandbreite... Ich nutze zB. nen Squid für div. Linux-Server fürs Update um eben Daten zu sparen (und der TO scheint ja auch nen Squid zu nutzen) - und auch die Zeit für den Download...

Allerdings trage ich für die handvoll Rechner die das betrifft (win-server + linux systeme) den Proxy einfach manuell ein... generell würde ich aber eine Konfig wie die wpad nutzen wenns mehr als 5-6 Rechner sind und die auch ein einheitliches OS wie Windows haben.

Das ist aber auch wirklich der einzige Aspekt für eine Proxy Lösung. Aus Sicht der Filteroption macht es definitiv keinen Sinn mehr und das ist schlicht der Fall wofür oft eine Proxy Lösung eingesetzt wird.

Bei einem Betrieb größer 10k MA ist das vielleicht wirklich angebracht.
Oder auf einem Kreuzfahrtschiff..
Member: maretz
maretz Nov 23, 2023 at 16:30:23 (UTC)
Goto Top
.. oder bei Firmen in DE die irgendwo ausserhalb einer Grossstadt leben (wo eben noch nicht immer Internet mit hoher Bandbreite da ist), bei Standorten im Ausland bei denen Bandbreite ebenso ein faktor ist,...

Es gibt halt noch genügend Plätze wo es zumindest überlegenswert wäre. Und klar - FILTER geht besser, der ursprüngliche Zweck eines Proxys war ja auch nicht einen Filter zu machen sondern eben einfach als puffer... Einen Webfilter würde ich heute ebenfalls eher über ne Firewall mit abfrühstücken da man da die Listen erstmal nicht mehr selbst pflegen muss (ggf. entsprechende Subscription vorrausgesetzt). Aber selbst DA kann ein Proxy Sinn machen weils eben dann nur EIN Gerät gibt was Internet benötigt - und somit sind C&C-Viren auch gleich noch etwas eingeschränkter...
Member: Delta9
Delta9 Nov 23, 2023 at 16:33:54 (UTC)
Goto Top
Wie ist denn heut zu Tage die Cache hit ratio ?
Member: Spirit-of-Eli
Spirit-of-Eli Nov 23, 2023 updated at 16:45:17 (UTC)
Goto Top
Ich habe in meiner ganzen Karriere nicht eine Proxy-Lösung implementiert und ich bin nicht erst seit gestern dabei.

Für den Internet Traffic sehe ich kaum nutzen von einem Proxy.

Für Updates von den Systemen nutzt man einen Wsus/SCCM oder stellt einfach selbst ein Repo mit Cache Servern hin wenn das ganze wirklich so groß aufgezogen werden muss.


Der Sicherheitsaspekt durch ein Proxy ist ja wenn überhaupt nur marginal. Soweit gehen wir ja anscheinend konform. Bezüglich C&C Callsbacks möchte ich die schon lieber auf meine Security Infrastruktur sehen als das diese durch einen Proxy leise verstummen.

Edit: ich will damit nicht abstreiten, dass irgend wo auf dem Planeten eine schlechte Anbindung existiert. Das mag auch sicherlich an mehreren Orten der Welt so sein.

Aber im Normalfall wird sowas nicht mehr hochgezogen. Ich kennen z.b. keinen Dienstleister der sowas aufbaut. Außer bei Betrieben über 10k Mitarbeitern.
Member: maretz
Solution maretz Nov 23, 2023 at 17:03:06 (UTC)
Goto Top
naja - cache hit is schon mal gar nich sooo schlecht. Grad wenn man eben hauptsächlich die Updates darüber laufen lässt. Da geht natürlich dann schon einiges an treffern...

Aber natürlich - es hängt halt von der Umgebung ab... wenn ich z.B. ne stabile 100M oder schneller habe würde ich mir die Mühe auch nicht machen. Daher würde ich eben auch nie sagen "Ein Proxy macht immer Sinn" - zB. zuhause nutze ich natürlich auch keinen... Es sollte eben nur zeigen das in der IT Aussagen wie "macht immer Sinn" oder "macht keinen Sinn" idR. falsch sind. Es kommt eben drauf an WO man das macht. Bei dem o.g. Kreuzfahrtschiff über ne SAT-Leitung überlegt man eben ggf. schon eher wenn man die Kosten für Daten hat (wobei das durch Starlink natürlich eben auch wieder relativiert wird)....
Member: Spirit-of-Eli
Spirit-of-Eli Nov 23, 2023 at 17:19:01 (UTC)
Goto Top
Zitat von @maretz:

Es sollte eben nur zeigen das in der IT Aussagen wie "macht immer Sinn" oder "macht keinen Sinn" idR. falsch sind.

Da hast wirklich Recht.
Jeh länger ich drüber nachdenke, um so mehr Spezialfälle würde mir einfallen wo es schon Sinn machen könnte.

Ich vertrete trotzdem die Meinung, das ein Proxy meisten nicht die beste Option ist.
Member: Dani
Dani Nov 25, 2023 at 10:33:18 (UTC)
Goto Top
Moin,
Nutzt ihr bei euch noch die WPAD?
Ja.

Für den Internet Traffic sehe ich kaum nutzen von einem Proxy.
Sehe ich anders. Ist es durchaus ein Modul im Sicherheitskonzept. Outbound Firewall gehört heutzutage einfach zu - auch für Web Traffic. Schau dir mal Lösungen wie z.B. Zscaler an. Damit kann man eine guten Grundschutz für seine Systeme aufbauen, egal ob im Firmennetz, Hotel oder zu Hause.


Gruß,
Dani
Member: FUHSSrfe
FUHSSrfe Nov 27, 2023 updated at 16:59:14 (UTC)
Goto Top
Quote from @maretz:
Allerdings trage ich für die handvoll Rechner die das betrifft (win-server + linux systeme) den Proxy einfach manuell

Über die Interneteinstellungen (inetcpl.cpl) > Connections >LAN settings > Proxy server (wie im Bild) ? Weil dann könnte man das auch mit GPO automatisieren, statt über WPAD zu laufen?!

//edit: Zitat verkürzt
Member: maretz
maretz Nov 27, 2023 at 17:02:19 (UTC)
Goto Top
nun - zitat verkürzt nimmt leider den teil raus das ich eben verschiedene OS habe... und meine Linux-Server interessiert die GPO idR. eben nen Sch...
Member: FUHSSrfe
FUHSSrfe Nov 27, 2023 at 17:35:55 (UTC)
Goto Top
Quote from @maretz:

nun - zitat verkürzt nimmt leider den teil raus das ich eben verschiedene OS habe... und meine Linux-Server interessiert die GPO idR. eben nen Sch...

Im Falle der Windows Server machst du es über die Vorgehensweise, die ich geschrieben habe oder wie?
Member: Dani
Dani Nov 27, 2023 at 18:27:43 (UTC)
Goto Top
Moin,
Im Falle der Windows Server machst du es über die Vorgehensweise, die ich geschrieben habe oder wie?
möchtest du die Proxy Einstellungen für die Nutzer auf dem Server vorgeben oder für den Server selbst und dessen Dienste?!


Gruß,
Dani
Member: FUHSSrfe
FUHSSrfe Nov 29, 2023 updated at 09:05:02 (UTC)
Goto Top
Quote from @Dani:

Moin,
Im Falle der Windows Server machst du es über die Vorgehensweise, die ich geschrieben habe oder wie?
möchtest du die Proxy Einstellungen für die Nutzer auf dem Server vorgeben oder für den Server selbst und dessen Dienste?!


Gruß,
Dani

Ich möchte den WPAD ad acta legen. Hierzu soll stattdessen über GPOs die Proxyadresse in den Interneteinstellung für die Clients gesetzt werden. Da wir wie unten alles über die WAF steuern.

Am aktuellen Standort hatten wir noch bis vor 5 Jahren mit 10 Mbps zu kämpfen, da war uns unser Proxy wichtig. Seitdem hat sich an der Leitung viel getan und der Proxy wurde durch eine Sophos UTM ersetzt. An der WPAD Einstellung hat sich auch seitdem nichts mehr geändert. Dementsprechend würde ich dieses alte Relikt komplett niederlegen.
Member: Dani
Dani Nov 29, 2023 at 17:12:59 (UTC)
Goto Top
Moin,
Seitdem hat sich an der Leitung viel getan und der Proxy wurde durch eine Sophos UTM ersetzt.
warum dann überhaupt noch einen Proxy setzen? Die Sophos ist doch sicher dann am dem Standort das Default Gateway?!

Hierzu soll stattdessen über GPOs die Proxyadresse in den Interneteinstellung für die Clients gesetzt werden. Da wir wie unten alles über die WAF steuern.
Die GPO funktioniert grundsätzlich. Aber natürlich nur für Anwendungen, welche auf diese Einstellung von Windows zurückgreifen. Ausgenommen sind natürlich Systemdienste. Hierfür ist die GPO nicht gedacht.

Was eine WAF mit einem Proxy zu tun hat, verstehe ich nicht. Sind zwei unterschiedliche Produkte und Techniken.


Gruß,
Dani
Member: FUHSSrfe
FUHSSrfe Dec 05, 2023 at 07:28:01 (UTC)
Goto Top
Quote from @Dani:
Hierzu soll stattdessen über GPOs die Proxyadresse in den Interneteinstellung für die Clients gesetzt werden. Da wir wie unten alles über die WAF steuern.
Die GPO funktioniert grundsätzlich. Aber natürlich nur für Anwendungen, welche auf diese Einstellung von Windows zurückgreifen. Ausgenommen sind natürlich Systemdienste. Hierfür ist die GPO nicht gedacht.

Mehr wollte ich ja nicht wissen. Danke.
Unser ehemaliger Squid Proxy wurde durch die UTM als Proxy ersetzt und dient jetzt als WAF. Die WAF steht in der DMZ.