Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

NAS oder Windows Server als Proxy Server

Frage Netzwerke

Mitglied: fluppi1981

fluppi1981 (Level 1) - Jetzt verbinden

06.02.2015, aktualisiert 07.02.2015, 1352 Aufrufe, 10 Kommentare, 1 Danke

Hallo,

Ich habe eine NAS und einen Windows Server im Netzwerk. Prinzipiell sind beide als Proxy Server zu gebrauchen. Da das NAS eh immer mit dem internet verbunden sein soll, dachte ich, ich nutze die auch als Proxy Server und kopple den Rest des Netzwerkes im eingenen Subnetz ab.

Vorteil: Windows Server hängt nicht direkt am Internet

Nun zu meiner Frage: Ist so ein aufbau sinnvoll oder ist es besser (z.B. Performanter; Sicherer) den Windows Server als Proxy zu nehmen?

Zum Thema Sicherheit hätte ich gedacht: die NAS d.h. Linux basierend ist Sicherer als ein Windows Server direkt am netz.

Danke
Mitglied: chiefteddy
06.02.2015 um 09:30 Uhr
Hallo,

definiere doch bitte erstmal das Ziel Deiner Überlegungen.

Um ein Netzwerk vom "bösen" Internet abzuschotten, setzt man eine Firewall bzw. im Home-Bereich häufig einen Router mit Firewall-Funktion ein. Ein Proxy hat ganz andere Aufgaben und ersetzt keine Firewall: Er ist eine Art Stellvertreter, so dass nicht der Original-Dienst einem möglichen Angriff ausgesetzt ist; Dazu steht der Proxy üblicher weise in einer DMZ. Es gibt für fast alle Dienste (http, ftp, pop3, imap, smtp usw) entsprechende Proxies.

Prinzipiell sind beide Varianten schlecht: entweder ist das NAS oder der Server ungeschützt.

Jürgen
Bitte warten ..
Mitglied: Doskias
06.02.2015 um 09:34 Uhr
Zum Thema Sicherheit hätte ich gedacht: die NAS d.h. Linux basierend ist Sicherer als ein Windows Server direkt am netz.

Ohne Firewall ist beides unsicher. ob du jetzt deine NAS oder deinen Server ungeschützt ans Internet anbindest, ist vom Level der Katastrophe etwa gleich. Wie chiefteddy schong eschrieben hat: Sag uns doch erstmal was du vor hast, dann können wir besser helfen.
Bitte warten ..
Mitglied: fluppi1981
06.02.2015 um 10:16 Uhr
Immer diese Details

Ja, Firewall gibt es, mir geht es auch eher darum Barrieren zu schaffen und dadurch letztendlich mehr sicherheit.

Generell mal, jedes System (das am Intenet hängt) kann irgentwie überwunden werden.
Ich persönlich fühle mich durch eine Firewall zwar sicher, aber es gibt immer welche die die überwinden können.
Derjenige soll in dem fall dann z.B. eine NAS sehen und vielleicht noch ein VoIP Telefon.

ABER vielleicht nicht gleich auf die Idee kommen das hinter der NAS noch X Clients, X Laborgeräte, X Drucker hängen.

Das ist für mich in jedem Fall sicherer als ich hab ne FIREWALL.

Also nun nochmal zu meiner eigentlichen FRAGE: Was ist performanter für ein Proxy Server oder ist dafür beides gleich gut. Was ist Sicherer für Proxy Linux basiernde NAS oder Windows Server

Danke
Bitte warten ..
Mitglied: chiefteddy
06.02.2015 um 11:54 Uhr
Hallo,

im Prinzip gehen Deine Überlegungen in die richtige Richtung: Firewall + Proxy ist sicherer als nur Firewall.

Aber es gibt nicht DEN Proxy; für jeden Dienst (http, ftp, smtp usw) muß man einen eigenen Proxy (-Dienst) aufsetzen. Diese verschiedenen Proxies (Proxy-Dienste) können natürlich (je nach Leistungsbedarf) alle auf einer (physischen) Maschine laufen oder auf mehere verteilt werden.

Auf einer Firewall und einem Proxy sollten aber nur die Dienste laufen, die für die Funktion unbedingt notwendig sind. Alles andere macht das System unsicher!

Da man Linux detailierter konfigurieren kann als Windows, ist Linux für solche Aufgaben sicher besser geeignet (man muß das Linux aber auch so konfigurieren!!).

ABER: Ein NAS auf Linux-Basis bringt so viele zusätzliche Dienste mit, die für einen Proxy völlig überflüssig und schädlich sind, dass es in Deinem Fall völlig Banane ist, ob NAS oder Win-Server.

Weiterhin macht das alles nur wirklich Sinn, wenn die Proxies in der DMZ stehen.

Abschließend noch mal die Frage: Worum geht es Dir? Sprechen wir über ein Firmen-Netzwerk oder den Home-Bereich? Um welche Dienste geht es?
Internet-Router und Firewall in einem Gerät oder getrennt? Welche Typen? Gibt es eine DMZ?

Jürgen
Bitte warten ..
Mitglied: fluppi1981
06.02.2015 um 12:38 Uhr
Danke für deine Antwort,

es ist ein sehr kleines Firmennetzwerk, ein paar VoIP Telefone, 5 Clients, 1 Server, 1 NAS, 1 Router/Firewall (die DMZ kann, aber eher aus dem Home Bereich ist), 1 Switch. Von mir neben meinen richtigen Job, entwurfen und betreut.

Dienste die es mir geht sind wahrscheinlich eher HTTP und VoIP. Also eher überschaubar, aber ich will nicht das ganze Netzwerk direkt am Router haben. Ich würde das eine Bein (Ethernet) der NAS an den Router bringen und das andere in das "Intranet". Router und Windows Server machen dann DHCP und die Clients gehen per Proxy ins Netz (Internet). Das alles kann ich heute eingentlich schon so umsetzen ohne Geld in die Hand nehmen zu müssen. Ne bessere Firewall steht erstmal nicht auf dem Kostenplan (vielleicht nächstes Jahr).

Frage Der Router kann DMZ, wenn ich das für die NAS nutzen würde. Wo wäre da der Vorteil zu: NAS hängt am Routernetzwerk (LAN IP) und "Intranet" (LAN IP)
Bei der DMZ hat der NAS direkt die WAN IP und eine "Intranet (LAN IP). Was bringt das für vorteile oder versteh ich was falsch, ausser vielleicht das der Router kein DHCP braucht
Bitte warten ..
Mitglied: chiefteddy
06.02.2015 um 14:21 Uhr
Hallo,

welche Daten liegen denn auf dem NAS? Dient das NAS als internes Storage für das Windows-Netzwerk (AD) ? Werden die Daten auf dem NAS nur intern abgerufen oder auch von außen? Gibt es intern einen weiteren Daten-Speicher (evtl. Win-Server)? Was macht der eigentlich?

VoIP über Proxy halte ich für problematisch (Latenz!)

NAS mit Firmendaten so exponiert im Internet "anzubieten", halte ich für gefährlich.

Du scheints das Prinzip des Proxies noch nicht verstanden zu haben: Ein Proxy ist ein Stellvertreter. Dh zB. der Client, der eine Webseite von einem Webserver abrufen will, schickt eine entsprechende Anfrage zum Webserver. Die landet aber nicht auf dem Webserver (der im sicheren internen LAN steht) sondern wird von der Eingangsfirewall auf den HTTP-Proxy in der DMZ geleitet (der HTTP-Proxy tut nach außen so als wäre er der Webserver). Der Proxy seinerseits fragt nun den eigentlichen Webserver nach der Seite. Dieser liefert die Seite an den Proxy, der seinerseits diese Seite an den anfragenden Client ausgibt.

Der Client "spricht" also nur mit dem Proxy, niemals direkt mit dem Server. Nur der Proxy darf direkt mit dem Server "sprechen". Ein Angreifer kann also nur den Proxy kompromitieren, nicht den eigentlichen Server, da er darauf ja keinen direkten Zugriff hat.

So muß das für jeden einzelnen Dienst gestaltet werden. Wenn es einzelnen Diensten weiterhin gestattet wird, direkt mit den zugehörigen Servern direkt zu kommunizieren (Ports in der Firewall offen, kein NAT mit Portforwarding auf Proxies in der DMZ) ist das ganze System löchrig wie ein Schweizer Käse.

In Deiner Konztellation wäre das NAS mit seinen 2 NICs ein Router zwischen dem internen LAN und dem Netz zwischen NAS und Internet-Router (könnte man auch als DMZ betrachten). Für alle Dienste außer HTTP würde es die Daten 1:1 durchreichen, nur für HTTP würde es als Proxy fungieren.

Mal abgesehen davon, dass nicht klar ist, ob das NAS-Betriebssystem überhaupt als Router agieren kann und die Hardware das leistungsmäßig neben der RAID-Verwaltung für die NAS-Funktion noch schafft: Wo ist der Sicherheitsgewinn in dieser Variante??? Alles außer HTTP geht ja doch durch!

Wenn Du unbedingt eine 2-stufige Sicherheit haben willst, bau doch mit einem 2. Hardware-Router eine Router-Kaskade mit dazwischenliegender DMZ auf. Auf beiden Routern kann eine Firewall aktiviert werden.

Das ist deutlich sicherer als Deine Lösung und kostet kaum etwas (ca 50€ Stichwort MikroTik-Router).

Jürgen
Bitte warten ..
Mitglied: fluppi1981
06.02.2015 um 14:47 Uhr
die zwei Router variante werde ich wohl nehmen.

Eine Frage zu deiner Aussage "Daten 1:1 durchreichen" habe ich aber noch:

Wenn das NAS 2 NICs hat, in unterschiedlichen Subnetzen hängt, der Proxy Server eingeschaltet ist, die Clients den Proxy kennen (Windows Internetoptionen) und dadurch der Webseiten aufbau funktioniert (habe ich getestet). Woher wissen den die anderen daten das da ein weg über das NAS geht? Ich kann z.B. das andere Netzwerk (Router+Internet) nicht anpingen.

Was könnte ich z.B. mal testen damit ich das "sehe"
Bitte warten ..
Mitglied: chiefteddy
06.02.2015 um 15:05 Uhr
Hallo,

netzwerk-struktur-mäßig ist das NAS in der Funktion eines Routers. Damit muß bei allen Clients die interne IP des NAS als Standard-Gateway eingetragen werden. Auf der externen NIC des NAS muß dann die interne IP des Routers als Standard-Gayway stehen (und umgekehrt). Dazu muß das NAS aber routen können!!!

Du hast nur dem HTTP-Client (Browser) mitgeteilt, dass die Daten vom/ zum Proxy gehen.

Aber noch einmal: Daten gehen NIEMALS durch den Proxy!!! Sie gehen vom Client zum Proxy und vom Proxy zum Server (und umgekehrt). Von außen mag das ja so aussehen als ob die Daten "durch" den Proxy gehen. Das ist aber nicht so! Der Proxy soll das ja gerade verhindern. Der Client weiß nichts vom Server und der Server weiß nichts vom Client. Beide kennen jeweils nur den Proxy und "reden nur mit dem.

Stell Dir das wie einen Rauschgiftring im Krimi vor: der Kunde kennt und redet nur mit dem Straßenhändler (Proxy). Der wiederum kennt/ redet nur mit dem Zwischenhändler (Server). Kunde und Zwischenhändler bekommen sich niemals zu Gesicht.

Jürgen

.
Bitte warten ..
Mitglied: fluppi1981
06.02.2015 um 15:28 Uhr
Danke für die geduld

Muss ich mal schauen ob das NAS auch routet, das mit dem Gateway hatte ich nicht ausprobiert (und nich eingestellt).

Wenn ich trotz gateway einstellungen und ohne proxy nicht auf das Web zugreifen kann. Dann wahrscheinlich nicht.

Meine denke war/ist : das ich die Anfrage von Client zum Proxy gestellt habe, der (weil er zwei netzwerke hat) die anfrage an die Webseite stellt und und dem Client dann die Webseite zur Verfügung stellt.
Ich kann jetzt aber nicht ausschließen das es nicht auch über die gateway variante gehen würde, dann sitmme ich dir zu das alle dienste so gehen würden und ich keinen wirklichen gewinn hätte.
ABER wenn er nicht routet, würde es ja wie ein "Tunnel" für http funktionieren, oder?
Bitte warten ..
Mitglied: chiefteddy
LÖSUNG 06.02.2015, aktualisiert 07.02.2015
Hallo,

nein, nicht wie "Tunnel"! Tunnel sugeriert eine Vebindung von innen nach außen (und umgekehrt). Das gerade verhindert oder vermeidet der Proxy ja!

Für den Client ist der Proxy der Server und für den Server ist der Proxy der Client. Die Daten von der externen Seite des Proxies werden oberhalb der OSI-Schicht 7 an die interne Seite weitergegeben (und umgekehrt). Ein "Tunnel" würde innerhalb der 7 OSI-Schichten agieren (Routing zB auf Schicht 3; IPsec ebenfalls Schicht 3). Da Server und Client jeweils nur mit dem Proxy "reden", müssen sie vom "Rest" der Welt nichts wissen.

Aber wie bereits gesagt, es muß für jeden Dienst, den man nutzen will (also Mail: smtp, pop3, imap oder Dateitransfer: ftp) ein entsprechender Proxy konfiguriert werden. Und den internen Clients muss dann aber auch "gesagt" werden, dass die Kommunikation über den Proxy laufen soll (so wie Du das beim Browser ja auch eingetragen hast). Ansonsten gehen die Datenpakete über den eingetragenen Standard-Gateway (Router) ´raus. Wenn dessen Firewall aber die verwendeten Ports sperrt (was er ja tunlichts machensollte, wenn ein Proxy für den jeweiligen Dienst da ist), gibts ein "Problem".

Jürgen
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Proxy für alle User adden - Skript geht nicht (Windows Server) (4)

Frage von bytetix zum Thema Windows Server ...

Windows Server
gelöst Dell Server PE R300 - Windows Server 2016 (2)

Frage von fueak2000 zum Thema Windows Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...