Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundlage Konfiguration Circuit Level Proxy und Paketfilter

Mitglied: TobiisFreaky

TobiisFreaky (Level 2) - Jetzt verbinden

20.08.2008, aktualisiert 22:00 Uhr, 4582 Aufrufe, 1 Kommentar

Hallo Leute,

ich habe mal eine Frage zur DMZ, die wir gerade in der Schule durchnehmen.

folgender Aufbau:

sicheres Netz - Paketfilter - Application Level Gateway (dual homed) - Paketfilter - unsicheres Netz

So sollte der Aufbau einer optimal ausgelegten DMZ sein.

Was ist aber jetzt wenn mehrere Clients aus dem sicheren Netz eine Verbindung zu einem außenstehen (unsicheres Netz) aufnehmen wollen. In diesem Fall bestimmt doch der Circuit Level Proxy, über welchen Port die Clients nach draußen zum gewünschten (z.B.) FTP-Server sich verbinden, sofern dieser Proxy auf dem ALG installiert ist.
Wenn jedoch die Paketfilter so ausgelegt sind, dass sie auf Schicht 3 alle Ports blocken, dann kann dieser Aufbau jedoch nie stattfinden, oder findet an dieser Stelle ein Austausch zwischen ALG und PK-Filter statt? Meineswissens nicht. Das heißt der Einsatz einer Circuit Level Proxys wäre an dieser Stelle Schwachsinn. Sinn würde nur ein Application Leven Proxy amchen, der auf Schicht 4 die Pakete auf Daten und Befehlinhalt prüft.

Ist das so richtig wie ich das formuliert habe?

Wann machen Circuit Level Proxys Sinn diese einzusetzen?


Mit freundlichen Grüßen


Freaky
Mitglied: datasearch
20.08.2008 um 22:00 Uhr
Hallo Freaky,

ein "Application Level Proxy" operiert auf Schicht 5. Er kann also das Protokoll FTP oder HTTP usw. sprechen und damit umgehen. Diese Proxy's werden verwendet, um in einem Protokoll selbst zu filtern. Typisch ist dies für Content Filter oder ReverseProxy's.

Generische Proxy's verwendet man meistens, um verbindungen auf Schicht 4 über die Firewall zu bekommen. Er kann mehr als einfaches NAT, zb. Authentifizierung oder erweiterte Filterung, versteht allerdings nicht das L5 Protokoll. Ein solcher Proxy währe zb. ein SOCKS5 Proxy, der nur UDP uder TCP Verbindungen nach Authentifizierung des Users durchreicht.

Alle Proxy's benötigen auf dem Host entsprechende Regeln des Paketfilters am ausgehendem Interface. Wenn zb. der L5 Proxy den Portbereich 10000-12000 für ausgehende Verbindungen verwendet, muss dieser Bereich für ausgehende Verbindungen frei bleiben. Der Socks könnte zb. 13000-15000 und FTP 16000-19000 verwenden. Neuere Paketfilter arbeiten auch STATE-Basis (SPI). Dabei muss nicht mehr jeder Verbindungszustand einzeln in einer Regel definiert werden (SYN, SYN-ACK, ACK) sondern es wird der Status einer Verbindung (NEW, ESTABLISHED, RELATED, INVALID ...) erkannt. Um die ausgehenden HTTP-Verbnindungen des ALG durchzulassen, muss man in OUTPUT nur Pakete vom Status NEW und in INPUT Pakete vom Status ESTABLISHED durchlassen. Genauer Filtert man mit dem vorher im ALG konfigurierten Source-Ports.

Beispiel:
Der HTTP-Proxy verwendet Ports 10000-12000 für Client-Verbindungen zu Port 80, 8080, 443. Das würde folgende Regeln am Paketfilter erfordern:

Ausgehend TCP Source 10000:120000 Dest any Destports 80,8080,443 state NEW,ESTABLISHED ERLAUBEN

Eingehend TCP Source any Sourceports 80,8080,443 Dest $EXT_INTERFACE Destport 10000:12000 state ESTABLISHED

Hochwertige ALG's verwenden für diese Regeln keine statische Konfiguration, sondern öffnen die Ports vom ALG. Der Proxy öffnet quase die Firewall für eingehende EST Verbindungen und ausgehende NEW, EST sobald er eine neue Verbindung aufbaut. In diesem Fall findet tatsächlich eine Kommunikation zwischen Proxy und Portfilter statt.

Was den generischen Proxy angeht, er macht das ganz genauso. Nur das diese das Protokoll nicht verstehen sondern allein auf der Transportschicht arbeiten. Es gibt ach zwischenlösungen, die beides machen.

Falls ein Protokoll weder über L5 noch L4 Proxy's funktioniert, bleibt noch NAT. Dabei werden die Pakete einfach nur durchgeleitet und am ausgehendem Interface die Quelladresse umgeschrieben. Eine besondere Art von NAT ist MASQ. Dabei wird für alle ausgehenden verbindungen die selbe IP verwendet und zusätzlich der Client-Port (source-Port) umgeschrieben. Dies ist schon die Vorstufe eines generischen Proxy's, schafft aber leider keine völlige Trennung der Verbindung am Gateway.

Ich hoffe das hilft dir erstmal weiter. Sollte ich etwas verdreht oder vergessen haben, werden mich andere sicher Korrigieren oder Vervollständigen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Proxy-Konfiguration über .pac-Datei
gelöst Frage von newbistaWindows Server3 Kommentare

Guten Tag Zusammen, ich hätte mal eine Frage. Und zwar geht es um die automatische Proxykonfiguration anhand einer proxy.pac-Datei. ...

Webentwicklung
GITKraken Grundlagen
Frage von HSHansWebentwicklung5 Kommentare

Wer hat Erfahrung mit GIT Kraken und kann mir bei einfachen Fragen zur Bedienung helfen?

Netzwerkgrundlagen

Grundlagen des zuverlässigen Datentransfers

gelöst Frage von How-ToNetzwerkgrundlagen2 Kommentare

hallo zusammen, kann mir jemand erklären, wie go-back-n und selective repeat funktinoieren, bzw. was der unterschied ist? irgendwie ist ...

E-Mail

Rechtliche Grundlagen für Mail-Administration

gelöst Frage von TutterE-Mail3 Kommentare

Eigentlich beschäftige ich mich seit Jahren mit der Thematik nur gelegentlich und kenne nur ein paar Rahmenbedingungen. Nun scheint ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 2 TagenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 TagenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 3 TagenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 4 TagenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Netzwerkmanagment im Haus mit Switch, Panel und pfsense
gelöst Frage von CorraggiounoNetzwerkmanagement19 Kommentare

hi zusammen, wir sind gerade dabei das ganze Haus bzw. die einzelnen Zimmer mit netzwerkdosen zu versorgen. Vom Keller ...

Netzwerkgrundlagen
VLAN - Offene Fragen
Frage von KnettenbrechNetzwerkgrundlagen17 Kommentare

Hallo zusammen, ich befasse mich derzeit mit dem Thema VLAN. Hierzu habe ich schon einige Guides gelesen, einschließlich des ...

Google Android
Empfehlung: Android Ortungsapp
gelöst Frage von certifiedit.netGoogle Android13 Kommentare

Guten Morgen, grundsätzlich vorweg, ich wollte mich eben schlau machen, bzgl einer Ortungsapp, welche Androidbasiert einem anderen Androidsmartphone mitteilt, ...

Router & Routing
VPN hinter zweiter Fritzbox nutzen im Nachbarhaus
gelöst Frage von georg2204Router & Routing11 Kommentare

Hallo zusammen, ich blicke hier leider nicht mehr so ganz durch. In Haus 1 steht eine Fritzbox 7390, diese ...