pastors 10 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Hi, meine Firma möchte für die Clients im LAN einen Proxy verwenden. In erster Linie zum Cachen von Webzugriffen. Da hat sich für uns der MS ISA-Server angeboten. Der ISA-Server wird von einer zustäzlichen Firewall geschützt. Doch wo stellt man solch eine Maschine am besten ab. Die Maschine ist von außen nicht zugägnlich. Ich tendiere eher im LAN und mein Kollege meint der Proxy wäre besser in der DMZ aufgehoben. Meine zweite Frage... ist es sinnvoll auf einem Proxy auch einen VPN-Tunnel einzurichten und wo stellt man Proxy+VPN am besten hin? Bin leider kein Netzwerker und irgendwie erzählt jeder einem etwas anderes. Vielleicht kann jemand weiterhelfen über einen sinnvollen Einsatz. Danke Mike Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Hallo Mike, mal kurz, also ein WebProxy gehört eigentlich immer in die DMZ! Da er wie du ja schon sagtest in erster Linie für die HTTP/FTP-Connects zustädig sein soll, was soll so eine Maschine im LAN?! Thema VPN ist event. ein Thema für sich. Prinzipiell schadet die DMz ja nicht, eventuell kannst du ja auch in der FW ein VPN konfigurieren. Die Frage wird hier sein, was beabsichtigst du genau? Wird VPN gewünscht oder event. nur SSH? Auf welche(n) Rechner?.... Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Hi, Proxy und VPN Gateway sind auf jeden Fall in der DMZ am besten aufgehoben. Dafür sind die DMZ's ja da. P. S. Für das VPN und den Proxy solltest du selbstverständlich jeweils eine DMZ einrichten die auch untereinander abgesichert ist. Gruß Zitieren Link zu diesem Kommentar
pastors 10 Geschrieben 20. März 2006 Autor Melden Teilen Geschrieben 20. März 2006 Hi, danke für die antworten. Leider kann ich aus technischen Gründen den Proxy und VPN-Server nicht logisch trennen. Habe noch eine Frage bzgl. des VPN in der DMZ. Unser ISA-Server hat zwei Netzwerkkarten, eine geht in die DMZ und die andere ist im moment noch brach. Die zweite müsste doch eigentlich in mein LAN zeigen wenn ich VPN-Clients Zugriff auf mein LAN gewähren möchte. Oder wie würdet ihr sowas einrichten? Grüßle Mike Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Ich sehe bisher keinen zwingenden Ansatz einen REINEN Proxyserver (so man andere Firewalls hat), nicht im LAN aufzustellen, und ich kenne viele, die das so haben. Alleine schon der Fakt, dass eine Authentifizierung und damit Zugriffsteuerung im AD möglich ist (beim ISA z.B.) legt sowas nahe. Übliche Schutzvorkehrungen wie HTTP-Filter für Malware, Virenscanner usw. auf dem Proxy setze ich als gegeben voraus. Aber ein Nur-Proxy?! Ins LAN ;) Wenn er auch noch VPN machen soll, dan bietet sich ISA hervorragend als Back-End-Firewall mit proxy in einem an grizzly999 Zitieren Link zu diesem Kommentar
pastors 10 Geschrieben 20. März 2006 Autor Melden Teilen Geschrieben 20. März 2006 Hi, mein Problem ist, ich weiß nicht wo ich den ISA am sinnvollsten hinstelle. Vielleicht beschreibe ich kurz das Netzwerk. Wir haben eine Firewall mit zwei DMZs. An der Firewall ist ein Router der das Netz in zwei VLANs aufteilt. Das eine ist für die Clients und im anderen stehen zwei bis drei Server. Wo liegen die Vor- und Nachteile den ISA (Proxy- und VPN funktionalität) in die DMZ zu legen? Mike Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Hi,mein Problem ist, ich weiß nicht wo ich den ISA am sinnvollsten hinstelle. Vielleicht beschreibe ich kurz das Netzwerk. Wir haben eine Firewall mit zwei DMZs. An der Firewall ist ein Router der das Netz in zwei VLANs aufteilt. Das eine ist für die Clients und im anderen stehen zwei bis drei Server. Wo liegen die Vor- und Nachteile den ISA (Proxy- und VPN funktionalität) in die DMZ zu legen? Mike Hi, ganz einfach. Sicherheit. Die WS kommen nur über den Proxy ins Inet. Der Verkehr von und zum Proxy wird hierbei schon von der Firewall (optimal aber meist zu teuer wäre zweistuffig) gefillter. Die Verbindung der WS wird am Proxy sauber getrennt und neu aufgebaut. Der von grizzly999 erwähnte Content & Virenscanner kann hierbei eine weitere Filterung des übertragen Inhaltes vornehmen. Das Aufstellen eines Proxy im Lan der eine Auth. über das AD vornimmt habe ich bis jetzt in der praxis noch nicht gesehen - es würde sich für mich auch die Frage stellen ob das Sicherheitstechnisch Sinn macht. Auf jeden Fall müsste man bei einer solchen Konfiguration jedoch den Internetport der Firewall an den Proxy binden um ein Umgehen des Proxys zu verhindern. Ich würde allerdings weiterhin davon abraten das so zu machen. Gruß Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Das Aufstellen eines Proxy im Lan der eine Auth. über das AD vornimmt habe ich bis jetzt in der praxis noch nicht gesehen - es würde sich für mich auch die Frage stellen ob das Sicherheitstechnisch Sinn macht. Das haben einige/viele Firmen so, dass nur bestimmte Benutzer oder Benutzergruppen ins Internet dürfen. @pastors: Da es aus meiner Sicht doch etwas an Fachwissen mangelt, würde ich dir allerdings raten, im Sinne der Sicherheit Eures Netzes, fachmännische Hilfe zu Rate zu ziehen, und nicht von hier im Board. Nicht weil es die hier nicht gäbe, sondern weil man hier zwischen Tastatur und Bildschirm nicht alle Details erötern und sinnvolle Beratung leisten kann. Ausserdem hast du hier schnell zwölf Beiträge und sieben Meinungen zusammen, die Hälfte davon aus consultarischer Sicht - naja, so wie z.B. "Ein Proxy ... gehört immer ...." Wenn ich das lese ... macht man IMMER so oder so, das hat nichts mit Beratung zu tun, ausser es gibt technische Einschränkungen, die etwas nicht anders machen lassen. grizzly999 Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Das haben einige/viele Firmen so, dass nur bestimmte Benutzer oder Benutzergruppen ins Internet dürfen. :D wie arbeiten ohne Internet - das geht? :shock: :eek: Wie sieht dass dann vom Aufbau her aus? Den ISA direkt ins CN und eine Verbindung über den Proxy dann direkt über die FW ins Internet? @pastors: Da es aus meiner Sicht doch etwas an Fachwissen mangelt, würde ich dir allerdings raten, im Sinne der Sicherheit Eures Netzes, fachmännische Hilfe zu Rate zu ziehen, und nicht von hier im Board. Nicht weil es die hier nicht gäbe, sondern weil man hier zwischen Tastatur und Bildschirm nicht alle Details erötern und sinnvolle Beratung leisten kann. Ausserdem hast du hier schnell zwölf Beiträge und sieben Meinungen zusammen, die Hälfte davon aus consultarischer Sicht - naja, so wie z.B. "Ein Proxy ... gehört immer ...." Wenn ich das lese ... macht man IMMER so oder so, das hat nichts mit Beratung zu tun, ausser es gibt technische Einschränkungen, die etwas nicht anders machen lassen. grizzly999 Das würde ich auch vorschlagen zumal das Thema Sicherheit wirklich viele Aspekte hat. Ein Fehler bzw. eine falsche Einstellung hat in diesem Bereich u. U. fatale Auswirkungen! Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 20. März 2006 Melden Teilen Geschrieben 20. März 2006 Wie sieht dass dann vom Aufbau her aus? Den ISA direkt ins CN und eine Verbindung über den Proxy dann direkt über die FW ins Internet? Da gäbe es auf die Schnelle zwei Varianten. Einmal. der ISA ist die Backend FW in einem zweistufigen FW Prinzip. Dann wäre die eine NIC sowieso schon im LAN. Proxy könnte er wunderbar machen, wenn's sein muss mit Authentifizierung, und VPN-Server. Als reiner Proxy würde er hinter der FW im LAN stehen, die Benutzer müssten über ihn (Proxyeintrag im Browser) ins Internet gehen. Der Proxy leitet weiter an die FW, die nur für den Proxy den Port 80 öffnet. grizzly999 Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 21. März 2006 Melden Teilen Geschrieben 21. März 2006 Das haben einige/viele Firmen so, dass nur bestimmte Benutzer oder Benutzergruppen ins Internet dürfen. Ist bei uns gerade nicht so, kenne das aber auch von anderen Firmen. Finde das vor allem mit dem ISA nicht abwägig, den Proxy im LAN zu haben, da ja auf dem ISA auch nur das klappt, was in der Rule-Base steht... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.