Inwiefern schuetzt ein Proxy?

[Manuel Schmidt]

Hallo erstmal.

Mal eine Frage an die Experten hier:
Inwiefern schuetzt eigentlich ein Proxy?

Folgendes Szenario sei angenommen:
[untrusted-Network]-[Router]--[DMZ1]--[Router]--[trusted-Network]
|
[DMZ2]

In der DMZ2 stehe jetzt ein Webserver und ein Mail-Server.
zum Schutze der selbigen vor Angriffen von Ausen stehe in der DMZ1 jetzt
ein Proxy fuer http und fuer smtp.

Letztendlich muessen die Proxys die Anfragen ja auch an die Server in der
DMZ2 weiterleiten.
So auch Anfragen, ein Exploit auf Buffer-Overflows in der Server-Software
sind.
Hier sei CodeRed mit seiner Anfrage (die ja durchaus HTML-Konform ist)
mal als Beispiel genannt.
Aehnliches wuerde ja auch fuer Mail-Server gelten, die durch bestimmte
Headerzeilen exploitbar sein.

Insofern helfen gegen solche Szenarien scheinbar ja nur entsprechend
Konfigurierte, Sichere, gepatchete Server.
Doch wenn der Server so sicher ist, welchen zusaetzlichen Schutz bietet
dann der Proxy davor?

Gruesse

Manuel

[Lutz Donnerhacke]

* Manuel Schmidt wrote:
>Mal eine Frage an die Experten hier:
>Inwiefern schuetzt eigentlich ein Proxy?

Er kann Protokollkonformität erzwingen.

>Folgendes Szenario sei angenommen:
>[untrusted-Network]-[Router]--[DMZ1]--[Router]--[trusted-Network]
> |
> [DMZ2]
>
>In der DMZ2 stehe jetzt ein Webserver und ein Mail-Server. zum Schutze der
>selbigen vor Angriffen von Ausen stehe in der DMZ1 jetzt ein Proxy fuer
>http und fuer smtp.

Gut.

>Letztendlich muessen die Proxys die Anfragen ja auch an die Server in der
>DMZ2 weiterleiten.

Ja.

>So auch Anfragen, ein Exploit auf Buffer-Overflows in der Server-Software
>sind.

Nein. Das kann ein Protokollverstoß sein und entsprechend abgewiesen werden.

>Hier sei CodeRed mit seiner Anfrage (die ja durchaus HTML-Konform ist)
>mal als Beispiel genannt.

Richtig. (Es ist HTTP konform.) Man kann aber zulässige Rahmen beschränken
oder UTF8 kanonifizieren.

>Aehnliches wuerde ja auch fuer Mail-Server gelten, die durch bestimmte
>Headerzeilen exploitbar sein.

Die muß man ausfiltern.

>Doch wenn der Server so sicher ist, welchen zusaetzlichen Schutz bietet
>dann der Proxy davor?

Keinen.

[Denis Jedig]

Manuel Schmidt <ma....@gmx.de> wrote:

> Mal eine Frage an die Experten hier:
> Inwiefern schuetzt eigentlich ein Proxy?

Er erlaubt i.d.R. keine direkten TCP/IP-Verbindungen zur Zielmaschine und
unterbindet damit z.B. alle Angriffe auf den TCP/IP Stack der geschützten
Maschine. Ddarüber hinaus kann er über erweiterte Filtermöglichkeiten
verfügen (z.B. Content, Form oder Menge der Daten)

> Letztendlich muessen die Proxys die Anfragen ja auch an die Server in
> der DMZ2 weiterleiten.

Ja.

> So auch Anfragen, ein Exploit auf Buffer-Overflows in der
> Server-Software sind.

Nichts ist "sicher".

> Hier sei CodeRed mit seiner Anfrage (die ja durchaus HTML-Konform ist)
> mal als Beispiel genannt.

Aber du wärest in der Lage, Anfragen z.B. über ein pattern match zu
filtern, wenn du denn weisst, welche Anfragen "gefährlich" sind.

> Insofern helfen gegen solche Szenarien scheinbar ja nur entsprechend
> Konfigurierte, Sichere, gepatchete Server.

Diese sind ohnehin Grundvoraussetzung.

> Doch wenn der Server so sicher ist, welchen zusaetzlichen Schutz bietet
> dann der Proxy davor?

Indem du eine zusätzliche Sicherheitsstufe einbaust, hast du eine Hürde,
die die Kompromittierung allgemein weniger wahrscheinlich, aber noch lange
nicht unmöglich macht.

--
Denis Jedig

[Bernd Eckenfels]

Manuel Schmidt <ma....@gmx.de> wrote:
> Mal eine Frage an die Experten hier:
> Inwiefern schuetzt eigentlich ein Proxy?

Das kommt auf den Proxy an. Wenn der Proxy dazu ausgeegt ist das Protokoll das
er durchlنكt zu analysieren und zu filtern, dann kann er gegen die ueblichen
Client Schwaechen helfen.

Gegen alle Anfragen hilft das nicht. Im Falle von den gaengigen URL Exploits
kann man inzwischen allerdings filter finden die generell ../.. oder Unicode
oder HTML-Encoding filtern.

Gruss
Bernd

[Frank Taucher]

je nach OSI-layer haben geräte verschiedene funktionen,
Router routen, Bridges bridgen, Switches switchen, ohne irgendwas
über den content/payload der pakete,datagramme usw. wissen zu müssen.
insofern kann ein paketfilter (das ist nicht wirklich das gleiche wie
eine firewall) angriffe auf höheren layern nicht erkennen. proxies
können mit diesen protokollen umgehen und entsprechend "handeln".

gruß
frank

Manuel Schmidt schrieb:

[Felix von Leitner]

Thus spake Frank Taucher (dive...@epost.de):

> je nach OSI-layer haben geräte verschiedene funktionen,
> Router routen, Bridges bridgen, Switches switchen, ohne irgendwas
> über den content/payload der pakete,datagramme usw. wissen zu müssen.
> insofern kann ein paketfilter (das ist nicht wirklich das gleiche wie
> eine firewall) angriffe auf höheren layern nicht erkennen. proxies
> können mit diesen protokollen umgehen und entsprechend "handeln".

epost.de scheint man auch bedenkenlos plonken zu können.

http://learn.to/quote

[Florian Weimer]

Felix von Leitner <usenet-...@fefe.de> writes:

> http://learn.to/quote

Felix, schämst Du Dich überhaupt nicht, diese dysfunktionale
Kommerzkacke zu empfehlen?

[Felix von Leitner]

Thus spake Florian Weimer (f...@deneb.enyo.de):

> > http://learn.to/quote
> Felix, schämst Du Dich überhaupt nicht, diese dysfunktionale
> Kommerzkacke zu empfehlen?

Ich hab mir das ehrlich gesagt vor Jahre mal angeschaut und seit dem
nicht mehr. Mhh, learn.to ist ja wirklich eklig.

Felix

[Rainer Weikusat]

Manuel Schmidt <ma....@gmx.de> writes:
> Doch wenn der Server so sicher ist, welchen zusaetzlichen Schutz bietet
> dann der Proxy davor?

"Kontrollpunkt"