18
WPAD noch Standard in Windows Domänen?
Mooin,
der Titel ist schon alles, was ich mich frage. Wir machen über unseren DHCP-Server in den Serveroptionen über den WPAD Eintrag (http://wpad/wpad.dat) die WPAD-Datei bekannt, die dazu genutzt werden kann, um unseren Proxy zu nutzen.
Ist das Äquivalent dazu nicht in den Interneteinstellungen (inetcpl.cpl) > Connections >LAN settings > Proxy server zu finden?
Nutzt ihr bei euch noch die WPAD? Oder habt ihr sie ersetzt durch etwas anderes? Wenn ja durch was?
Beste Grüße
FUHSSrfe
der Titel ist schon alles, was ich mich frage. Wir machen über unseren DHCP-Server in den Serveroptionen über den WPAD Eintrag (http://wpad/wpad.dat) die WPAD-Datei bekannt, die dazu genutzt werden kann, um unseren Proxy zu nutzen.
Ist das Äquivalent dazu nicht in den Interneteinstellungen (inetcpl.cpl) > Connections >LAN settings > Proxy server zu finden?
Nutzt ihr bei euch noch die WPAD? Oder habt ihr sie ersetzt durch etwas anderes? Wenn ja durch was?
Beste Grüße
FUHSSrfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8487503254
Url: https://administrator.de/contentid/8487503254
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
18 Kommentare
Neuester Kommentar
Moin,
wir nutzen es nicht da Proxylösungen einfach obsolet sind.
Gruß
Spirit
wir nutzen es nicht da Proxylösungen einfach obsolet sind.
Gruß
Spirit
Führ es bitte mal weiter aus. D. h. deine MA sind direkt mit dem Internet verbunden?
Wie steuert ihr den Web-Zugriff, um bestimmte Webseiten zu verbieten… über die Firewall?
Wie steuert ihr den Web-Zugriff, um bestimmte Webseiten zu verbieten… über die Firewall?
Zitat von @FUHSSrfe:
Führ es bitte mal weiter aus. D. h. deine MA sind direkt mit dem Internet verbunden?
Wie steuert ihr den Web-Zugriff, um bestimmte Webseiten zu verbieten… über die Firewall?
Führ es bitte mal weiter aus. D. h. deine MA sind direkt mit dem Internet verbunden?
Wie steuert ihr den Web-Zugriff, um bestimmte Webseiten zu verbieten… über die Firewall?
ja genau, den Zugriff steuere ich über die WAF. Da kann ich alles machen was ich mit einem Proxy auch tun würde.
Traffic aufbrechen usw.
lol - ich mag ja solche generellen aussagen... da die generell auch sinnlos sind. Kleiner Tipp: Nicht jeder Standort hat ne riesige Bandbreite... Ich nutze zB. nen Squid für div. Linux-Server fürs Update um eben Daten zu sparen (und der TO scheint ja auch nen Squid zu nutzen) - und auch die Zeit für den Download...
Allerdings trage ich für die handvoll Rechner die das betrifft (win-server + linux systeme) den Proxy einfach manuell ein... generell würde ich aber eine Konfig wie die wpad nutzen wenns mehr als 5-6 Rechner sind und die auch ein einheitliches OS wie Windows haben.
Zitat von @maretz:
lol - ich mag ja solche generellen aussagen... da die generell auch sinnlos sind. Kleiner Tipp: Nicht jeder Standort hat ne riesige Bandbreite... Ich nutze zB. nen Squid für div. Linux-Server fürs Update um eben Daten zu sparen (und der TO scheint ja auch nen Squid zu nutzen) - und auch die Zeit für den Download...
Allerdings trage ich für die handvoll Rechner die das betrifft (win-server + linux systeme) den Proxy einfach manuell ein... generell würde ich aber eine Konfig wie die wpad nutzen wenns mehr als 5-6 Rechner sind und die auch ein einheitliches OS wie Windows haben.
lol - ich mag ja solche generellen aussagen... da die generell auch sinnlos sind. Kleiner Tipp: Nicht jeder Standort hat ne riesige Bandbreite... Ich nutze zB. nen Squid für div. Linux-Server fürs Update um eben Daten zu sparen (und der TO scheint ja auch nen Squid zu nutzen) - und auch die Zeit für den Download...
Allerdings trage ich für die handvoll Rechner die das betrifft (win-server + linux systeme) den Proxy einfach manuell ein... generell würde ich aber eine Konfig wie die wpad nutzen wenns mehr als 5-6 Rechner sind und die auch ein einheitliches OS wie Windows haben.
Das ist aber auch wirklich der einzige Aspekt für eine Proxy Lösung. Aus Sicht der Filteroption macht es definitiv keinen Sinn mehr und das ist schlicht der Fall wofür oft eine Proxy Lösung eingesetzt wird.
Bei einem Betrieb größer 10k MA ist das vielleicht wirklich angebracht.
Oder auf einem Kreuzfahrtschiff..
.. oder bei Firmen in DE die irgendwo ausserhalb einer Grossstadt leben (wo eben noch nicht immer Internet mit hoher Bandbreite da ist), bei Standorten im Ausland bei denen Bandbreite ebenso ein faktor ist,...
Es gibt halt noch genügend Plätze wo es zumindest überlegenswert wäre. Und klar - FILTER geht besser, der ursprüngliche Zweck eines Proxys war ja auch nicht einen Filter zu machen sondern eben einfach als puffer... Einen Webfilter würde ich heute ebenfalls eher über ne Firewall mit abfrühstücken da man da die Listen erstmal nicht mehr selbst pflegen muss (ggf. entsprechende Subscription vorrausgesetzt). Aber selbst DA kann ein Proxy Sinn machen weils eben dann nur EIN Gerät gibt was Internet benötigt - und somit sind C&C-Viren auch gleich noch etwas eingeschränkter...
Es gibt halt noch genügend Plätze wo es zumindest überlegenswert wäre. Und klar - FILTER geht besser, der ursprüngliche Zweck eines Proxys war ja auch nicht einen Filter zu machen sondern eben einfach als puffer... Einen Webfilter würde ich heute ebenfalls eher über ne Firewall mit abfrühstücken da man da die Listen erstmal nicht mehr selbst pflegen muss (ggf. entsprechende Subscription vorrausgesetzt). Aber selbst DA kann ein Proxy Sinn machen weils eben dann nur EIN Gerät gibt was Internet benötigt - und somit sind C&C-Viren auch gleich noch etwas eingeschränkter...
Wie ist denn heut zu Tage die Cache hit ratio ?
Ich habe in meiner ganzen Karriere nicht eine Proxy-Lösung implementiert und ich bin nicht erst seit gestern dabei.
Für den Internet Traffic sehe ich kaum nutzen von einem Proxy.
Für Updates von den Systemen nutzt man einen Wsus/SCCM oder stellt einfach selbst ein Repo mit Cache Servern hin wenn das ganze wirklich so groß aufgezogen werden muss.
Der Sicherheitsaspekt durch ein Proxy ist ja wenn überhaupt nur marginal. Soweit gehen wir ja anscheinend konform. Bezüglich C&C Callsbacks möchte ich die schon lieber auf meine Security Infrastruktur sehen als das diese durch einen Proxy leise verstummen.
Edit: ich will damit nicht abstreiten, dass irgend wo auf dem Planeten eine schlechte Anbindung existiert. Das mag auch sicherlich an mehreren Orten der Welt so sein.
Aber im Normalfall wird sowas nicht mehr hochgezogen. Ich kennen z.b. keinen Dienstleister der sowas aufbaut. Außer bei Betrieben über 10k Mitarbeitern.
Für den Internet Traffic sehe ich kaum nutzen von einem Proxy.
Für Updates von den Systemen nutzt man einen Wsus/SCCM oder stellt einfach selbst ein Repo mit Cache Servern hin wenn das ganze wirklich so groß aufgezogen werden muss.
Der Sicherheitsaspekt durch ein Proxy ist ja wenn überhaupt nur marginal. Soweit gehen wir ja anscheinend konform. Bezüglich C&C Callsbacks möchte ich die schon lieber auf meine Security Infrastruktur sehen als das diese durch einen Proxy leise verstummen.
Edit: ich will damit nicht abstreiten, dass irgend wo auf dem Planeten eine schlechte Anbindung existiert. Das mag auch sicherlich an mehreren Orten der Welt so sein.
Aber im Normalfall wird sowas nicht mehr hochgezogen. Ich kennen z.b. keinen Dienstleister der sowas aufbaut. Außer bei Betrieben über 10k Mitarbeitern.
naja - cache hit is schon mal gar nich sooo schlecht. Grad wenn man eben hauptsächlich die Updates darüber laufen lässt. Da geht natürlich dann schon einiges an treffern...
Aber natürlich - es hängt halt von der Umgebung ab... wenn ich z.B. ne stabile 100M oder schneller habe würde ich mir die Mühe auch nicht machen. Daher würde ich eben auch nie sagen "Ein Proxy macht immer Sinn" - zB. zuhause nutze ich natürlich auch keinen... Es sollte eben nur zeigen das in der IT Aussagen wie "macht immer Sinn" oder "macht keinen Sinn" idR. falsch sind. Es kommt eben drauf an WO man das macht. Bei dem o.g. Kreuzfahrtschiff über ne SAT-Leitung überlegt man eben ggf. schon eher wenn man die Kosten für Daten hat (wobei das durch Starlink natürlich eben auch wieder relativiert wird)....
Aber natürlich - es hängt halt von der Umgebung ab... wenn ich z.B. ne stabile 100M oder schneller habe würde ich mir die Mühe auch nicht machen. Daher würde ich eben auch nie sagen "Ein Proxy macht immer Sinn" - zB. zuhause nutze ich natürlich auch keinen... Es sollte eben nur zeigen das in der IT Aussagen wie "macht immer Sinn" oder "macht keinen Sinn" idR. falsch sind. Es kommt eben drauf an WO man das macht. Bei dem o.g. Kreuzfahrtschiff über ne SAT-Leitung überlegt man eben ggf. schon eher wenn man die Kosten für Daten hat (wobei das durch Starlink natürlich eben auch wieder relativiert wird)....
Zitat von @maretz:
Es sollte eben nur zeigen das in der IT Aussagen wie "macht immer Sinn" oder "macht keinen Sinn" idR. falsch sind.
Es sollte eben nur zeigen das in der IT Aussagen wie "macht immer Sinn" oder "macht keinen Sinn" idR. falsch sind.
Da hast wirklich Recht.
Jeh länger ich drüber nachdenke, um so mehr Spezialfälle würde mir einfallen wo es schon Sinn machen könnte.
Ich vertrete trotzdem die Meinung, das ein Proxy meisten nicht die beste Option ist.
Moin,
Gruß,
Dani
Nutzt ihr bei euch noch die WPAD?
Ja.Für den Internet Traffic sehe ich kaum nutzen von einem Proxy.
Sehe ich anders. Ist es durchaus ein Modul im Sicherheitskonzept. Outbound Firewall gehört heutzutage einfach zu - auch für Web Traffic. Schau dir mal Lösungen wie z.B. Zscaler an. Damit kann man eine guten Grundschutz für seine Systeme aufbauen, egal ob im Firmennetz, Hotel oder zu Hause.Gruß,
Dani
Quote from @maretz:
Allerdings trage ich für die handvoll Rechner die das betrifft (win-server + linux systeme) den Proxy einfach manuell
Allerdings trage ich für die handvoll Rechner die das betrifft (win-server + linux systeme) den Proxy einfach manuell
Über die Interneteinstellungen (inetcpl.cpl) > Connections >LAN settings > Proxy server (wie im Bild) ? Weil dann könnte man das auch mit GPO automatisieren, statt über WPAD zu laufen?!
//edit: Zitat verkürzt
nun - zitat verkürzt nimmt leider den teil raus das ich eben verschiedene OS habe... und meine Linux-Server interessiert die GPO idR. eben nen Sch...
Quote from @maretz:
nun - zitat verkürzt nimmt leider den teil raus das ich eben verschiedene OS habe... und meine Linux-Server interessiert die GPO idR. eben nen Sch...
nun - zitat verkürzt nimmt leider den teil raus das ich eben verschiedene OS habe... und meine Linux-Server interessiert die GPO idR. eben nen Sch...
Im Falle der Windows Server machst du es über die Vorgehensweise, die ich geschrieben habe oder wie?
Moin,
Gruß,
Dani
Im Falle der Windows Server machst du es über die Vorgehensweise, die ich geschrieben habe oder wie?
möchtest du die Proxy Einstellungen für die Nutzer auf dem Server vorgeben oder für den Server selbst und dessen Dienste?!Gruß,
Dani
Quote from @Dani:
Moin,
Gruß,
Dani
Moin,
Im Falle der Windows Server machst du es über die Vorgehensweise, die ich geschrieben habe oder wie?
möchtest du die Proxy Einstellungen für die Nutzer auf dem Server vorgeben oder für den Server selbst und dessen Dienste?!Gruß,
Dani
Ich möchte den WPAD ad acta legen. Hierzu soll stattdessen über GPOs die Proxyadresse in den Interneteinstellung für die Clients gesetzt werden. Da wir wie unten alles über die WAF steuern.
Am aktuellen Standort hatten wir noch bis vor 5 Jahren mit 10 Mbps zu kämpfen, da war uns unser Proxy wichtig. Seitdem hat sich an der Leitung viel getan und der Proxy wurde durch eine Sophos UTM ersetzt. An der WPAD Einstellung hat sich auch seitdem nichts mehr geändert. Dementsprechend würde ich dieses alte Relikt komplett niederlegen.
Moin,
Was eine WAF mit einem Proxy zu tun hat, verstehe ich nicht. Sind zwei unterschiedliche Produkte und Techniken.
Gruß,
Dani
Seitdem hat sich an der Leitung viel getan und der Proxy wurde durch eine Sophos UTM ersetzt.
warum dann überhaupt noch einen Proxy setzen? Die Sophos ist doch sicher dann am dem Standort das Default Gateway?!Hierzu soll stattdessen über GPOs die Proxyadresse in den Interneteinstellung für die Clients gesetzt werden. Da wir wie unten alles über die WAF steuern.
Die GPO funktioniert grundsätzlich. Aber natürlich nur für Anwendungen, welche auf diese Einstellung von Windows zurückgreifen. Ausgenommen sind natürlich Systemdienste. Hierfür ist die GPO nicht gedacht.Was eine WAF mit einem Proxy zu tun hat, verstehe ich nicht. Sind zwei unterschiedliche Produkte und Techniken.
Gruß,
Dani
1Quote from @Dani:
Hierzu soll stattdessen über GPOs die Proxyadresse in den Interneteinstellung für die Clients gesetzt werden. Da wir wie unten alles über die WAF steuern.
Die GPO funktioniert grundsätzlich. Aber natürlich nur für Anwendungen, welche auf diese Einstellung von Windows zurückgreifen. Ausgenommen sind natürlich Systemdienste. Hierfür ist die GPO nicht gedacht.Mehr wollte ich ja nicht wissen. Danke.
Unser ehemaliger Squid Proxy wurde durch die UTM als Proxy ersetzt und dient jetzt als WAF. Die WAF steht in der DMZ.
