Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Netzwerkgrundlagen

Grundlage Konfiguration Circuit Level Proxy und Paketfilter

Mitglied: TobiisFreaky

TobiisFreaky (Level 2) - Jetzt verbinden

20.08.2008, aktualisiert 22:00 Uhr, 4561 Aufrufe, 1 Kommentar

Hallo Leute,

ich habe mal eine Frage zur DMZ, die wir gerade in der Schule durchnehmen.

folgender Aufbau:

sicheres Netz - Paketfilter - Application Level Gateway (dual homed) - Paketfilter - unsicheres Netz

So sollte der Aufbau einer optimal ausgelegten DMZ sein.

Was ist aber jetzt wenn mehrere Clients aus dem sicheren Netz eine Verbindung zu einem außenstehen (unsicheres Netz) aufnehmen wollen. In diesem Fall bestimmt doch der Circuit Level Proxy, über welchen Port die Clients nach draußen zum gewünschten (z.B.) FTP-Server sich verbinden, sofern dieser Proxy auf dem ALG installiert ist.
Wenn jedoch die Paketfilter so ausgelegt sind, dass sie auf Schicht 3 alle Ports blocken, dann kann dieser Aufbau jedoch nie stattfinden, oder findet an dieser Stelle ein Austausch zwischen ALG und PK-Filter statt? Meineswissens nicht. Das heißt der Einsatz einer Circuit Level Proxys wäre an dieser Stelle Schwachsinn. Sinn würde nur ein Application Leven Proxy amchen, der auf Schicht 4 die Pakete auf Daten und Befehlinhalt prüft.

Ist das so richtig wie ich das formuliert habe?

Wann machen Circuit Level Proxys Sinn diese einzusetzen?


Mit freundlichen Grüßen


Freaky
Mitglied: datasearch
20.08.2008 um 22:00 Uhr
Hallo Freaky,

ein "Application Level Proxy" operiert auf Schicht 5. Er kann also das Protokoll FTP oder HTTP usw. sprechen und damit umgehen. Diese Proxy's werden verwendet, um in einem Protokoll selbst zu filtern. Typisch ist dies für Content Filter oder ReverseProxy's.

Generische Proxy's verwendet man meistens, um verbindungen auf Schicht 4 über die Firewall zu bekommen. Er kann mehr als einfaches NAT, zb. Authentifizierung oder erweiterte Filterung, versteht allerdings nicht das L5 Protokoll. Ein solcher Proxy währe zb. ein SOCKS5 Proxy, der nur UDP uder TCP Verbindungen nach Authentifizierung des Users durchreicht.

Alle Proxy's benötigen auf dem Host entsprechende Regeln des Paketfilters am ausgehendem Interface. Wenn zb. der L5 Proxy den Portbereich 10000-12000 für ausgehende Verbindungen verwendet, muss dieser Bereich für ausgehende Verbindungen frei bleiben. Der Socks könnte zb. 13000-15000 und FTP 16000-19000 verwenden. Neuere Paketfilter arbeiten auch STATE-Basis (SPI). Dabei muss nicht mehr jeder Verbindungszustand einzeln in einer Regel definiert werden (SYN, SYN-ACK, ACK) sondern es wird der Status einer Verbindung (NEW, ESTABLISHED, RELATED, INVALID ...) erkannt. Um die ausgehenden HTTP-Verbnindungen des ALG durchzulassen, muss man in OUTPUT nur Pakete vom Status NEW und in INPUT Pakete vom Status ESTABLISHED durchlassen. Genauer Filtert man mit dem vorher im ALG konfigurierten Source-Ports.

Beispiel:
Der HTTP-Proxy verwendet Ports 10000-12000 für Client-Verbindungen zu Port 80, 8080, 443. Das würde folgende Regeln am Paketfilter erfordern:

Ausgehend TCP Source 10000:120000 Dest any Destports 80,8080,443 state NEW,ESTABLISHED ERLAUBEN

Eingehend TCP Source any Sourceports 80,8080,443 Dest $EXT_INTERFACE Destport 10000:12000 state ESTABLISHED

Hochwertige ALG's verwenden für diese Regeln keine statische Konfiguration, sondern öffnen die Ports vom ALG. Der Proxy öffnet quase die Firewall für eingehende EST Verbindungen und ausgehende NEW, EST sobald er eine neue Verbindung aufbaut. In diesem Fall findet tatsächlich eine Kommunikation zwischen Proxy und Portfilter statt.

Was den generischen Proxy angeht, er macht das ganz genauso. Nur das diese das Protokoll nicht verstehen sondern allein auf der Transportschicht arbeiten. Es gibt ach zwischenlösungen, die beides machen.

Falls ein Protokoll weder über L5 noch L4 Proxy's funktioniert, bleibt noch NAT. Dabei werden die Pakete einfach nur durchgeleitet und am ausgehendem Interface die Quelladresse umgeschrieben. Eine besondere Art von NAT ist MASQ. Dabei wird für alle ausgehenden verbindungen die selbe IP verwendet und zusätzlich der Client-Port (source-Port) umgeschrieben. Dies ist schon die Vorstufe eines generischen Proxy's, schafft aber leider keine völlige Trennung der Verbindung am Gateway.

Ich hoffe das hilft dir erstmal weiter. Sollte ich etwas verdreht oder vergessen haben, werden mich andere sicher Korrigieren oder Vervollständigen.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Proxy-Konfiguration über .pac-Datei
gelöst Frage von newbistaWindows Server3 Kommentare

Guten Tag Zusammen, ich hätte mal eine Frage. Und zwar geht es um die automatische Proxykonfiguration anhand einer proxy.pac-Datei. ...

Ubuntu
Proxy-Konfiguration in Ubuntu Server 12.04
Frage von FriccoUbuntu3 Kommentare

Hi zusammen, ich habe auf einem Rechner Ubuntu Server 12.04 installiert. Die Netzwerkeinstellungen habe ich bei der Installation manuell ...

Firewall
Authentifizierung mittels Paketfilter
Frage von teret4242Firewall6 Kommentare

Hallo, es ist ja bekannt, dass Paketfilter so ihre Schwächen haben (Tunneling etc.). Allerdings gibt es ja auch einfachere ...

Windows Server
LAN Manager Authentication Level
gelöst Frage von MineralwasserWindows Server2 Kommentare

Guten Morgen Es konnten sich alle Computern nicht von extern via RemoteApp zugreifen. Nach langem suchen habe ich festgestellt, ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Windows Server
DNS Forwarding an andere Domäne
Frage von detox91Windows Server9 Kommentare

Hallo, für Testzwecke haben wir bei uns eine zweite Windows Domäne (B.local) aufgebaut, welche komplett unabhängig und isoliert der ...