HI
ist ist vom sicherheitsaspekt her von relevanz einen Proxy wie z.B. Squid2
laufen zu lassen ? ist ein proxy eine mögliche Schwachstelle und wo sollte der Proxy
laufen ? mit auf der firewall ?
many thx
green
squid2
-
Cypher
Re: squid2
Wenn ich das richtig verstanden hab, ist ein proxy, wenn du eh eine
firewall laufen hast, nur als beschleuniger interessant, da er viele
schon mal besuchte seiten im cache vorhalten kann.
Ansonsten kann man auch Squid mit reinem masquerading (ohne firewall)
nutzen (ich mach das so), wenn man eh nur per call-by-call reingeht
und alle nase lang eine neue ip-addy kriegt. Die chance, daß du dabei
gehackt wirst, ist doch eher gegen null <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Gruß,
Cypher
firewall laufen hast, nur als beschleuniger interessant, da er viele
schon mal besuchte seiten im cache vorhalten kann.
Ansonsten kann man auch Squid mit reinem masquerading (ohne firewall)
nutzen (ich mach das so), wenn man eh nur per call-by-call reingeht
und alle nase lang eine neue ip-addy kriegt. Die chance, daß du dabei
gehackt wirst, ist doch eher gegen null <img src="http://www.pl-forum.de/UltraBoard/Images/Happy.gif" border="0" align="middle">
Gruß,
Cypher
-
AmenDeus
Re: squid2
hiho
due kannst in der squid.config in /etc (bei suse rpm inst) oder /usr/local/squid/etc/ einen HOSTALLOWS=192.168.10.1/24 einfügen, so dass sich nur leute vom lokalem netz auf den proxy einloggen können. dabei steigt, so glaube ich, das sicherheits risko nicht gegen über einen normal geöffneten port.
um das ganze sicherer zumachen, kann man den zugriff per user speziellen squid user oder normal user einschränken, d.h. kein nobody zugriff und für die konfiguration einen nicht einloggbaren user erstellen, so dass nicht jemand die logs änder kann, wenn er erweiterte rechte erlangt hat, wobei ich bei mir die möglich keit ausgeschlossen habe, dass man extern sich 1. einloggen kann und 2. erweiterte admin rechter von einem anderen ort als der console erhalten kann.
ich hoffe ich habe dir geholfen. für ein kleinse büro oder firma ist das einsetzten von squid unbedänklich, da die wahrlscheinlichkeit sehr gering ist, dass jemand versucht über den proxy in das system einzudringen oder es anderweitig für andere aktionen über den proxy ausnutzen will.
ich hoffe ich habe dir mit meiner antwort geholfen.
ciaoi
due kannst in der squid.config in /etc (bei suse rpm inst) oder /usr/local/squid/etc/ einen HOSTALLOWS=192.168.10.1/24 einfügen, so dass sich nur leute vom lokalem netz auf den proxy einloggen können. dabei steigt, so glaube ich, das sicherheits risko nicht gegen über einen normal geöffneten port.
um das ganze sicherer zumachen, kann man den zugriff per user speziellen squid user oder normal user einschränken, d.h. kein nobody zugriff und für die konfiguration einen nicht einloggbaren user erstellen, so dass nicht jemand die logs änder kann, wenn er erweiterte rechte erlangt hat, wobei ich bei mir die möglich keit ausgeschlossen habe, dass man extern sich 1. einloggen kann und 2. erweiterte admin rechter von einem anderen ort als der console erhalten kann.
ich hoffe ich habe dir geholfen. für ein kleinse büro oder firma ist das einsetzten von squid unbedänklich, da die wahrlscheinlichkeit sehr gering ist, dass jemand versucht über den proxy in das system einzudringen oder es anderweitig für andere aktionen über den proxy ausnutzen will.
ich hoffe ich habe dir mit meiner antwort geholfen.
ciaoi