OPNsense Forum
International Forums => German - Deutsch => Topic started by: lenny on March 15, 2021, 11:10:31 am
-
Hi,
da gerade Proxy und IDS wohl die Ressourcen Schleudern sind...Wie zeitgemäß ist ein Proxy überhaupt noch?
Unbound+ blockiert "böse" Ziele, Firehol hilft dabei mit.
Viren auf Webseiten werden nicht mehr erkannt, da nahezu alles per TLS aufgerufen wird. Eigentlich keine Gründe mehr, Squid zu betreiben.
Wie seht ihr es?
-
Ich sehe das genau so: Macht immer weniger Sinn. Gilt m.E. auch für IPS/IDS. Bin auf Feedback gespannt.
-
Hallo,
einen Proxy zu betreiben macht nur dann aus meiner Sicht Sinn, wenn der Traffic über verschiedene NextHopProxies geleitet werden müssen. Für das Filtern bringt das ohne SSL-Intercept nichts. Bei einem SSL-Intercept, müssen alle Clients das eigen Zertifikat importieren und vertrauen. Das macht nur nicht jeder Client mit oder man kann es dort nicht konfigurieren. Braucht man das nicht, kann man die Resourcen der Firewall sinnvoller nutzen.
Ein IDS/IPS ist eigentlich eine Pflichtveranstaltung (z.B. SNORT oder Suricata).
Daher ist eher die Überlegung dahin gehend richtiger eine NGFW einzusetzen. Das soll mit dem Addon SENSEI möglich sein. Das gibt es derzeit nicht für alle Firewalls.
Im Verbund mit einem pihole als DNS-Server sicherlich für viele eine lohnende Alternative (Betriebssystem:dietpi; Raspberry3 oder 4; externe SSD + SD-Card 8GB). Der pihole übernimmt alle DNS-Anfragen und gibt diese an die Firewall weiter. Alle DNS-Anfragen in Richtung Internet nur der Firewall selbst erlauben und DoT (DNS over TLS) einrichten (www.opennic.org). In UNBOUND dies eintragen. DONE
Oder man nutzt eine reine Firewall. Diese wird dann mit zusätzlichen Mechnismen (z.B. SecureOnion) ständig geprüft. Eine Hardwraeschlacht ist dann kaum noch wegzudenken.
Man muss davon ausgehen, dass man die Clients immer schwerer kontrollieren kann (ZeroTrust).
Trotzdem wünsche weiter Viel Spass.
-
warum will man das so machen, habt ihr alles so wichtige daten das ihr euch das leben schwer machen müsst?
ich halte es mit KISS = keep it simple. umso komplexer das netzwerk wird umso schwieriger wird es diese sicher zu betreiben (meine persönliche meinung)
und proxy, sehe ich bei den bandbreiten heute auch nicht mehr als so wichtig. macht auch alles nur komplizierter
-
Kommt halt darauf an. ;)
In einem überschaubaren/privaten Netzwerk macht ein Proxy sicherlich keinen Sinn mehr.
In einem Firmennetzwerk mit mehreren 1000 Mitarbeitern aber durchaus. Mein AG hat z.B. gerade auf einen neuen Proxy umgestellt. Und klar, dass auf dem Proxy auch SSL-Inspection läuft. Der Proxy-Anbieter übernimmt auch die gesamte Betreuung der Filter- und AV-Lösung mit.
-
also bei uns im unternehmen (ca. 90 Benutzer) mit einer 1GBit/s Glas (Symetrisch) Leitung haben wir auch keinen Proxy.
-
Hallo zusammen,
im privaten Umfeld macht ein Proxy nur dann Sinn wenn es um Sicherheit und Kontrolle geht. Im Firmenumfeld würde ich, auch heutzutage, immer Proxys verwenden.
Auf dem Proxy kann man sehr viel besser steuern welche System und User welche URLs aufrufen dürfen. DNS Firewall Regeln funktionieren meist nicht gut wenn die unterschiedlich aufgelöst werden z.B. mehrer IPs hinter dem FQDN d.h. FW löst 1.2.3.4 auf und Host 1.2.3.5 und schon zieht die Regel nicht. Sind mehre Firewalls oder ACLs involviert sind nur Freischaltungen für die Proxy IPs nötig und nicht für xxx.. Systeme.
Über das Regelwerk sollte gesteuert werden wo SSL-Inspection eingesetzt werden soll.
Zusammenfassen: Privat nur aus Hobby und im Unternehmensumfeld wenn jemand sich damit auskennt bzw. ab einer bestimmten Größe oder Sicherheitsanforderung auf jeden Fall.
Grüße
Vibezz