Zwangsproxy als Schutz vor Trojanern?
12.01.2012
09:10:49 Uhr619 Aufrufe
5 Antworten
09:10:49 Uhr
5 Antworten
Noch nicht bewertet
Kein Gerät im (V)LAN hat direkten Inet-Zugriff
Hallo,
Meine Idee ist, dass alle Geräte im Netzwerk nur noch über einen Http-Proxy ins Internet sollen. Damit möchte ich sicherstellen, dass kein Gerät im Netzwerk eine direkte Verbindung zum Internet aufbauen kann (Trojaner, Reverse Proxy etc). Udp Traffic ins Internet wäre überhaupt unterbunden und auf dem Proxy könnte man allerhand Filterung implementieren (Blacklists, Virenscan etc).
Lösst sich ein Domänencontroller mit Wsus so konfigurieren, dass er über einen http-proxy alles notwendige zieht?
Ich denke an folgendes Setup:
Inet------firewall--------squid-server-------lan
Denkt Ihr das ist realistisch oder könnte ein Schadprogramm seinen Traffic durch Squid tunneln oä?
Bis dato sieht das Netz so aus:
Inet---ipcop firewall mit Proxy und Gatewayfunktion-----lan (alle Geräte gehen über Gateway direkt ins Inet)
Thx!
Meine Idee ist, dass alle Geräte im Netzwerk nur noch über einen Http-Proxy ins Internet sollen. Damit möchte ich sicherstellen, dass kein Gerät im Netzwerk eine direkte Verbindung zum Internet aufbauen kann (Trojaner, Reverse Proxy etc). Udp Traffic ins Internet wäre überhaupt unterbunden und auf dem Proxy könnte man allerhand Filterung implementieren (Blacklists, Virenscan etc).
Lösst sich ein Domänencontroller mit Wsus so konfigurieren, dass er über einen http-proxy alles notwendige zieht?
Ich denke an folgendes Setup:
Inet------firewall--------squid-server-------lan
Denkt Ihr das ist realistisch oder könnte ein Schadprogramm seinen Traffic durch Squid tunneln oä?
Bis dato sieht das Netz so aus:
Inet---ipcop firewall mit Proxy und Gatewayfunktion-----lan (alle Geräte gehen über Gateway direkt ins Inet)
Thx!
HGGIGO schreibt am 12.01.2012 um 10:16:19 Uhr
Wieso net?
I habe auch aus gründen der Performance und Sicherheit den Proxy vom Gateway genommen. Rüste auch gleich von IpCop auf IpFire oder pfSense um, da das IpCop Projekt nicht mehr wirklich läuft.
Das mit dem WSUS läuft auch, kurze regel Liste und nur noch dein DomainController darf es...
I habe auch aus gründen der Performance und Sicherheit den Proxy vom Gateway genommen. Rüste auch gleich von IpCop auf IpFire oder pfSense um, da das IpCop Projekt nicht mehr wirklich läuft.
Das mit dem WSUS läuft auch, kurze regel Liste und nur noch dein DomainController darf es...
peter9999 schreibt am 12.01.2012 um 10:21:51 Uhr
thx
der roadrunner-vpn zugang von aussen und teamviewer sessions von innen sind noch zu bedenken, dafür hab ich noch keine lösung, ausser einen terminalserver für vpn sessions direkt an den gateway zu hängen und für teamviewer müssen die sessions an diesem server gestartet werden und dann muss man mit vnc in das non-gateway-netz weiter..
der roadrunner-vpn zugang von aussen und teamviewer sessions von innen sind noch zu bedenken, dafür hab ich noch keine lösung, ausser einen terminalserver für vpn sessions direkt an den gateway zu hängen und für teamviewer müssen die sessions an diesem server gestartet werden und dann muss man mit vnc in das non-gateway-netz weiter..
peter9999 schreibt am 12.01.2012 um 11:45:00 Uhr
das vpn vermittelt zugang zum internen netz auf einen terminalserver. teamviewer wird nicht mehr gehen, ich will den geräten im netz ja den zugang zum inet nehmen und sie nur über einen http-proxy raus lassen, damit eben keinerlei schadsoftware mehr ins internet gelangt.
dog schreibt am 12.01.2012 um 23:58:21 Uhr
Lösst sich ein Domänencontroller mit Wsus so konfigurieren, dass er über einen http-proxy alles notwendige zieht?
WSUS schon, aber ein DC muss auch eine zuverlässige Zeitquelle für das Netzwerk sein...
oder könnte ein Schadprogramm seinen Traffic durch Squid tunneln oä?
Das geht praktisch immer, so lange man nicht in einem stark beschränkten Whitelist-Modus arbeitet.
