tobitobsen
Goto Top

Proxy nötig

Hallo zusammen,

ich habe eine Frage bezüglich eines Proxys in einem kleinen Unternehmensnetzwerk.
Unser Netzwerk ist folgendermaßen aufgebaut:

Von außen nach innen:
- 2 KabelBW 100Mbit/6Mbit Anschlüsse
- Netgear SRX5308 Router mit Firewall Funktionen (Portforwarding und VPN Funktionen)
LAN 1: 172.17.10.1 /16
LAN 2: 172.18.1.1 /24

- Mailserver (Windows XP mit zwei Netzwerkkarten und KEN! 4 als Proxy, Mailserver, Fax)
Intern: 172.17.0.50 /16
Extern: 172.18.1.2 /24

Ab hier dann ein normales Netzwerk mit Windows 2008 R2 Domäncontroller und DNS Server mit Weiterleitung auf den Netgear Router. IP-Subnet: 172.17.0.0 /16

Die Clients haben folgende IP Konfiguration:
IP: 172.17.0.0 /16
GW: 172.17.0.50 (Mailserver)
DNS: 172.17.0.1 (DC)

Die Clients haben in ihrem Internet Explorer immer als Proxy den Mailserver eingestellt. Dadurch wird die Bandbreite aber enorm verschlechtert. Sobald ich diesen Eintrag einmal rausmache und direkt über den Netgear Router Seiten aufrufe geht alles viel schneller.

Der Proxy verbietet jetzt auch keine bestimmten Seiten oder Dienste, sondern dient nur als globaler Cache für alles.... Virenprüfung findet nur direkt auf den Clients statt. face-smile

Nun die Frage: Besteht nach oben gestellten Netzwerk eine potentielle Gefahr für die Nutzer, wenn sie direkt über den Netgear Router surfen?
Meiner Meinung nicht, da der Router ja zum Internet hin wieder NAT macht und vom Internet eh alle Ports blockt (außer gewisse Ausnahmeregeln).

Ich möchte einfach mal eine zweite Meinung einholen.

Grüße, TobiTobsen

Content-ID: 214861

Url: https://administrator.de/forum/proxy-noetig-214861.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

Bitboy
Bitboy 21.08.2013 aktualisiert um 12:25:40 Uhr
Goto Top
Hi,

Wenn ich dich recht verstanden habe, dann besteht bei dem Zugang direkt über den Netgear prinzipiell dasselbe Risiko wie bei einem normalen Rechner atHome mit einer Fritzbox davor. Letzte und einzige Hürde für eventuelle Malware ist der lokal installierte Virenscanner.

Ein Proxy kann hier natürlich die Sicherheit verbessern wenn ein zusätzlicher Virenscanner den Webtraffic kontrolliert oder durch Blacklists den gewollten oder versehentlichen Zugang zu potentiell gefährlichen Seiten abwürgt. (Von weiteren Vorteilen mal abgesehen).

Um auf deine Frage zurückzukommen. Ja es gibt eine potentielle Gefahr bei der Konfiguration, die Lösung mit Mailserver-Proxy ist aber auch nciht unbedingt besser da hier keine weiteren Malware-Hürden existieren.

Daneben ist natürlich der Patchlevel der Clients für die Websecurity relevant.
TobiTobsen
TobiTobsen 21.08.2013 um 12:45:52 Uhr
Goto Top
Hallo.

Dankeschön. Gut, der Virenscanner wird zentral aktualisiert und sobald sich der Client am Netzwerk anmeldet, wird er auch regelmäßig aktualisiert. Die Erkennungsrate ist auch recht zuverlässig. Ich seh es ja dadurch, dass öfters mal die Warnmeldungen aufploppen und ich benachrichtig werde.

Um es auf den Punkt zu bringen: Ob ich nun einen Proxy ohne Virenscanner und Trojaner Scanner betreibe oder direkt hinter dem Router macht sicherheitstechnisch wohl keinen Unterschied.

Der einzige Mehrwert würde darin bestehen, wenn ich einen Proxy aufsetze der jeden Traffic scannt und die Schadsoftware aussortiert. Richtig?
108012
108012 21.08.2013 um 13:34:34 Uhr
Goto Top
Hallo TobiTobsen,

Die Netgear SRX5308 ist eine Firewall und kein Router.

- Mailserver (Windows XP mit zwei Netzwerkkarten und KEN! 4 als Proxy, Mailserver, Fax)
Also das ist denke ich der Fallstrick und zwar ein ganz dicker!

- Stell einen Mailserver hin und zwar nur für Email und von mir aus auch noch mit !Ken als Faxserver und dann ist es gut.
Und zwar in die DMZ, dort steht dann genau der Mailserver, der Webserver und der ProxyServer!

- Bau einen Proxy Server zusammen der auch die last schultern kann und nicht noch 20 andere Aufgaben hat und das dann bitte auch noch auf einer WindowsXP Maschine, das ist eben ein NoGo und gut ist es.
Ich würde das mit Squid + HAVP & ClamAV machen oder mit Squid + DansGuardian zusammen, fertig.

So und dann geht bzw. funktioniert das auch so schon schneller wenn man die richtige Hardware und Software nimmt.
Es sollte schon Server Hardware sein die für 24/7 und eben auch die Last schultern kann!

IP: 172.17.0.0 /16
GW: IP des Proxy´s
DNS: 172.17.0.1 (DC)

Sobald ich diesen Eintrag einmal rausmache und direkt über den Netgear Router Seiten aufrufe geht alles viel schneller.
Das sollte auch so sein den das ist die stärkste nur Firewall von Netgear und die ist schon seit Jahren im Programm
ohne wirklich Ärger zu machen!

Nun die Frage: Besteht nach oben gestellten Netzwerk eine potentielle Gefahr für die Nutzer, wenn sie direkt über den Netgear Router surfen?
Nein eigentlich nicht aber dann wäre eben auch schon eine UTM Lösung wünschenswert, denn die Scannt auch gleich nach Viren, Malware, Spam und überwacht den Kontent, was ja eigentlich der Squid auch erledigen könnte!

Also für den Squid Proxy sollte es schon je nach Aufkommen ein echter Server sein der aus echter Serverhardware
besteht und das im gestellte Pensum auch mühelos schafft. Xeon E3 oder E5 mit Supermicro Mainboard und
32 GB ECC RAM nebst Intel Server Netzwerkkarten kann man sich da schon einmal gönnen damit es dann auch flott zur
Sache geht!

Meiner Meinung nicht, da der Router ja zum Internet hin wieder NAT macht und vom Internet eh alle Ports blockt (außer gewisse Ausnahmeregeln). Jo eigentlich sollte das so aussehen:
LAN mit Servern und Klienten
DMZ mit Mail- & Faxserver und Proxyserver
Portfowarding in die DMZ und das LAN ist durch NAT & SPI so wie den Firewallreglen geschützt!

Gruß
Dobby
TobiTobsen
TobiTobsen 21.08.2013 um 14:23:57 Uhr
Goto Top
Ich hab mich mal in das Thema DMZ eingelesen, habe aber zum Mailserver noch eine Frage.

Der Mailserver hat jetzt schon zwei Netzwerkkarten (1. interne und 2. externe). Darf in der DMZ der Mailserver dann auch noch zwei Netzwerkkarten haben, oder ist dann die DMZ wieder ausgehebelt?
Die zwei Netzwerkkarten haben dann natürlich zwei unterschiedliche Subnetze.

Wenn du mit Squid argumentierst würdest du vermutlich auch ein Linux nehmen oder? Da ich bisher noch kein Linux im Betrieb habe, eben die Frage welche System ist stabil genug? Debian oder doch eher Red Hat mit Support?

Da Debian mit apt-get Ubuntu ähnelt würde ich nun eher auf Debian setzen. ;)
chiefteddy
chiefteddy 21.08.2013 aktualisiert um 15:36:34 Uhr
Goto Top
Hallo,

reden wir hier über ein ambitioniertes "Home-Netzwerk" oder über eine IT-Struktur in einem (mittelständischen) Unternehmen?

Im letzteren Fall würde ich Dir dringent von einer "Eigenbau-Lösung" auf Linux-Basis abraten. Mit Deinen Linux-Vorkenntnissen wird das für diese sicherheitskritische Aufgabe ein Problem.

Nutze dann lieber eine komerzielle Firewall/UTM-Lösung. Dort mußt Du dich "nur" um das Regelwerk kümmern (was schon komplex genug ist). Das Betriebssystem (Firmware) ist dann nicht auch noch Dein Thema. Außerdem erhältst Du dafür auch Support und im Zweifel installiert man das ganze auch für Dich.

Jürgen

PS: Der Mail-Server sollte natürlich nicht mit einem "Bein" im sicheren Netzwerk stehen, wenn er mit dem anderen "Bein" in der DMZ steht. Tunnelt "jemand" das Betriebssystem auf dem Mail-Server hat er uneingeschränkten Zugang zum sicheren Netz. Man sollte immer nur einen (durch eine Firewall) geschützten Zugang vom unsicheren Netz (Internet) zum sicheren Netz (LAN) haben.
108012
108012 21.08.2013 um 15:36:33 Uhr
Goto Top
Ich hab mich mal in das Thema DMZ eingelesen, habe aber zum Mailserver noch eine Frage.
Dafür ist ja eigentlich eine DNZ auch gemacht worden, denn dort sollte alles platziert werden was direkten
Kontakt zum Internet hat, aber auf das man auch aus dem LAN zugreifen können muss.


Der Mailserver hat jetzt schon zwei Netzwerkkarten (1. interne und 2. externe).
Der Mailserver ist ein WindowsXP PC und kein Server, zumindest für mich nicht, entschuldige bitte,
ich möchte Dir nicht zu nahe treten aber es ist nun einmal so wie es ist.

Darf in der DMZ der Mailserver dann auch noch zwei Netzwerkkarten haben, oder ist dann die DMZ wieder ausgehebelt?
Die zwei Netzwerkkarten haben dann natürlich zwei unterschiedliche Subnetze.
Das ist ebenso ein Unding oder NoGo aber das ist eben auch immer eine Einstellungssache von jedem selber.
"Wenn" einmal jemand in die DMZ einbricht, dann ist er eben noch nicht im LAN und so eine DMZ muss eben
auch abgesichert und verteidigt werden.

Wenn du mit Squid argumentierst würdest du vermutlich auch ein Linux nehmen oder?
Je nach dem, was Du Dir aussuchst, man kann auch etwas nehmen wo man Squid schnell drauf installiert
oder wo er schon enthalten ist. Eine kleine Firewall wie pfSense, mOnOwall, ClearOS oder was auch immer.
Das hat den Vorteil das die System schon gehärtet sind und man nur noch konfigurieren muss.
Mitunter kann man dann auch noch so etwas wie Snort und DansGuardian nehmen und mach alles noch einen Tick
sicherer!

Da ich bisher noch kein Linux im Betrieb habe, eben die Frage welche System ist stabil genug?
Also für so etwas würde ich entweder CentOS nehmen wollen oder gleich ClearOS!
ClearOS

back-to-topSquid

back-to-topSnort

back-to-topDansGuardian

oder HAVP + ClamAV

Debian oder doch eher Red Hat mit Support?
Ich halte das wie folgt:
- RedHat für richtig große externe Server
- openSUSE für richtig große interne Server
- openSUSE + HylaFax als faxserver
- Debian für kleine Abteilungsserver
- openSUSE oder Ubuntu für Destops (PCs)
- CentOS für kleine Appliances
- AstLinux und Asterisk für PBX Server

Das macht aber auch jeder wie es Ihm gefällt, aber CentOS und ClearOS sind eben beide schon gehärtet und
auch für solche Aufgaben ausgelegt bzw. angedacht, daher würde ich eben diese dafür hernehmen.

Gruß
Dobby
TobiTobsen
TobiTobsen 21.08.2013 um 15:38:19 Uhr
Goto Top
Ok. Du hast recht!
Bitboy
Bitboy 21.08.2013 um 16:06:05 Uhr
Goto Top
Auch wenns schon gelöst ist, ergänzend zu Dobbys Aufzählung möchte ich noch endian erwähnen. Ebenfalls eine Firewall mit Squid, dansguardian, havp und clamav (Community und supported Version erhältlich).

Von IP-Cop / IPFire würd ich an der Stelle abraten. Zum einen sind die von der Bedienung sehr ähnlich zu pfSense und zum anderen hatte Squid so seine schwierigkeiten.

Artica Proxy Appliance hatte ich mir auch mal angesehen, war aber selber nicht wirklich überzeugt davon.