Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Proxy - noch zeitgemäß?
« previous
next »
Print
Pages: [
1
]
Author
Topic: Proxy - noch zeitgemäß? (Read 4591 times)
lenny
Full Member
Posts: 239
Karma: 5
Proxy - noch zeitgemäß?
«
on:
March 15, 2021, 11:10:31 am »
Hi,
da gerade Proxy und IDS wohl die Ressourcen Schleudern sind...Wie zeitgemäß ist ein Proxy überhaupt noch?
Unbound+ blockiert "böse" Ziele, Firehol hilft dabei mit.
Viren auf Webseiten werden nicht mehr erkannt, da nahezu alles per TLS aufgerufen wird. Eigentlich keine Gründe mehr, Squid zu betreiben.
Wie seht ihr es?
Logged
you
Newbie
Posts: 45
Karma: 2
Re: Proxy - noch zeitgemäß?
«
Reply #1 on:
March 15, 2021, 12:32:16 pm »
Ich sehe das genau so: Macht immer weniger Sinn. Gilt m.E. auch für IPS/IDS. Bin auf Feedback gespannt.
Logged
foresthus
Newbie
Posts: 17
Karma: 1
Re: Proxy - noch zeitgemäß?
«
Reply #2 on:
March 15, 2021, 02:50:26 pm »
Hallo,
einen Proxy zu betreiben macht nur dann aus meiner Sicht Sinn, wenn der Traffic über verschiedene NextHopProxies geleitet werden müssen. Für das Filtern bringt das ohne SSL-Intercept nichts. Bei einem SSL-Intercept, müssen alle Clients das eigen Zertifikat importieren und vertrauen. Das macht nur nicht jeder Client mit oder man kann es dort nicht konfigurieren. Braucht man das nicht, kann man die Resourcen der Firewall sinnvoller nutzen.
Ein IDS/IPS ist eigentlich eine Pflichtveranstaltung (z.B. SNORT oder Suricata).
Daher ist eher die Überlegung dahin gehend richtiger eine NGFW einzusetzen. Das soll mit dem Addon SENSEI möglich sein. Das gibt es derzeit nicht für alle Firewalls.
Im Verbund mit einem pihole als DNS-Server sicherlich für viele eine lohnende Alternative (Betriebssystem:dietpi; Raspberry3 oder 4; externe SSD + SD-Card 8GB). Der pihole übernimmt alle DNS-Anfragen und gibt diese an die Firewall weiter. Alle DNS-Anfragen in Richtung Internet nur der Firewall selbst erlauben und DoT (DNS over TLS) einrichten (
www.opennic.org
). In UNBOUND dies eintragen. DONE
Oder man nutzt eine reine Firewall. Diese wird dann mit zusätzlichen Mechnismen (z.B. SecureOnion) ständig geprüft. Eine Hardwraeschlacht ist dann kaum noch wegzudenken.
Man muss davon ausgehen, dass man die Clients immer schwerer kontrollieren kann (ZeroTrust).
Trotzdem wünsche weiter Viel Spass.
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: Proxy - noch zeitgemäß?
«
Reply #3 on:
March 15, 2021, 07:11:13 pm »
warum will man das so machen, habt ihr alles so wichtige daten das ihr euch das leben schwer machen müsst?
ich halte es mit KISS = keep it simple. umso komplexer das netzwerk wird umso schwieriger wird es diese sicher zu betreiben (meine persönliche meinung)
und proxy, sehe ich bei den bandbreiten heute auch nicht mehr als so wichtig. macht auch alles nur komplizierter
«
Last Edit: March 15, 2021, 07:14:17 pm by micneu
»
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
monstermania
Hero Member
Posts: 524
Karma: 47
Re: Proxy - noch zeitgemäß?
«
Reply #4 on:
March 16, 2021, 02:22:36 pm »
Kommt halt darauf an.
In einem überschaubaren/privaten Netzwerk macht ein Proxy sicherlich keinen Sinn mehr.
In einem Firmennetzwerk mit mehreren 1000 Mitarbeitern aber durchaus. Mein AG hat z.B. gerade auf einen neuen Proxy umgestellt. Und klar, dass auf dem Proxy auch SSL-Inspection läuft. Der Proxy-Anbieter übernimmt auch die gesamte Betreuung der Filter- und AV-Lösung mit.
Logged
micneu
Hero Member
Posts: 1912
Karma: 59
Re: Proxy - noch zeitgemäß?
«
Reply #5 on:
March 16, 2021, 05:22:38 pm »
also bei uns im unternehmen (ca. 90 Benutzer) mit einer 1GBit/s Glas (Symetrisch) Leitung haben wir auch keinen Proxy.
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Vibezz
Newbie
Posts: 8
Karma: 1
Re: Proxy - noch zeitgemäß?
«
Reply #6 on:
March 16, 2021, 11:01:56 pm »
Hallo zusammen,
im privaten Umfeld macht ein Proxy nur dann Sinn wenn es um Sicherheit und Kontrolle geht. Im Firmenumfeld würde ich, auch heutzutage, immer Proxys verwenden.
Auf dem Proxy kann man sehr viel besser steuern welche System und User welche URLs aufrufen dürfen. DNS Firewall Regeln funktionieren meist nicht gut wenn die unterschiedlich aufgelöst werden z.B. mehrer IPs hinter dem FQDN d.h. FW löst 1.2.3.4 auf und Host 1.2.3.5 und schon zieht die Regel nicht. Sind mehre Firewalls oder ACLs involviert sind nur Freischaltungen für die Proxy IPs nötig und nicht für xxx.. Systeme.
Über das Regelwerk sollte gesteuert werden wo SSL-Inspection eingesetzt werden soll.
Zusammenfassen: Privat nur aus Hobby und im Unternehmensumfeld wenn jemand sich damit auskennt bzw. ab einer bestimmten Größe oder Sicherheitsanforderung auf jeden Fall.
Grüße
Vibezz
Logged
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Proxy - noch zeitgemäß?