-
Die Einbindung eines Web-Proxys ist anwendungs- oder betriebssystem-abhängig. Es ist grundsätzlich auch möglich, im Betriebssystem den einen Proxy und in einer Anwendung einen anderen Proxy anzugeben (z.B. im Betriebssystem den Secure-Proxy, im Browser den Filter-Proxy). Wo auch immer ein Proxy verwendet werden soll, müssen gewisse technische Daten über den Proxy-Server angegeben werden.
-
Unter Windows ist die Einstellung des Proxy grundsätzlich nicht so einfach, da Windows keine systemweite Proxy-Einstellung vorsieht.
-
Die meisten Linux-Applikationen nutzen die Einstellungen in Umgebungsvariablen als Proxy-Definition (manchmal auch als „System-Proxy“ bezeichnet). Die Umgebungsvariablen können in der Shell oder in Skripten gesetzt werden, üblicherweise werden sie zentral in /etc/environment hinterlegt.
-
Die meisten Programme und so auch der Web-Browser übernehmen die Proxy-Einstellung des Betriebsystems. Häufig wird diese Einstellung im Browser selbst als „System-Proxy“ bezeichnet, im Internet-Explorer ist die Proxy-Einstellung nicht von der der Windows-Installation zu trennen.
-
Neben den Einstellungen im Betriebsystem kann es auch sinnvoll sein, wie im Browser auch für andere Anwendungen direkt einen Proxy einzustellen.
-
Die Zahl der integrierten Geräten mit spezifischen Oberflächen, teils auf Linux oder Windows basierend, nimmt zu. Beispiele hierfür sind Netzwerkdrucker, insbesondere Mutlifunktionsgeräte, NAS-Boxen (Network-attached Storage) und Videokonferenz-Systeme etc. Diese Geräte erhalten häufig nur selten und bald nach Anschaffung auch gar keine Firmware-Updates mehr, so dass diese leichter Sicherheitslücken aufweisen und daher möglichst nicht direkt aufs Internet zugreifen sondern den (Secure-) Proxy verwenden sollten.
-
Über die Proxies kann durch Maschinen wie Server, durch automatisierte Prozesse oder aber durch Menschen am Web-Browser auf das Internet zugegriffen werden. Wie auch auf Webservern selbst könnte dabei das Surf-Verhalten (sogar webseiten-übergreifend) beobachtet werden. Daneben kann ein Proxy aber auch Daten über den Nutzer vor Webseiten verbergen, das Surfen in Ansätzen „anonymisieren“.
-
Statt auf externe Dienste und Server zuzugreifen, können für einige grundlegende Dienste auch interne Server im LUH-Netz genutzt werden. Dieses erhöht die Sicherheit, da keine zusätzlichen Freischaltungen für ausgehenden Datenverkehr erfolgen müssen, über die auch nicht beabsichtigte Kommunikation, wie z.B. zwischen Bot und C&C-Server oder als Teil einer dDoS-Attacke, erfolgen könnte. Es wird außerdem nur mit internen, unter der Administration der LUH befindlichen Servern kommuniziert, die (hoffentlich) nicht die anfragenden Clients attackieren.
Web-Proxy
Bereitstellung eines zentralen Web-Proxy
Wer kann den Service nutzen?
| ja | |
| ja | |
| ja | |
| ja |
SERVICEBESCHREIBUNG
Bereitstellung eines zentralen Web-Proxy für Rechner im Datennetz der Leibniz Universität Hannover. Einsatzmöglichkeiten des Web-Proxys sind:
- Abwehr von Malware (Sicherheit des Datennetz)
- Angebot zum eher anonymen Surfen im Web
Leistungsumfang
Die Verwendung des Proxys für Anwender ist derzeit grundsätzlich freiwillig.
Für Server-Systeme soll der Einsatz zukünftig verbindlich werden.
Für die verschiedenen Anwendungen werden verschiedene Ausprägungen anboten:
Für Server (Server, Appliances, Embedded, Messgeräte, Labor-PCs):
- "Secure": für Server-Systeme, ein sehr eingeschränkter Zugriff auf Update-Server
Für Clients (Desktops, Laptops, Smartphones):
- "Anon": zur Anonymisierung, Reduktion der an Server übermittelten Daten und Sperrung bekannter Tracking-Server
- "Filter": rausfiltern von in der Universität normalerweise unerwünschten Inhalten (z.B. Pornographie, Werbung)
- "Web": lediglich Sperrung bekannter Malware-Server
Die bei "Web" erfolgende Sperrung von Malware-Sites greift auch bei allen anderen Proxy-Ausprägungen. Die Filterung ist bei Web-Proxy prinzipiell nie vollständig, sondern immer ein Kompromiss
- zwischen Nutzbarkeit und Filterung und auch
- zwischen Realisierbarkeit / Aufwand und Filteranforderung.
PROXY ALS TEIL DER GATEWAY-SECURITY
Das Angebot des Proxy-Dienstes ist Teil des Sicherheitskonzeptes für das Internet-Gateway der Universität. Die Universität betreibt am Übergang zwischen LUH-Netz (Intranet) und dem weltweiten Internet eine Firewall. Der Proxy und die Firewall sind im Zusammenhang zu betrachten:
- Die Firewall ist nur verbindungsorientiert, auf eine Deep-Packet-Inspection wurde verzichtet. Für den Webtraffic bietet der Proxy diese inhaltliche (Layer-7-) Filterung.
- Server sollen nur Update-Server erreichen, nicht mehr beliebige Server im Internet. Das wird (für Server teilweise transparent eingebunden) durch den Secure-Proxy erledigt.
Bisher sieht das Rechenzentrum keine Notwendigkeit für die Unterstützung weiterer Protokolle wie z.B. SIP durch spezielle Proxies, der Web-Traffic (http, https, ftp) ist ein Großteil und ein Einfallstor für Malware (Drive-By-Downloads etc.).
Allerdings gibt es eine Reihe von Diensten wie z.B. Zeit- und Upate-Server, die innerhalb des LUH-Netzes angeboten werden. Für diese Dienste ist ohne Proxy bereits kein Zugriff nach Außen nötig. Es sollten nach Möglichkeit die LUH-internen Dienste genutzt werden.
DOKUMENTATION UND HINWEISE ZUR NUTZUNG
KONTAKT
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 19:00 Uhr
Sprechzeiten
Aufgrund der Corona-Pandemie ist der IT-Service-Desk zur Zeit nur per E-Mail
in der Zeit von 08:00 - 17:00 Uhr erreichbar.
in der Zeit von 08:00 - 17:00 Uhr erreichbar.
Telefon
E-Mail
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 19:00 Uhr
Sprechzeiten
Aufgrund der Corona-Pandemie ist der IT-Service-Desk zur Zeit nur per E-Mail
in der Zeit von 08:00 - 17:00 Uhr erreichbar.
in der Zeit von 08:00 - 17:00 Uhr erreichbar.
Telefon
E-Mail