Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Allgemein: Proxy als Teil der Sicherheit?

    Scheduled Pinned Locked Moved
    Allgemeine Themen
    3
    6
    750
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tpf
      last edited by

      Servus,
      ich würde mich hier gerne austauschen, bin auf Eure Meinung gespannt und lege meine einfach mal dar:
      In sensiblen Bereichen ist es ja nur sinnvoll, Rechnern keine direkte Internetkommunikation zu ermöglichen. Wenn überhaupt, sind diese über einen Proxy ins Internet zu lassen. Nicht transparent, sondern gezielt mit Authentisierung. Man erreicht hierdurch zumindest eine erschwerte Kommunikation, nicht jedes Tool und Skript geht sofort ins Internet. Dadurch lassen sich eventuell auch Ransomware verhindern, die nicht nachladen können. Außerdem liegt der Proxy außerhalb des eigenen LAN (zweistufige Firewall) und kann - sollte er wirklich mal kompromittiert sein - nicht ins LAN eskalieren. Ausgehend ist das LAN einfach komplett zu, wenn nicht zweifelsfrei unbedingt eine direkte Route benötigt wird.

      Natürlich erschweren Proxys die Nutzung ganz erheblich. Squidguard wird zunehmend unattraktiv, die Shalla's-List gibt es nicht mehr. Das Whitelistverfahren ist extrem aufwendig, weil Webseiten heute über dutzende andere URLs Inhalte transportieren. Da bleibt nur die Blacklist, wenn man das Internet brauchbar nutzen können möchte. Ich klemme Squid hierzu an pfBlockerNG und arbeite mit entsprechenden Listen, statt diese im Squidguard zu verwenden.

      Wie ist es mit dem Filtern von z.B. Javascript? Was filtert ihr auf dem Proxy direkt raus? Es hat ja einen gewissen Charme, Dateitypen gleich im Squid zu filtern.

      Es ist heute eine Riesenaufgabe, Rechnersysteme vor Viren und sonstigen Angriffen zu schützen. Wenn Nutzer auf die falsche Mail klicken, knallt es von innen. Von innen anzugreifen ist ja auch wesentlich einfacher, als von außen zu versuchen die Firewall zu knacken. Im eine Endpoint-Protection kommt man nicht umhin. Wohl dem, der gerade nicht Kaspersky nutzt 😁

      Danke für Eure Zeit!

      Grüße

      10 years pfSense! 2006 - 2016

      noplanN 1 Reply Last reply Reply Quote 0
      • noplanN
        noplan @tpf
        last edited by

        @tpf

        Aha
        Du machst also eine man in the middle attack um den https traffic über den proxy zu bringen?

        Wie viel % deines traffics läuft nicht über https?

        Ich hab auch netze die dürfen nicht ins WAN ja die dürfen nirgends hin, kann man machen naja spaßig is was anderes.

        Bin ja gespannt was da rauskommt.

        Ich würd dir nen Besuch in der nächsten User Group Runde
        1tercFreitag im Monat immer 17:00 Start empfehlen da werden solche Sachen immer gern beplaudert

        LgNp

        T 1 Reply Last reply Reply Quote 0
        • T
          tpf @noplan
          last edited by

          @noplan
          Servus,
          ja, ich betreibe MITM. Es gibt Whitelist-Seiten wie z.B. die der Banken oder sonstige, wirklich kritische und an sich harmlose Verbindungen. Die werden nicht geöffnet.

          Aber sonst wird alles aufgemacht. Schon alleine wegen der AV-Prüfung. Die finde ich ausgesprochen wichtig. Es kommt durchaus vor, dass der AV auf dem Client nicht richtig funktioniert.

          Danke für den Hinweis zum Treffen - diesen Freitag werde ich es nicht schaffen. Ich werde aber zusehen, dass ich beim nächsten Mal dabei bin.

          Grüße

          10 years pfSense! 2006 - 2016

          noplanN 1 Reply Last reply Reply Quote 0
          • noplanN
            noplan @tpf
            last edited by

            @tpf

            Ad uergroup ist ja eh erst... Ja oha nächste Woche.. 🙄

            Erwischt du wirklich was mit dem AV im proxy was der AV am Client
            Nicht erwischt... ClamAV ist ja jetzt nicht so bekannt für seine top aktuellen Signaturen im vgl zu in Unternehmen eingesetzten AV (ich möchte jetzt ja nicht in den vgl mit Freeware AV am Desktop kommen)

            Hält sich das mit den whitelist in Grenzen?

            Ehrlich gesagt habe ich immer mehr proxy abgebaut und durch
            Pfb inkl Dnsbl (ggfvpiHole für den der den dnsbl bei pfb nicht mag) ersetzt funktioniert me besser und macht weniger Kopfweh als die man in the middle Lösung

            Traust du dich zu sagen die von dir eingesetzte Lösung macht
            Einen AV am Client obsolet? (unter der Prämisse der gesamte filetrans läuft nur via network, um USB Stick infections auszuschließen)

            If not was ist der BWL Vorteil der Lösung, die Lizenz am Client ist trotzdem zu kaufen und der Aufwand mit whitelist und der break bei man in the middle muss ja auch bewertet werden hinzu kommt das der eingesetzte AV auf der pfS nicht immer gleich oder höherwertiger sein wird als der eingesetzte am Client

            LgNP

            T 1 Reply Last reply Reply Quote 0
            • T
              tpf @noplan
              last edited by tpf

              @noplan said in Allgemein: Proxy als Teil der Sicherheit?:

              @tpf

              Guten Morgen,

              Ad uergroup ist ja eh erst... Ja oha nächste Woche.. 🙄
              Gut, das könnte ich schaffen :)
              Erwischt du wirklich was mit dem AV im proxy was der AV am Client
              Nicht erwischt...

              Die Frage stellt sich so nicht. ClamAV ist die erste Instanz - nicht die letzte.

              ClamAV ist ja jetzt nicht so bekannt für seine top aktuellen Signaturen im vgl zu in >Unternehmen eingesetzten AV (ich möchte jetzt ja nicht in den vgl mit Freeware AV >am Desktop kommen)

              Mit den zusätzlichen Signaturen kommt da schon was zusammen. Auch 0-Day (lizenzpflichtig)

              Hält sich das mit den whitelist in Grenzen?

              Ja. Absolut. Neben GDATA und Windows-Update stehen da noch drei Seiten drin. Zwei davon Bankverbindungen. Mag sein, dass die Liste mit der Zeit wächst.

              Ehrlich gesagt habe ich immer mehr proxy abgebaut und durch
              Pfb inkl Dnsbl (ggfvpiHole für den der den dnsbl bei pfb nicht mag) ersetzt funktioniert me besser und macht weniger Kopfweh als die man in the middle Lösung

              Ich sehe es in Kombination. Inhaltsfilterung + DNS-Filterung. Außerdem ist ganz klar ersichtlich, welcher User von welcher Maschine was getan hat. Auch Ransomware ist erkennbar. Außerdem, was gibt es besseres: Herausfiltern von Dateiendungen. .vbs, . exe und Co werden einfach schon beim Herunterladen gefiltert.

              Traust du dich zu sagen die von dir eingesetzte Lösung macht
              Einen AV am Client obsolet? (unter der Prämisse der gesamte filetrans läuft nur via network, um USB Stick infections auszuschließen)

              Nö. Die Frage stellt sich auch niemals. Solange ein User darauf Zugriff hat, muss ein AV drauf. Eigentlich sogar noch mehr.

              If not was ist der BWL Vorteil der Lösung, die Lizenz am Client ist trotzdem zu kaufen und der Aufwand mit whitelist und der break bei man in the middle muss ja auch bewertet werden hinzu kommt das der eingesetzte AV auf der pfS nicht immer gleich oder höherwertiger sein wird als der eingesetzte am Client

              Es ist ein fehlertolerantes, mehstufiges Sicherheitskonzept. Und nur darum geht es mir.

              Grüße

              10 years pfSense! 2006 - 2016

              S 1 Reply Last reply Reply Quote 0
              • S
                slu @tpf
                last edited by

                @tpf said in Allgemein: Proxy als Teil der Sicherheit?:

                Mit den zusätzlichen Signaturen kommt da schon was zusammen. Auch 0-Day (lizenzpflichtig)

                Das würde mich interessieren, welche sind das denn?
                Hast Du mir ein Link?

                pfSense Gold subscription

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post