Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Grundlage Konfiguration Circuit Level Proxy und Paketfilter

Frage Netzwerke Netzwerkgrundlagen

Mitglied: TobiisFreaky

TobiisFreaky (Level 2) - Jetzt verbinden

20.08.2008, aktualisiert 22:00 Uhr, 4481 Aufrufe, 1 Kommentar

Hallo Leute,

ich habe mal eine Frage zur DMZ, die wir gerade in der Schule durchnehmen.

folgender Aufbau:

sicheres Netz - Paketfilter - Application Level Gateway (dual homed) - Paketfilter - unsicheres Netz

So sollte der Aufbau einer optimal ausgelegten DMZ sein.

Was ist aber jetzt wenn mehrere Clients aus dem sicheren Netz eine Verbindung zu einem außenstehen (unsicheres Netz) aufnehmen wollen. In diesem Fall bestimmt doch der Circuit Level Proxy, über welchen Port die Clients nach draußen zum gewünschten (z.B.) FTP-Server sich verbinden, sofern dieser Proxy auf dem ALG installiert ist.
Wenn jedoch die Paketfilter so ausgelegt sind, dass sie auf Schicht 3 alle Ports blocken, dann kann dieser Aufbau jedoch nie stattfinden, oder findet an dieser Stelle ein Austausch zwischen ALG und PK-Filter statt? Meineswissens nicht. Das heißt der Einsatz einer Circuit Level Proxys wäre an dieser Stelle Schwachsinn. Sinn würde nur ein Application Leven Proxy amchen, der auf Schicht 4 die Pakete auf Daten und Befehlinhalt prüft.

Ist das so richtig wie ich das formuliert habe?

Wann machen Circuit Level Proxys Sinn diese einzusetzen?


Mit freundlichen Grüßen


Freaky
Mitglied: datasearch
20.08.2008 um 22:00 Uhr
Hallo Freaky,

ein "Application Level Proxy" operiert auf Schicht 5. Er kann also das Protokoll FTP oder HTTP usw. sprechen und damit umgehen. Diese Proxy's werden verwendet, um in einem Protokoll selbst zu filtern. Typisch ist dies für Content Filter oder ReverseProxy's.

Generische Proxy's verwendet man meistens, um verbindungen auf Schicht 4 über die Firewall zu bekommen. Er kann mehr als einfaches NAT, zb. Authentifizierung oder erweiterte Filterung, versteht allerdings nicht das L5 Protokoll. Ein solcher Proxy währe zb. ein SOCKS5 Proxy, der nur UDP uder TCP Verbindungen nach Authentifizierung des Users durchreicht.

Alle Proxy's benötigen auf dem Host entsprechende Regeln des Paketfilters am ausgehendem Interface. Wenn zb. der L5 Proxy den Portbereich 10000-12000 für ausgehende Verbindungen verwendet, muss dieser Bereich für ausgehende Verbindungen frei bleiben. Der Socks könnte zb. 13000-15000 und FTP 16000-19000 verwenden. Neuere Paketfilter arbeiten auch STATE-Basis (SPI). Dabei muss nicht mehr jeder Verbindungszustand einzeln in einer Regel definiert werden (SYN, SYN-ACK, ACK) sondern es wird der Status einer Verbindung (NEW, ESTABLISHED, RELATED, INVALID ...) erkannt. Um die ausgehenden HTTP-Verbnindungen des ALG durchzulassen, muss man in OUTPUT nur Pakete vom Status NEW und in INPUT Pakete vom Status ESTABLISHED durchlassen. Genauer Filtert man mit dem vorher im ALG konfigurierten Source-Ports.

Beispiel:
Der HTTP-Proxy verwendet Ports 10000-12000 für Client-Verbindungen zu Port 80, 8080, 443. Das würde folgende Regeln am Paketfilter erfordern:

Ausgehend TCP Source 10000:120000 Dest any Destports 80,8080,443 state NEW,ESTABLISHED ERLAUBEN

Eingehend TCP Source any Sourceports 80,8080,443 Dest $EXT_INTERFACE Destport 10000:12000 state ESTABLISHED

Hochwertige ALG's verwenden für diese Regeln keine statische Konfiguration, sondern öffnen die Ports vom ALG. Der Proxy öffnet quase die Firewall für eingehende EST Verbindungen und ausgehende NEW, EST sobald er eine neue Verbindung aufbaut. In diesem Fall findet tatsächlich eine Kommunikation zwischen Proxy und Portfilter statt.

Was den generischen Proxy angeht, er macht das ganz genauso. Nur das diese das Protokoll nicht verstehen sondern allein auf der Transportschicht arbeiten. Es gibt ach zwischenlösungen, die beides machen.

Falls ein Protokoll weder über L5 noch L4 Proxy's funktioniert, bleibt noch NAT. Dabei werden die Pakete einfach nur durchgeleitet und am ausgehendem Interface die Quelladresse umgeschrieben. Eine besondere Art von NAT ist MASQ. Dabei wird für alle ausgehenden verbindungen die selbe IP verwendet und zusätzlich der Client-Port (source-Port) umgeschrieben. Dies ist schon die Vorstufe eines generischen Proxy's, schafft aber leider keine völlige Trennung der Verbindung am Gateway.

Ich hoffe das hilft dir erstmal weiter. Sollte ich etwas verdreht oder vergessen haben, werden mich andere sicher Korrigieren oder Vervollständigen.
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Router & Routing
Transparenter Proxy funktioniert nicht? (1)

Frage von mrserious73 zum Thema Router & Routing ...

Sicherheits-Tools
Tor hinter (eigenem) Proxy (12)

Frage von mrserious73 zum Thema Sicherheits-Tools ...

SAN, NAS, DAS
Storage RAID LUN Konfiguration - Wie macht ihr es (4)

Frage von Marco-83 zum Thema SAN, NAS, DAS ...

Windows Netzwerk
Konfiguration Linux VM in IIS-Manager (10)

Frage von HansWerner1 zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...