proxy ode forward

[Steffi S.]

hallo

was ist besser:
wenn ich eine iptable firewall habe, soll ich alle dienste ( ftp, http,
..)

über einen proxy ( squid ,dante ,.. ) laufen lassen.

ODER
ist es besser auf der firewall keine proxy zu installalieren und alle
dienste über forward regeln zu aktivieren.

Mein gedanke:
wenn ich alles über proxy´s mache, kann der angreifer den proxy
angreifen.
wenn ich alles über forward mache, dann haben trojaner mehr chancen!!

DANKE

Steffi

[1...@0x1.li]

Hi Steffi,
normalerweise ist der Proxy auch gar nicht auf der Firewall,
sondern dahinter in Deinem privaten Netz.
Thorsten

[Andreas Thalau]

On Fri, 28 Jun 2002 10:27:43 +0200, Steffi S. <ste...@sani-koch.de>
wrote:

Hallo Steffi,

>was ist besser:
>wenn ich eine iptable firewall habe, soll ich alle dienste ( ftp, http,
>..)
>
>über einen proxy ( squid ,dante ,.. ) laufen lassen.
>
>ODER
>ist es besser auf der firewall keine proxy zu installalieren und alle
>dienste über forward regeln zu aktivieren.

Der Proxy bietet Dir weit mehr Möglichkeiten als eine Zugriffsteuerung
auf Basis der Quell/Ziel IP. Du kannst dort z.B. auch Content filtern,
die Daten vorher durch einen Virenscanner schicken und (je nach
Konfiguration) auch Bandbreite durch Caching sparen.

Eigentlich würde man einen Proxy nicht unbedingt auf dem Firewallrechner
installieren, sondern auf einem separaten Host. Das ist jedoch insgesamt
eine konzeptionelle Frage, die mit entsprechender Literatur gelöst
werden sollte. Wo man diese(n) Host(s) aufstellt, hängt vom Netzlayout
ab. Als guter Einstieg wäre "Einrichten von Internet Firewalls"[1] von
o´Reilly anzuraten. Dort sind Beispiele zu verschiedenen Setups sowie
deren Vor- und Nachteile gut beschrieben.

Wenn der Proxy nur am internen Interface lauscht ist ein Angriff von
außen eigentlich "nur" durch fehlerhafte Requests/Antworten möglich,
AFAIK. Irgendeine Squid Version hatte da ein Problem (ich kann mich
nicht mehr erinnern welche und was genau das war) welches denn Squid
durch bestimmte requests zum abschmaddern gebracht hat.

Im übrigen ist auch iptables (so wie jede andere Software auch) nicht
davor sicher, angegriffen zu werden.

Du wirst, je nach Anforderung und eingesetzter Software, allerdings das
eine oder andere nicht über den Proxy machen können - Online Spiele
bilden dort z.B. eine nicht immer Proxyfähige Anwendung - für die Du
Forwarding benötigen würdest.

HTH
Andreas

[1] http://www.oreilly.de/catalog/fire2ger/

[Andreas Thalau]

Sicherer ist es, ihn in die DMZ zu stellen. Jedoch beötigst Du dann zwei
Router (einen inneren und eine außen). vgl. dazu
http://www.oreilly.de/catalog/fire2ger/chapter/ch06.htm

"Architekturen mit überwachten Hosts" und
"Architekturen mit überwachtem Teilnetz"

Gruß
Andreas

[1...@0x1.li]

Andreas Thalau wrote:
> Sicherer ist es, ihn in die DMZ zu stellen. Jedoch beötigst Du dann zwei
> Router (einen inneren und eine außen). vgl. dazu
> http://www.oreilly.de/catalog/fire2ger/chapter/ch06.htm
>
> "Architekturen mit überwachten Hosts" und
> "Architekturen mit überwachtem Teilnetz"

Hi Andreas,
was dort beschrieben wird, ist etwas rudimentaer, und DMZs
kommen dort auch gar nicht vor. Der Proxy kommt in das Netz,
aus dem die initialen Anfragen stammen. In einer DMZ waere er
sofort wieder angreifbar, ausserdem muesste die Kommunikation
zwischen DMZ und privatem Netz aufgebohrt werden--wozu dann die
DMZ? Die Gefahr des Uebergriffs von einem kompromittierten
DMZ-Rechner ins PN ist zu gross.
Schoen aber, dass oreilly auch Bastion Hosts erwaehnt hat
(wenn auch an den falschen Stellen und ohne Links zu Howtos).
Thorsten

[Andreas Thalau]

On Fri, 28 Jun 2002 15:10:29 +0200, 1...@0x1.li wrote:

>Andreas Thalau wrote:
>> Sicherer ist es, ihn in die DMZ zu stellen. Jedoch beötigst Du dann zwei
>> Router (einen inneren und eine außen). vgl. dazu
>> http://www.oreilly.de/catalog/fire2ger/chapter/ch06.htm
>>
>> "Architekturen mit überwachten Hosts" und
>> "Architekturen mit überwachtem Teilnetz"
>Hi Andreas,

Hi Thorsten,

>was dort beschrieben wird, ist etwas rudimentaer,

Hilft doch aber, wie ich finde, einen Überblick unterschiedlicher
Möglichkeiten zu bekommen.

>und DMZs kommen dort auch gar nicht vor.

Die Buchstabenfolge "DMZ" nicht, daß stimmt wohl. Aber wie verstehe ich
sonst "Grenznetz"?

>Der Proxy kommt in das Netz, aus dem die initialen Anfragen stammen.

Wenn ich mir die dortigen Empfehlungen in Bezug auf Bastion Hosts
anschaue eher nicht.

>In einer DMZ waere er sofort wieder angreifbar, ausserdem muesste die
>Kommunikation zwischen DMZ und privatem Netz aufgebohrt werden--wozu
>dann die DMZ?

Gut, ich stelle also einen Proxy ins PN der einen Parent im Grenznetz
benutzt? Dann darf nur noch der Proxy mit dem Proxy reden und nicht mehr
alle Clients mit dem im Grenznetz stehenden Proxy. Wärst Du damit
einverstanden?

>Die Gefahr des Uebergriffs von einem kompromittierten DMZ-Rechner ins
>PN ist zu gross.

Welchen Unterschied macht es für den Angreifer, ob er einen im Grenznetz
stehenden Proxy als Sprungbrett ins PN benutzen muß oder einen im PN
stehenden Proxy inne hat? Es liegt ein Router/Paketfilter dazwischen, an
dem er noch vorbei muß.

Bitte um Korrektur, wenn ich Mist schreibe. Gruß solange

Andreas"der jetzt ins Wochenende geht"Thalau

[1...@0x1.li]

Hi Andreas,

Andreas Thalau wrote:
> Die Buchstabenfolge "DMZ" nicht, daß stimmt wohl. Aber wie verstehe ich
> sonst "Grenznetz"?

Dieses "Grenznetz" soll wohl den Bereich rund um die (erste) Firewall
darstellen, zwischen den Routern zum Internet, zum PN und zur DMZ.

> Wenn ich mir die dortigen Empfehlungen in Bezug auf Bastion Hosts
> anschaue eher nicht.

Bastion Hosts dienen dazu, den Netzverkehr zu checken und alles
Verdaechtige zu loggen und rauszuschreiben, ggf. auch den Logserver
fuer die Rechner in ihrem Netz zu fuehren.

> Gut, ich stelle also einen Proxy ins PN der einen Parent im Grenznetz
> benutzt? Dann darf nur noch der Proxy mit dem Proxy reden und nicht mehr
> alle Clients mit dem im Grenznetz stehenden Proxy. Wärst Du damit
> einverstanden?

Der Proxy ist der einzige im PN, der durch die Firewall raus darf.
Er kuemmert sich genau um die Ports und berechtigte Clients,
waehrend die Firewall nur noch die IP des Proxys checkt. Ein
Parent o. ae. ist nicht notwendig, da die Router fuer den Proxy
eine statische Hostroute vorliegen haben.

> Welchen Unterschied macht es für den Angreifer, ob er einen im Grenznetz
> stehenden Proxy als Sprungbrett ins PN benutzen muß oder einen im PN
> stehenden Proxy inne hat? Es liegt ein Router/Paketfilter dazwischen, an
> dem er noch vorbei muß.

Eben, der Filter kommt erst mit der Firewall, also im PN. Die DMZ
(DeMilitarisierte Zone) ist ein Netz, in dem Services nach aussen
angeboten werden, und die auch standig unter "Beschuss" sind. Einen
Server in der DMZ zu "verlieren", ist trauriger Alltag. Server im
PN zu verlieren, wird sehr viel teurer, daher die strikte Trennung.
Thorsten

[Andreas Thalau]

1...@0x1.li wrote:
> Hi Andreas,
Thorsten,

wir werden hier Off-Topic...Es ist zwar ein interessantes Thema, aber
nicht für alt.linux.suse...;o). Vielleicht sollten wir das per Mail
weiterführen.

>> Die Buchstabenfolge "DMZ" nicht, daß stimmt wohl. Aber wie verstehe ich
>> sonst "Grenznetz"?
> Dieses "Grenznetz" soll wohl den Bereich rund um die (erste) Firewall
> darstellen, zwischen den Routern zum Internet, zum PN und zur DMZ.

mmh..., ziemlich weit vorn in [1]:

---------------------SNIP---------------------
Grenznetz:
Ein Netz, das zwischen ein geschütztes und ein externes Netz eingefügt
wird, um eine weitere Schutzschicht zu schaffen. Ein Grenznetz wird
manchmal auch DMZ genannt....
---------------------SNAP---------------------

Das hier gezeigte Grenznetz stellt also exakt das Netz zwischen dem
inneren Router/Filter und dem äußeren Router/Filter (welcher an das
"böse Internet[tm]" angeschlossen ist) dar.

>> Wenn ich mir die dortigen Empfehlungen in Bezug auf Bastion Hosts
>> anschaue eher nicht.
> Bastion Hosts dienen dazu, den Netzverkehr zu checken und alles
> Verdaechtige zu loggen und rauszuschreiben, ggf. auch den Logserver
> fuer die Rechner in ihrem Netz zu fuehren.

ich finde dazu folgende Beschreibung[1]:

--------------------SNIP-----------------
Bastion-Host:
ein Computersystem, das besonders geschützt werden muß, da es für
Angreifer prädestiniert ist - in der Regel, weil es dem Internet
offensteht und eine wichtige Anlaufstelle für Benutzer interner Netze
ist....
--------------------SNAP-----------------

"offensteht" ist hier allerdings in einem anderen Kontext gemeint, da
davon ausgegangen wurde, daß auf dem Bastion-Host Dienste nach außen
angeboten werden (z.B. www+ftp).

eine Seite weiter heißt es dann noch:

--------------------SNIP-----------------
Eine der Hauptaufgaben des Bastion Hosts besteht darin, als Proxy-Server
für die verschiedenen Dienste zu agieren. Dazu wird entweder spezielle
Proxy-Server-Software für bestimmte Protokolle wie z.B. HTTP oder FTP
verwendet, oder es werden Standard-Server für Protokolle wie z.B. SMTP
eingesetzt, die keine zusätzlichen Proxies benötigen.
--------------------SNAP-----------------

[1]"Einrichten von Internet Firewalls 1. Auflage" ISBN3-930673-31-2

>> Gut, ich stelle also einen Proxy ins PN der einen Parent im Grenznetz
>> benutzt? Dann darf nur noch der Proxy mit dem Proxy reden und nicht mehr
>> alle Clients mit dem im Grenznetz stehenden Proxy. Wärst Du damit
>> einverstanden?
> Der Proxy ist der einzige im PN, der durch die Firewall raus darf.
> Er kuemmert sich genau um die Ports und berechtigte Clients,
> waehrend die Firewall nur noch die IP des Proxys checkt. Ein
> Parent o. ae. ist nicht notwendig, da die Router fuer den Proxy
> eine statische Hostroute vorliegen haben.

Deine Variante würde doch aber bedeuten, daß ein Angreifer, welcher
durch einen exploit in den Proxy einbricht und dadurch evtl. root
access hat, sich bereits in Deinem lokalen Netz befindet.

Deshalb würde ich der Variante

Internet---Firewall---Proxy---Firewall---(Proxy)---Lokales Lan

den Vorzug vor

Internet---Firewall---Proxy---Lokales Lan

geben wollen. Oder habe ich da irgendetwas mis(t)verstanden?

> Einen Server in der DMZ zu "verlieren", ist trauriger Alltag.

Mein Beileid....bisher blieb ich verschont. Nun gut, ich will nicht so
sein - ein FTP und ein ssh gehen auf mein Konto...*grrr*

--
falscher oder fehlender Kaffee. Benutzer angehalten.

[1...@0x1.li]

Andreas Thalau wrote:
> Vielleicht sollten wir das per Mail weiterführen.

OK.

> Das hier gezeigte Grenznetz stellt also exakt das Netz zwischen dem
> inneren Router/Filter und dem äußeren Router/Filter (welcher an das
> "böse Internet[tm]" angeschlossen ist) dar.

Wie befuerchtet. Die Gleichsetzung mit einer DMZ mag ich immer noch nicht.
Was die Definition fuer "Bastion Hosts" betrifft, habe ich etwas
spannendes in der RFC 2828, Seite 19 gefunden (http://RFC.net/rfc2828.txt):
" $ bastion host
(I) A strongly protected computer that is in a network protected
by a firewall (or is part of a firewall) and is the only host (or
one of only a few hosts) in the network that can be directly
accessed from networks on the other side of the firewall."
Also im Original noch ganz was anderes. Man lernt halt nie aus.
Merci fuer den freundlichen Kick.

> Nun gut, ich will nicht so
> sein - ein FTP und ein ssh gehen auf mein Konto...*grrr*

Jepp, wichtig ist halt, sowas rechtzeitig zu merken und beim naechsten
Aufbau NOCH paranoider zu sein >:)
Thorsten