Avatar billede trumf Nybegynder
30. juni 2003 - 16:05 Der er 10 kommentarer og
1 løsning

Web proxy

Hejsa

Er webproxy det samme som cache, eller er der også noget sikkerhed i det ?

Vil en browser på et netværk bag en FW med web proxy, hvor der vælges "opdater" fra højreklik menuen, opdatere fra nettet, eller fra proxyens cache ?
(Det er jo rart som udvikler, at kunne se opdateringer med det samme)
Avatar billede langbein Nybegynder
30. juni 2003 - 16:39 #1
Nei skal ikke legge for mange svar, men joda :), en hver proxy inklusive en web proxy vil ha et element av sikkerhet ved seg. Vanlig web proxy for Linux er Squid. Squid kan konfigureres på en slik måte at det legges inn sikkerhetsregler som filtreringsfunksjoner, men vanligvis så gjør man vel ikke det. Selve proxy funksjonene, dvs at "surfingen" skjer indirekte via proxy gir imidertid et element av sikkerhet. Squid kombineres imidletid i Linux vanligvis med netfilter/iptables på en slik måte at dette gir en samlet god sikerhetsløsning. Konfigureringen pleier "normalt" å være laget slik at man oppnår en ny kopi av nettsiden når man trykker på opdater, ikke den kopien som ligger i cache. (Kjører selv Squid via Red Hat og der fungerer det slik.)
Avatar billede trumf Nybegynder
30. juni 2003 - 17:54 #2
Det er måske det at den er transparent ?
Avatar billede langbein Nybegynder
30. juni 2003 - 18:21 #3
Forresten ... Her på eksperten så har jo sannheten lett for å se slik ut:

1. Den enkleste og derfor dårligste firewall er et static pakkefilter.
2. Den litt bedre firewall er en statefull inspection firewall fordi denne er litt mere "avansert" og derfor sikkrest.
3. Den mest sikkre firewall er en proxy eller apllication level firewll fordi den er mere avansert, komuniserer via flere lag, osv ..

Dette er etter mitt syn en overforenkling av virkeligheten. Man diskuterer for eksempel ikke i denne sammenheng hvilke svakheter som ligger ved en statefull inspection firewall og hvilke argumenter som eventuelt skulle medføre at statefull inspection gir redusert sikkerhet. De fleste ting og løsninger har jo både sine gode og sine dårlige sider. Tilsvarende for proxy firewll. Man diskuterer ikke proxy firewall sine dårlige sider og eventuell argumenter mot og på hvilken måte proxy firewall for eksempel kan medføre redusert sikkerhet.

Sikkerhet er jo et litt abstrakt begrep. Sikkerhet for hvem og hva og på hvilken måte ??

Dersom man konfigurere en Linux firewall man setter opp selv for eksempel på basis av Red Hat så kan man styre disse parametrene selv. Da ville jeg personlig ha valgt vekk proxy delen for å bedre sikkerheten. Likeledes så ville jeg ha gitt statefull inspection delen en nærmere vurdering og sett litt på den totale sammenheng.

Grunnen til at ville valgt bort proxy delen dersom det var om å gjøre å oppnå maksimal sikkerhet, det har sammenheng med trafikkflowen skjer i forhold til Linux kernel. Ønker man maksimal sikkerhet så bør det etter mitt syn ikke finnes en eneste server funksjon på selve firewall maskinen.

Smmotwall 2.0 er jo levert med både statefull inspection og proxy. Tviler i grunnen på at de for alvår nyttegjør application level firewallingen hos Squid slik som det faktisk er mulig å sette opp en slik funksjon, men vet det egentlig ikke.

Det er også en vesentlig problemstilling om man ønsker å oppnå en maksimal sikkerhet for firewall maskinen selv, for serverene på DMZ eller arbeidstasjonene på LAN.

Tror at man kan si det slik at dersom man kjører proxy på selve firewall maskinen så svekker man i noen grad firewall maskinens egen sikkerhet samtidig som LAN maskinenes sikkerhet i utgangspunktet økes noe. Proxy'en ivaretar først og fremst sikkerheten til disse. Faller firewall maskinen så faller jo stort sett det hele.

Det er ikke godt å si hva som egentlig blir effekten av å slå av proxy for Smoothwall om man reelt får den samme bedring av firewall maskinens egen sikkerhet slik man kunne fått det for en Red Hat.

Tror man kan si det slik og så enkelt at Smoothwall sansynligvis er en slags best mulig "blend" og avveining av alle mulige hensyn og engensaper slik at det i praksis ikke spille noen rolle fra eller til om man kjører med eller uten proxy delen aktivisert. Statefull inspection ligger der vel uansett.

Veldig teoretisk sett så skal mam oppnå bedre sikkerhet for LAN maskinene og redusert sikkereht for firewallmaskinen selv ved å kjøre proxy på denne. Tviler på at dettre slår til i praksis når det gjelder Smoothwall. Hvis man ønsker å kjøre proxy eller proxy firewall med en optimal grad av sikkerhet da benytter man to stk PC, og så kjører man i prinsipp pakke firewall på den ene og Proxy og eventuelt andre serverfunksjoner på den annen. (Hvilke blir igjen et avveiningsspørsmål)

De aller fleste firewalls med proxy funksjon er vel i praksis også hybrider, dvs at de både kjører proxy funksjon og pakkefilter samtidig eventuelt med statefull inspection slik som Smoothwall V2 gjør og Smoothwall V 1.0 ikke gjør.

NAT og proxy er ellers to alterenative teknologier for deling av internettforbindelse til arbeidstasjoner på LAN. Smoothwall inneholder dem begge. Man kan kjøre proxy og da er det i prinsipp web proxy og netfilter input chain som ivaretar sikkerheten til LAN maskinene eller man kan kjøre nat og da er det netfilter forward chain som ivaretar sikkerheten til LAN maskinene.

Tviler imidletid sterkt på at noen noengang opplever å bli hacket på LAN fordi man benyttet netfilter forward chain i stedet for netfilter input chain pluss proxy. Vel, i teorien så er det faktisk mulig, men noe helt vanlig problem vil det vel ikke være.

Proxy gir i teorien bedre beskyttelse for maskiner på LAN. I praksis så er det vel heller likt.

Når det gjelder maskinene på DNZ så kommuniserer disse etter all sannsynlighet kun via netfilter forward chain. Inn eller utkopling av proxy vil sannsynligvis derfor være helt uten betydning for maskinene på DMZ segmentet.

For å bedre sikkerheten så bør man kjøre personal firewall på arbeidsstasjonene og innebygde server firewall på serveren som en nivå 2 firewall bak den første.

(Kunne jo ikke la være å legge et svar, he, he ..)
Avatar billede langbein Nybegynder
30. juni 2003 - 18:34 #4
Vedrørende transparent eller ikke transparent proxy .. Skulle vel tro at dette ikke skulle ha noe å si sikkerhetsmessig .. Kommer i hvert fall ikke på noen grunn .. (Så hvis noen andre har noen ideer ..)

Kjører selv ikke transparent proxy fordi dette gir mulighet for å kople ut og inn proxy etter ønske og behov, direkte via web browser.

For store filer og nedlasting av disse så er hastigheten nøyaktig den samme. For store komplekse sider for eksempel avissider så går hastigheten nokså tydelig opp. Noen få web sider har problemer med den ikke transparante proxyen slik at det er greit å kunne slå den fra i web browseren.

Slik som jeg har satt opp proxyen så kjører den på en egen maskin bak firewall og på denne måten så skulle dette gi en teoretisk sikkerhetsforbedring. Tenker aldri på dette i praksis og bruker proxy kun for å speede opp linjen.

Kjører i stedet et pakke filtet der jeg har koplet ut statefull inspection for å unngå den risiko som ligger i statefull inspection metoden mht mulig memory overflow og sammenbrudd i filtering chains. Benytter i stedet static inspection i kombinasjon med ekstra firewall også på arbeidsstasjoner og server. Serveren kjører med statefull inspection fordi denne har et static pakkefilter in front dvs forran seg.
Avatar billede langbein Nybegynder
30. juni 2003 - 18:39 #5
Den firewall jeg har valgt å kople ut statefull inspection på er ellers en hardwarefirewall med begrenset minne og prosessorkapasitet. Vil tro at en PC med Smoothwall både har slike ressurser både med hensyn til prosessorkapasitet og minne at det å kjøre statefull inspection slik som Smoothwall V2 gjør, ikke skulle være noen stor risiko. Ved å bruke statefull inspection så kan man jo for eksempel oppnå bedre beskyttelse for serverene på DMZ.
Avatar billede trumf Nybegynder
30. juni 2003 - 18:56 #6
Stateful inspektion kører vel som default på V2.0 ?
Hvad kan du anbefale af personal firewalls på arbejdsstationerne og serverne ?
Avatar billede langbein Nybegynder
30. juni 2003 - 19:12 #7
Synes selv gratisversjonen av Zonealarm er helt ok for arbeidsstasjonene. Bruker den gamle gratisvarianten av versjon 2.6 Selvfølgelig teoretisk sett noen "teoretiske småmangler" her der, men er meget enkel å konfigurere og fungerer i praksis meget bra. (Kopler man denne direkte mot internett så er vel dette ikke helt bra men etter en Smoothwall så bør det være 100 % ok.)

For servere så er det jo slik at Linux har innebygget hele den firewall funksjonaliteten som Smoothwall har. Forskjellen er jo bare den at smoothwall har et konfigurasjonsgrensenitt og at den er optimalisert ved at den del funksjoner er fjernet. Den beste firewall man kan få til en server det er etter mitt syn en standard Linux med standard gratis firewall, for eksempel Red Hat med firewall aktivisert.

Alternativt så ville jeg brukt Windows 2000 server og også i dette tilfellet så ville jeg bare å ha sørget for å aktivisere den innebygde firewall hos 2000 server. Som firewall for server og som en nivå 2 firewall så fungerer den noenlunde ok, selv om den ikke kommer i nærheten av Linux sin. Den største svakheten med Windows 2000 firewall er at den ikke har filtering ut, dvs at alle typer trojanere og slikt som kommer inn de vil ha forholdsvis fritt spillerom. Normalt så skal man jo ikke få inn særlig mange trojanere på en server med mindre man bruker den som arbeidsstasjon og til å surfe med og ellers hvis man inatallerer gratis programmer men laster fra nettet.

Bruker men 2000 server sin innebygde firewall i kombinasjon med en scan etter trojanere i ny og ne så er man vel på den rimelig sikre side.
Avatar billede langbein Nybegynder
30. juni 2003 - 19:14 #8
Takker for points !

Statefull inspections... Jo jeg sjekket det med å kjøre kommando "iptables -L" Da kunne jeg se at firewall rules var formulert med statefull inspection. Tror ikke man kan slå det av (??)
Avatar billede langbein Nybegynder
30. juni 2003 - 19:23 #9
Man skal jo selvfølgelig ikke kjøre en personal firewall på en server og en personal firewall vil jo egentlig ikke være beregnet til dette, men hvis det eventuelt er en snakk om en win 2000 server som står og surrer på tomgang dvs med lav belastning så ville jeg ha sendt en mail til danske bitguard og spurt dem. Har aldri prøv den, men den har en ganske spennede beskrivelse. Vil eventuelt kunne stoppe utgående trafikk fra eventuelle trojanere dersom man mener at dette er et problem. http://www.tryus.dk/bitguard.asp
Avatar billede trumf Nybegynder
30. juni 2003 - 19:52 #10
Tak for din udholdenhed. Det er nogle fantastiske svar du giver :-)

Jeg har prøvet bitguard, men det er ikke lige et program efter min smag. Det er som om den tager fuldstændigt over. Dette er sikkert fint for dem der "bare" vil føle sig trygge og overlade resten til andre, men jeg er altså typen der også vil have lidt kontrol. Det er kun min umiddelbare opfattelse, og jeg har kun prøvet den i kort tid.

Jeg starter med din første løsning, med ZA og den indbyggede i Win2K.

Tak så myket :-)
Avatar billede langbein Nybegynder
30. juni 2003 - 23:03 #11
Ville gjort nøyaktig det samme. Takker for points !
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester