Firewalls und Proxies (3) Proxies bzw. Proxy-Firewalls Proxy-Firewalls, auch Verbindungs-Gateway oder Circuit-Level-Gateway genannt, sind auf der Transportschicht (Schicht 4) des OSI-Referenzmodells angesiedelt.Das grundlegende Prinzip einer Proxy-Firewall ist das sog. Stellvertreterkonzept. Es besagt, dass statt direkt auf ein externes Netz, zunächst auf einen Gateway-Rechner zugegriffen wird. Dieser Gateway-Rechner stellt selbst einige Dienste zur Verfügung, sodass ein Teil der Anfragen aus dem internen Netz nicht nach außen gelangt. Andere Verbindungsanfragen werden auf ihre Vereinbarkeit mit der Sicherheitsstrategie geprüftund dann weitergeleitet oder zurückgewiesen.Proxy-Firewalls werden auf sog. Bastionsrechnern (letzte Bastion vor dem äußeren Netz) betrieben und bieten umfassendere Möglichkeiten zur Filterung des Datenstroms, als es beispielsweise Paketfilter tun. Vor- und Nachteile von Proxy-Firewalls Durch Proxy-Firewalls wird keine direkte TCP-Verbindung zwischen Client und (außenstehendem) Server hergestellt. Es kommt zu einer Adressumsetzung, durch die die Adresse des Clients im internen Netz dem Server im außenstehenden Netz verborgen bleibt. Bei einem Versuch eines Verbindungsaufbaus stellt der Client die Anfrage an die Proxy-Firewall. Ist die Verbindungsanfrage legitim, baut die Proxy-Firewall eine Verbindung zum (außenstehenden) Server auf und leitet die Datenpakete zum Client weiter (und umgekehrt). Durch diese Vermittlung und direkte Einbindung in den Paketfluss ist, neben der Integration von Authentifikations- und Protokolliermechanismen, die Kontrolle bestehender Verbindungen möglich. Diese Möglichkeiten sind bei Paketfiltern nicht gegeben, da dort eine direkte TCP-Verbindung zwischen Client und Server etabliert wird. Generische Proxies aus Proxy-Firewalls sind universell einsetzbar, dafür aber wenig speziell. Aufgrund des Ansetzens von Proxy-Firewalls auf der Transportschicht ist zudem keine spezifische Unterscheidung zwischen Anwendungen möglich. Trotzdem sind oftmals Anpassungen an der Clientsoftware nötig, die dafür sorgen, dass alle Verbindungsversuche über den Proxy-Server geleitet werden. Applikationsfilter Applikationsfilter, auch Application-Level-Gateway genannt, setzen auf der Anwendungsschicht (Schicht 7) des OSI-Referenzmodells an. Ein Applikationsfilter besteht aus mehreren dedizierten und jeweils für einen Dienst spezialisierten, statt generischen (wie bei Proxy-Firewalls), Proxies. Beispielsweise kann es, je nach Anwendungsbereich, einen Proxy für den SSH-Dienst, einen für FTP, HTTP usw. geben.In einem Applikationsfilter findet dementsprechend eine anwendungsbezogene Filterung statt, die dem Alles oder Nichts Prinzip (Blocken oder Durchlassen) der Paketfilter und Proxy-Firewalls entgegen steht. Vor- und Nachteile von Applikationsfiltern Anwendungs- bzw. Applikationsfilter erlauben durch die verschiedenen und speziellen Proxies differenzierte Authentifikationen und Überprüfungen. Es können Nutzungsprofile erstellt und Angriffe anhand von Mustern erkannt werden. Besonders verfügbare Module zur Integration von Intrusion Detection Systemen (IDS) sind hier hervor zu heben. Durch ausgeprägte Protokollierungsfunktionen werden Anwendungsfilter oft z.B. zur Abrechnung von Diensten genutzt. Zudem lässt sich die Nutzung von Diensten mittels Applikationsfiltern einschränken. So können Dienste nicht nur geblockt oder zugelassen werden, sondern beispielsweise FTP-Verbindungen nur zum Download freigegeben werden, nicht aber zum Upload von Daten. Zwar bieten Applikationsfilter viele spezifische Möglichkeiten, sind dafür aber auch komplizierter aufgebaut und unflexibel, da pro Dienst immer mindestens ein eigener Proxy benötigt wird. Ist, beispielsweise für eine neuere Applikation, noch kein dedizierter Proxy verfügbar, kann zwar auf einen generischen Proxy zurückgegriffen werden (Achtung: Per default wird i.d.R. zunächst sämtlicher Verkehr geblockt), die Vorteile im Vergleich zu einer Proxy-Firewall gehen dabei jedoch verloren. Zudem sind Anwendungsfilter rechenintensiver und benötigen potentere Hardware. Durch eben diesen Aspekt der Ressourcenallokation werden Anwendungsfilter zusätzlich zu einem potentiellen Angriffsziel für (D)DoS-Angriffe. Autor: Jan-Dirk Kranz Der Beitrag Proxy-Firewalls und Applikationsfilter erschien zuerst auf IT-Talents.de.
Möchten Sie einen Web-Service, der nur per HTTP kommuniziert per HTTPS absichern, ist die Einrichtung von IIS als Reverse Proxy eine Lösung. Ein Reverse Proxy kann auch verwendet werden, wenn [] Der Beitrag IIS als Reverse Proxy einrichten erschien zuerst
zum Artikel gehenGSA Proxy Scraper is a powerful, easy to use, proxy scraping software that can harvest and test thousands of proxies quickly and reliably with a few simple clicks. It has a powerful Port Scanner and other useful tools. Changes since last release: - fix
zum Artikel gehenDer Helfer bei Datenübertragungen Eine Verbindung zum Internet ist für viele selbstverständlich, aber eine Filterung des Datenverkehrs kann aus den verschiedensten Gründen von Vorteil sein. Dafür wird ein Proxy Server eingesetzt, der über die Verbindun
zum Artikel gehenFirewalls und Proxie Teil 2 Sowohl in Theorie als auch Anwendung werden verschiedene Firewall-Klassen unterschieden. Als Klassifizierungen haben sich Paketfilter, Proxy-Firewall und Applikationsfilter durchgesetzt. Die Klasse der Paketfilter wird in di
zum Artikel gehenRaccoon v3.5 is a maintenance release containing minor feature updates: Added support for authentication when using proxy servers. The setup screen makes it clearer now that you should use throw away accounts and let Raccoon generate a GSF ID for you.
zum Artikel gehen