Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Reverse Proxy

Mitglied: nevermind2012

nevermind2012 (Level 1) - Jetzt verbinden

30.11.2012, aktualisiert 12:59 Uhr, 3068 Aufrufe, 4 Kommentare

Hallo miteinander,

ich hätte mal eine grundlegende Frage zum Thema Firewall und Reverse Proxy, über die ich momentan nachdenke.

Es gibt also ein einfaches Netzwerk, dass über eine Firewall mit dem Internet verbunden ist. Es wird nur das Internet von innen genutzt, Anfragen von außen gibt es regulär nicht.
Soweit kein Problem, sind die FW und alle anderen Sicherheitseinrichtungen ordentlich konfiguriert(etc.) ist man damit wohl auf der sichersten Seite (nach einen Netzwerk ohne Verbindung zum Internet ).

Soll jetzt aber z.B. ein Exchange-Server hinzukommen würde es natürlich Sinn machen, den von außen auch zu erreichen Da der Exchange ja aber ins interne Netz soll, ist ein Reverse Proxy in einer DMZ wohl die Lösung.

Wenn ich das richtig verstanden habe verläuft das Routing dann ja folgendermaßen (mal von einer Single-Firewall-Lösung ausgehend):

[Internet] --> [Firewall] --> [Exchange]
.. .. .. .. .. ..|......./\
.. .. .. .. .. ..|DMZ.|
.. .. ..´.. .. ..\/......|
.. .. .. .. .. ..[R. Proxy]

Es gibt so also keine Pakete, die direkt vom Internet ins interne Netzwerk geroutet werden.
Dennoch verstehe ich nocht nicht zu 100% den Sicherheitsgewinn dadurch im Vergleich dazu die Pakete direkt an den Server zu routen.
Was tut das Proxy mit den Paketen?

Des weitern:
Es gibt ja auch Firewalls die zusätzlich zu den anderen Funktionen selbst als Reverse Proxy agieren können.
Könnte man dann die dedizierte Maschine für das Proxy weglassen? Oder ist das dann aus irgend einen Grund den ich nicht sehe wieder verwundbarer?

Danke schon mal für die Erklärungen.

Gruß

PS: Ihr könnt' die Single-FW-Lösung gerne auch durch eine mit zwei ersetzen oder den Exchange mit irgend einer anderen Groupware / Dienst, das ganze ist kein spez. oder gar bestehendes Szenario.
Mitglied: Dani
30.11.2012 um 17:42 Uhr
Moin,
den Artikel kennst du schon...
Bitte warten ..
Mitglied: nevermind2012
30.11.2012 um 19:15 Uhr
Ja, den kenne ich, Danke.
Wie ein Proxy arbeitet ist ja an sich auch klar.

Ich verstehe wie gesagt nur nicht ganz, an welcher Stelle genau der Sicherheitsgewinn liegt (im Gegensatz dazu den Port durch die Firewall direkt auf den Server zu routen).

Ist es die Tatsache, dass das Proxy die Pakete inspizieren kann? Und wenn ja was macht es damit?
Oder ist es schlicht die Tatsache selbst, dass nur das Proxy mit dem Partner direkt spricht und weniger "Angriffsfläche" bietet als ein offener Port am Server selbst?

Was mich wie gesagt auch noch interessieren würde wäre, wie es sich dann (sicherheitstechnisch) verhält wenn man RP und FW in einem Geräte hätte (wie man es mit manchen UTM Appliances ja machen könnte) oder ob das gar keinen Sinn ergibt.

Sorry - vllt. stell' ich mich auch einfach dumm an.
Bitte warten ..
Mitglied: Epixc0re
30.11.2012 um 22:58 Uhr
Hallo,

ich betreibe hier auch mehrere Exchange Server, alle mit Reverse Proxy.
Meine Gründe dafür sind die erhöhte Sicherheit durch den Reverse Proxy, da Linux in der Regel schneller Gepatcht wird als irgend eine M$ Lösung.

Bei mir wird der Reverse Proxy für alle http und http Requests verwendet, und SMTP wird natürlich auch extra über einen Smarthost abgehandelt.
Bitte warten ..
Mitglied: Dani
01.12.2012 um 09:09 Uhr
Moin,
Ein Reverse Proxy bietet folgende sicherheitsrelevanten Merkmale:
  • Minimale Funktionalität und daher potenziell weniger Sicherheitslücken als ein "voller" Server.
  • "Verstecken" des eigentlichen Servers, der vom Internet her nicht mehr direkt zugreifbar ist.
  • Untersuchung des (HTTP) Requests und Filtern von ungültigen oder potenziell gefährlichen Requests.
  • Zentrale Authentisierung und Single-Sign-On über alle angeschlossenen Webserver.
  • Autorisierung der Zugriffe auf die angeschlossenen Server.


Grüße,
Dani
Bitte warten ..
Ähnliche Inhalte
Apache Server
Kerberos über Apache Reverse Proxy
Frage von spcvltApache Server

Hallo, gibt es eine Möglichkeit über einen Apache Reverse Proxy eine Seite von extern nach intern zuleiten, die gleichzeitig ...

Server
Reverse Proxy mit IIS 8
gelöst Frage von maddigServer13 Kommentare

Hallo, ich habe vor ca. einer Woche schon mal einen Thread erstellt der ist aber leider komplett untergegangen. Aus ...

Linux Netzwerk
Hilfe bei Reverse Proxy
Frage von rummelpottLinux Netzwerk14 Kommentare

Ich habe mir auf Hosting Paradis einen Linuxserver gemietet! Darauf betreibe ich einen Openvpn Server! Ich habe mehrere WRT ...

Apache Server

Apache2: Reverse Proxy funktioniert nicht

gelöst Frage von NetworkingHomerApache Server5 Kommentare

Hallo liebe Community, ich möchte einen ReverseProxy einrichten, damit der Port 9001 mit pad.domain.de:80 ansprechbar wird. Es handelt sich ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein Beitrag bei Heise (siehe Link folgend). Behörden ignorieren Sicherheitsbedenken gegenüber ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL13 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs10 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...

Debian
Wie finde ich den betroffenen user
Frage von ProtectedDebian8 Kommentare

Hallo, Wie kann ich den User finden der dies verursacht hat? Betriebsystem ist Debian 7 your Server/Customer with the ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall8 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...