fluppi1981
Goto Top

NAS oder Windows Server als Proxy Server

Hallo,

Ich habe eine NAS und einen Windows Server im Netzwerk. Prinzipiell sind beide als Proxy Server zu gebrauchen. Da das NAS eh immer mit dem internet verbunden sein soll, dachte ich, ich nutze die auch als Proxy Server und kopple den Rest des Netzwerkes im eingenen Subnetz ab.

Vorteil: Windows Server hängt nicht direkt am Internet

Nun zu meiner Frage: Ist so ein aufbau sinnvoll oder ist es besser (z.B. Performanter; Sicherer) den Windows Server als Proxy zu nehmen?

Zum Thema Sicherheit hätte ich gedacht: die NAS d.h. Linux basierend ist Sicherer als ein Windows Server direkt am netz.

Danke

Content-Key: 262546

Url: https://administrator.de/contentid/262546

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: chiefteddy
chiefteddy 06.02.2015 um 09:30:55 Uhr
Goto Top
Hallo,

definiere doch bitte erstmal das Ziel Deiner Überlegungen.

Um ein Netzwerk vom "bösen" Internet abzuschotten, setzt man eine Firewall bzw. im Home-Bereich häufig einen Router mit Firewall-Funktion ein. Ein Proxy hat ganz andere Aufgaben und ersetzt keine Firewall: Er ist eine Art Stellvertreter, so dass nicht der Original-Dienst einem möglichen Angriff ausgesetzt ist; Dazu steht der Proxy üblicher weise in einer DMZ. Es gibt für fast alle Dienste (http, ftp, pop3, imap, smtp usw) entsprechende Proxies.

Prinzipiell sind beide Varianten schlecht: entweder ist das NAS oder der Server ungeschützt.

Jürgen
Mitglied: Doskias
Doskias 06.02.2015 um 09:34:33 Uhr
Goto Top
Zum Thema Sicherheit hätte ich gedacht: die NAS d.h. Linux basierend ist Sicherer als ein Windows Server direkt am netz.

Ohne Firewall ist beides unsicher. ob du jetzt deine NAS oder deinen Server ungeschützt ans Internet anbindest, ist vom Level der Katastrophe etwa gleich. Wie chiefteddy schong eschrieben hat: Sag uns doch erstmal was du vor hast, dann können wir besser helfen.
Mitglied: fluppi1981
fluppi1981 06.02.2015 um 10:16:57 Uhr
Goto Top
Immer diese Details face-wink

Ja, Firewall gibt es, mir geht es auch eher darum Barrieren zu schaffen und dadurch letztendlich mehr sicherheit.

Generell mal, jedes System (das am Intenet hängt) kann irgentwie überwunden werden.
Ich persönlich fühle mich durch eine Firewall zwar sicher, aber es gibt immer welche die die überwinden können.
Derjenige soll in dem fall dann z.B. eine NAS sehen und vielleicht noch ein VoIP Telefon.

ABER vielleicht nicht gleich auf die Idee kommen das hinter der NAS noch X Clients, X Laborgeräte, X Drucker hängen.

Das ist für mich in jedem Fall sicherer als ich hab ne FIREWALL.

Also nun nochmal zu meiner eigentlichen FRAGE: Was ist performanter für ein Proxy Server oder ist dafür beides gleich gut. Was ist Sicherer für Proxy Linux basiernde NAS oder Windows Server

Danke
Mitglied: chiefteddy
chiefteddy 06.02.2015 um 11:54:50 Uhr
Goto Top
Hallo,

im Prinzip gehen Deine Überlegungen in die richtige Richtung: Firewall + Proxy ist sicherer als nur Firewall.

Aber es gibt nicht DEN Proxy; für jeden Dienst (http, ftp, smtp usw) muß man einen eigenen Proxy (-Dienst) aufsetzen. Diese verschiedenen Proxies (Proxy-Dienste) können natürlich (je nach Leistungsbedarf) alle auf einer (physischen) Maschine laufen oder auf mehere verteilt werden.

Auf einer Firewall und einem Proxy sollten aber nur die Dienste laufen, die für die Funktion unbedingt notwendig sind. Alles andere macht das System unsicher!

Da man Linux detailierter konfigurieren kann als Windows, ist Linux für solche Aufgaben sicher besser geeignet (man muß das Linux aber auch so konfigurieren!!).

ABER: Ein NAS auf Linux-Basis bringt so viele zusätzliche Dienste mit, die für einen Proxy völlig überflüssig und schädlich sind, dass es in Deinem Fall völlig Banane ist, ob NAS oder Win-Server.

Weiterhin macht das alles nur wirklich Sinn, wenn die Proxies in der DMZ stehen.

Abschließend noch mal die Frage: Worum geht es Dir? Sprechen wir über ein Firmen-Netzwerk oder den Home-Bereich? Um welche Dienste geht es?
Internet-Router und Firewall in einem Gerät oder getrennt? Welche Typen? Gibt es eine DMZ?

Jürgen
Mitglied: fluppi1981
fluppi1981 06.02.2015 um 12:38:34 Uhr
Goto Top
Danke für deine Antwort,

es ist ein sehr kleines Firmennetzwerk, ein paar VoIP Telefone, 5 Clients, 1 Server, 1 NAS, 1 Router/Firewall (die DMZ kann, aber eher aus dem Home Bereich ist), 1 Switch. Von mir neben meinen richtigen Job, entwurfen und betreut.

Dienste die es mir geht sind wahrscheinlich eher HTTP und VoIP. Also eher überschaubar, aber ich will nicht das ganze Netzwerk direkt am Router haben. Ich würde das eine Bein (Ethernet) der NAS an den Router bringen und das andere in das "Intranet". Router und Windows Server machen dann DHCP und die Clients gehen per Proxy ins Netz (Internet). Das alles kann ich heute eingentlich schon so umsetzen ohne Geld in die Hand nehmen zu müssen. Ne bessere Firewall steht erstmal nicht auf dem Kostenplan (vielleicht nächstes Jahr).

Frage Der Router kann DMZ, wenn ich das für die NAS nutzen würde. Wo wäre da der Vorteil zu: NAS hängt am Routernetzwerk (LAN IP) und "Intranet" (LAN IP)
Bei der DMZ hat der NAS direkt die WAN IP und eine "Intranet (LAN IP). Was bringt das für vorteile oder versteh ich was falsch, ausser vielleicht das der Router kein DHCP braucht
Mitglied: chiefteddy
chiefteddy 06.02.2015 um 14:21:47 Uhr
Goto Top
Hallo,

welche Daten liegen denn auf dem NAS? Dient das NAS als internes Storage für das Windows-Netzwerk (AD) ? Werden die Daten auf dem NAS nur intern abgerufen oder auch von außen? Gibt es intern einen weiteren Daten-Speicher (evtl. Win-Server)? Was macht der eigentlich?

VoIP über Proxy halte ich für problematisch (Latenz!)

NAS mit Firmendaten so exponiert im Internet "anzubieten", halte ich für gefährlich.

Du scheints das Prinzip des Proxies noch nicht verstanden zu haben: Ein Proxy ist ein Stellvertreter. Dh zB. der Client, der eine Webseite von einem Webserver abrufen will, schickt eine entsprechende Anfrage zum Webserver. Die landet aber nicht auf dem Webserver (der im sicheren internen LAN steht) sondern wird von der Eingangsfirewall auf den HTTP-Proxy in der DMZ geleitet (der HTTP-Proxy tut nach außen so als wäre er der Webserver). Der Proxy seinerseits fragt nun den eigentlichen Webserver nach der Seite. Dieser liefert die Seite an den Proxy, der seinerseits diese Seite an den anfragenden Client ausgibt.

Der Client "spricht" also nur mit dem Proxy, niemals direkt mit dem Server. Nur der Proxy darf direkt mit dem Server "sprechen". Ein Angreifer kann also nur den Proxy kompromitieren, nicht den eigentlichen Server, da er darauf ja keinen direkten Zugriff hat.

So muß das für jeden einzelnen Dienst gestaltet werden. Wenn es einzelnen Diensten weiterhin gestattet wird, direkt mit den zugehörigen Servern direkt zu kommunizieren (Ports in der Firewall offen, kein NAT mit Portforwarding auf Proxies in der DMZ) ist das ganze System löchrig wie ein Schweizer Käse.

In Deiner Konztellation wäre das NAS mit seinen 2 NICs ein Router zwischen dem internen LAN und dem Netz zwischen NAS und Internet-Router (könnte man auch als DMZ betrachten). Für alle Dienste außer HTTP würde es die Daten 1:1 durchreichen, nur für HTTP würde es als Proxy fungieren.

Mal abgesehen davon, dass nicht klar ist, ob das NAS-Betriebssystem überhaupt als Router agieren kann und die Hardware das leistungsmäßig neben der RAID-Verwaltung für die NAS-Funktion noch schafft: Wo ist der Sicherheitsgewinn in dieser Variante??? Alles außer HTTP geht ja doch durch!

Wenn Du unbedingt eine 2-stufige Sicherheit haben willst, bau doch mit einem 2. Hardware-Router eine Router-Kaskade mit dazwischenliegender DMZ auf. Auf beiden Routern kann eine Firewall aktiviert werden.

Das ist deutlich sicherer als Deine Lösung und kostet kaum etwas (ca 50€ Stichwort MikroTik-Router).

Jürgen
Mitglied: fluppi1981
fluppi1981 06.02.2015 um 14:47:40 Uhr
Goto Top
die zwei Router variante werde ich wohl nehmen.

Eine Frage zu deiner Aussage "Daten 1:1 durchreichen" habe ich aber noch:

Wenn das NAS 2 NICs hat, in unterschiedlichen Subnetzen hängt, der Proxy Server eingeschaltet ist, die Clients den Proxy kennen (Windows Internetoptionen) und dadurch der Webseiten aufbau funktioniert (habe ich getestet). Woher wissen den die anderen daten das da ein weg über das NAS geht? Ich kann z.B. das andere Netzwerk (Router+Internet) nicht anpingen.

Was könnte ich z.B. mal testen damit ich das "sehe"
Mitglied: chiefteddy
chiefteddy 06.02.2015 um 15:05:31 Uhr
Goto Top
Hallo,

netzwerk-struktur-mäßig ist das NAS in der Funktion eines Routers. Damit muß bei allen Clients die interne IP des NAS als Standard-Gateway eingetragen werden. Auf der externen NIC des NAS muß dann die interne IP des Routers als Standard-Gayway stehen (und umgekehrt). Dazu muß das NAS aber routen können!!!

Du hast nur dem HTTP-Client (Browser) mitgeteilt, dass die Daten vom/ zum Proxy gehen.

Aber noch einmal: Daten gehen NIEMALS durch den Proxy!!! Sie gehen vom Client zum Proxy und vom Proxy zum Server (und umgekehrt). Von außen mag das ja so aussehen als ob die Daten "durch" den Proxy gehen. Das ist aber nicht so! Der Proxy soll das ja gerade verhindern. Der Client weiß nichts vom Server und der Server weiß nichts vom Client. Beide kennen jeweils nur den Proxy und "reden nur mit dem.

Stell Dir das wie einen Rauschgiftring im Krimi vor: der Kunde kennt und redet nur mit dem Straßenhändler (Proxy). Der wiederum kennt/ redet nur mit dem Zwischenhändler (Server). Kunde und Zwischenhändler bekommen sich niemals zu Gesicht.

Jürgen

.
Mitglied: fluppi1981
fluppi1981 06.02.2015 um 15:28:18 Uhr
Goto Top
Danke für die geduld face-smile

Muss ich mal schauen ob das NAS auch routet, das mit dem Gateway hatte ich nicht ausprobiert (und nich eingestellt).

Wenn ich trotz gateway einstellungen und ohne proxy nicht auf das Web zugreifen kann. Dann wahrscheinlich nicht.

Meine denke war/ist : das ich die Anfrage von Client zum Proxy gestellt habe, der (weil er zwei netzwerke hat) die anfrage an die Webseite stellt und und dem Client dann die Webseite zur Verfügung stellt.
Ich kann jetzt aber nicht ausschließen das es nicht auch über die gateway variante gehen würde, dann sitmme ich dir zu das alle dienste so gehen würden und ich keinen wirklichen gewinn hätte.
ABER wenn er nicht routet, würde es ja wie ein "Tunnel" für http funktionieren, oder?
Mitglied: chiefteddy
Lösung chiefteddy 06.02.2015, aktualisiert am 07.02.2015 um 00:10:25 Uhr
Goto Top
Hallo,

nein, nicht wie "Tunnel"! Tunnel sugeriert eine Vebindung von innen nach außen (und umgekehrt). Das gerade verhindert oder vermeidet der Proxy ja!

Für den Client ist der Proxy der Server und für den Server ist der Proxy der Client. Die Daten von der externen Seite des Proxies werden oberhalb der OSI-Schicht 7 an die interne Seite weitergegeben (und umgekehrt). Ein "Tunnel" würde innerhalb der 7 OSI-Schichten agieren (Routing zB auf Schicht 3; IPsec ebenfalls Schicht 3). Da Server und Client jeweils nur mit dem Proxy "reden", müssen sie vom "Rest" der Welt nichts wissen.

Aber wie bereits gesagt, es muß für jeden Dienst, den man nutzen will (also Mail: smtp, pop3, imap oder Dateitransfer: ftp) ein entsprechender Proxy konfiguriert werden. Und den internen Clients muss dann aber auch "gesagt" werden, dass die Kommunikation über den Proxy laufen soll (so wie Du das beim Browser ja auch eingetragen hast). Ansonsten gehen die Datenpakete über den eingetragenen Standard-Gateway (Router) ´raus. Wenn dessen Firewall aber die verwendeten Ports sperrt (was er ja tunlichts machensollte, wenn ein Proxy für den jeweiligen Dienst da ist), gibts ein "Problem".

Jürgen