Wie zeitgemäß ist ein HTTP-Proxy noch?
Ich wollte mal fragen wie hier die (vermutlich nicht 'einhellige') Meinung so ist:
Ist ein HTTP-Proxy im Unternehmensnetzwerk noch sinnvoll?
Und: Ist ein "Zwangsproxy" sinnvoll? (man könnte den Proxy ja auch 'optional' anbieten)
Wie wird das bei euch im Unternehmen gehandhabt? Ich kenne einige Unternehmen die zwar 'private' Netze intern betreiben und den Internetzugang per NAT erlauben.
Meine Meinung:
- Transparente Proxys sind beinahe gestorben - Browser meckern immer mehr, wenn etwas mit den Zertifikaten nicht stimmt...
- Mit zunehmender Verwendung von HTTPS werden auch die Cache-Hits immer geringer werden - d.h. der HTTP-Proxy verliert zunehmend seinen Vorteil bzgl. der Auslastung der WAN-Anbindung.
- Man handelt sich mit einem Proxy eine Menge Konfigurationsaufwand ein (irgendwie gibt es immer noch zahlreiche Anwendungen die eine eigene Proxy-Konfiguration erfordern) - ist es das wert?
- Virenscanner und Webfilter auf dem Proxy stolpern ebenfalls über das HTTPS-Problem...
Ist ein HTTP-Proxy im Unternehmensnetzwerk noch sinnvoll?
Und: Ist ein "Zwangsproxy" sinnvoll? (man könnte den Proxy ja auch 'optional' anbieten)
Wie wird das bei euch im Unternehmen gehandhabt? Ich kenne einige Unternehmen die zwar 'private' Netze intern betreiben und den Internetzugang per NAT erlauben.
Meine Meinung:
- Transparente Proxys sind beinahe gestorben - Browser meckern immer mehr, wenn etwas mit den Zertifikaten nicht stimmt...
- Mit zunehmender Verwendung von HTTPS werden auch die Cache-Hits immer geringer werden - d.h. der HTTP-Proxy verliert zunehmend seinen Vorteil bzgl. der Auslastung der WAN-Anbindung.
- Man handelt sich mit einem Proxy eine Menge Konfigurationsaufwand ein (irgendwie gibt es immer noch zahlreiche Anwendungen die eine eigene Proxy-Konfiguration erfordern) - ist es das wert?
- Virenscanner und Webfilter auf dem Proxy stolpern ebenfalls über das HTTPS-Problem...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 289888
Url: https://administrator.de/contentid/289888
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
5 Kommentare
Neuester Kommentar
Kommt auf dei Sicherheitspolicy an.
Proxies sind eine Möglichkeit, den Zugriff auf Wenresourcen zu regulieren, z.B. nach Benutzer und Zielen. Daß man https-Traffic speziell behandeln muß, ist wieder ein anderer Punkt. je nach Policy kann man das auch "auftrennen", ohen Bowser-meldungen zu bekommen, wenn man dafür sorgt, vorher die richigen Zertifikate auf die Clients zu verteilen. Ist imerm eine Frage, was einem wichtiger ist, Kontrolle oder Vertraulichkeit.
lks
Proxies sind eine Möglichkeit, den Zugriff auf Wenresourcen zu regulieren, z.B. nach Benutzer und Zielen. Daß man https-Traffic speziell behandeln muß, ist wieder ein anderer Punkt. je nach Policy kann man das auch "auftrennen", ohen Bowser-meldungen zu bekommen, wenn man dafür sorgt, vorher die richigen Zertifikate auf die Clients zu verteilen. Ist imerm eine Frage, was einem wichtiger ist, Kontrolle oder Vertraulichkeit.
lks
Also mit Proxies kannst du noch mehr:
wenn du direkt raus NAT´est mit ner Firewall wird nur mitgeloggt von IP zu IP, aber meist ohne DNS auflösung, also voll fürn eimer wenn du webfiltering machen willst im unternehmen. Prox hingegen zeigt immer an Internes Gerät sogar mit DNS auflösung und externe DNS Addresse.
Wenn man also heraufinden will was für schindluder getrieben wird >> PROXY
Das mit dem Cache hast du selbst erwähnt, klar bringt bei HTTPS wenig aber wurst.
Was du aber mit proxy noch filtern kannst ist z.b. User agents zugriff erlauben oder nicht. damit kann man filtern welcher Brwoser oder Application überhaupt raustelefonieren darf oder eben nicht !! z.B. wenn teilweise alte browser verwendet werden kann man damit sogar alte browser blocken !
Dann kann man proxies auch an Active Directory koppeln oder an PCs, und somit bei bestimmten usern oder PCs Internet gleich ganz ausschalten >> z.b. Lager PC oder Azubi PC usw...
also man hat mit nem proxy schon mehr möglichkeiten, als nur mit einer Firewall. und an der firewall stellt man anstatt "Alle internen" Adressen eben auf nur die Proxy IP darf raus... und schwupp müssen alle übern proxy oder bleiben eben gleich ganz offline
wenn du direkt raus NAT´est mit ner Firewall wird nur mitgeloggt von IP zu IP, aber meist ohne DNS auflösung, also voll fürn eimer wenn du webfiltering machen willst im unternehmen. Prox hingegen zeigt immer an Internes Gerät sogar mit DNS auflösung und externe DNS Addresse.
Wenn man also heraufinden will was für schindluder getrieben wird >> PROXY
Das mit dem Cache hast du selbst erwähnt, klar bringt bei HTTPS wenig aber wurst.
Was du aber mit proxy noch filtern kannst ist z.b. User agents zugriff erlauben oder nicht. damit kann man filtern welcher Brwoser oder Application überhaupt raustelefonieren darf oder eben nicht !! z.B. wenn teilweise alte browser verwendet werden kann man damit sogar alte browser blocken !
Dann kann man proxies auch an Active Directory koppeln oder an PCs, und somit bei bestimmten usern oder PCs Internet gleich ganz ausschalten >> z.b. Lager PC oder Azubi PC usw...
also man hat mit nem proxy schon mehr möglichkeiten, als nur mit einer Firewall. und an der firewall stellt man anstatt "Alle internen" Adressen eben auf nur die Proxy IP darf raus... und schwupp müssen alle übern proxy oder bleiben eben gleich ganz offline
Moin,
Gruß,
Dani
Ist ein HTTP-Proxy im Unternehmensnetzwerk noch sinnvoll?
Wüsste kein Argument mehr, außer den Mehraufwand an Arbeitszeit und Nerven. Alle von @ThePinky777 genannte Punkte lassen sich mit UTM - Geräte problemlos abbilden. Wir haben inzwischen alle Proxies vor 2 Jahren aus allen Unternehmensnetzwerken entfernt.Gruß,
Dani
Zitat von @Dani:
Moin,
Moin,
Ist ein HTTP-Proxy im Unternehmensnetzwerk noch sinnvoll?
Wüsste kein Argument mehr, außer den Mehraufwand an Arbeitszeit und Nerven. Alle von @ThePinky777 genannte Punkte lassen sich mit UTM - Geräte problemlos abbilden. Wir haben inzwischen alle Proxies vor 2 Jahren aus allen Unternehmensnetzwerken entfernt.UTM-Geräte sind u.a. Proxies - oft transparent.
lks