Ergebnis 1 bis 17 von 17

Thema: Clients vor Proxy bewahren - Nat?

  1. #1
    Geht ein
    Registriert seit
    Feb 2016
    Ort
    im Funkloch
    Beiträge
    313
    ngb:news Artikel
    3

    Clients vor Proxy bewahren - Nat?

    Hallo miteinander,

    Dass die Netzwerke staatlicher Einrichtungen oftmals weniger geil aufgebaut sind ist wahrscheinlich für keinen von euch was Neues.

    Jetzt hab' ich die tolle Aufgabe, einen Access Point aufzubauen, nur gibt es folgendes Problem: Das Internet (der einzig relevante Teil des ganzen für alle Endnutzer) ist nur mit Benutzung eines http proxies mit Authentifikation zu erreichen.
    Da das auf egal welchem Engerät unfassbar anstrengend und nur eingeschränkt funktionabel ist, möchte ich die Verbindung erst durch einen Rechner mit zwei Netzwerkinterfaces schleifen, der dann im einen Interface alle Clients nimmt und gemeinsam mit dem eigenen Traffic (via NAT) über das andere Interface in Richtung Proxy schickt.

    Gibts dafür irgendwelche Hardwarelösungen die das sozuagen "Plug and Play" können? Falls nein müsste ich es halt manuell konfigurieren was an sich kein Problem wäre aber ich finde halt annähernd nichts dazu im Internet.
    >>Das Felsgestein gähnt in der freudigen Erwartung eures nächsten fabelhaften Spielzugs, Keeper<<

  2. #2
    N.A.C.J.A.C. Avatar von alter_Bekannter
    Registriert seit
    Jul 2013
    Ort
    Midgard
    Beiträge
    4.075

    Re: Clients vor Proxy bewahren - Nat?

    Router mit VPN Client Funktion dürfte dem nahe kommen. Musst du nur den Router für VPN konfigurieren.

    Der Router muss dann natürlich auch das Gateway sein.

    OpenWRT unterstützt das vermutlich alles klingt nicht all zu exotisch.

    Damit arbeitest du allerdings aktiv am Proxy vorbei was aber zu sein scheint was du vor hast. Geht vemrutlich auch ohne sämtlichen Traffic in einem verschlüsselten Strom vorm Proxy zu verstecken, aber dann muss alles selbst definiert werden.
    Für diesen Beitrag bedankt sich Cazawhi
    Geändert von alter_Bekannter (28.09.18 um 08:49 Uhr)
    Wichtig: Warum die Installation von Win XP ein Linuxproblem ist.

    Autos töten keine Menschen, sie beschützen sie, vor Menschen mit kleineren Autos.

  3. #3
    Lone Gunman Avatar von Shodan
    Registriert seit
    Jul 2013
    Ort
    Citadel Station
    Beiträge
    346

    Re: Clients vor Proxy bewahren - Nat?

    @Cazawhi: Sorry ich habe keine direkte Antwort auf deine Frage, sondern nur eine Menge Rückfragen an dich

    1. Ist das so eine "wenn wir was am Netzwerkt ändern wollen müssen wir IBM anrufen und dann kostet das Drölfmillionen" Sache?

    --> Die korrekte Vorgehensweise ist es erstmal mit den Netzwerkadmins der Behörde zu reden, die für so Dinge wie den http-Proxy oder den Internetanschluss hauptamtlich verantwortlich sind. Das sind nämlich diejenigen, die den Access Point später einfach einkassieren werden, nachdem sie im Log ein unbekanntes Gerät gefunden haben, das signifikante Mengen an Traffic durchschleift. (... wenn es da Admins gibt)


    2. Was meinst du mit "eingeschränkt funktionabel"? Anhand deiner Beschreibung würde ich Probleme erwarten wie "Dienste auf nicht http(s) Ports laufen nicht". Also z.B. VOIP oder VPN. Eventuell eingeschränkte Funktionalität von Messengern und Videospielen.

    --> Diese Probleme wirst du nicht los, wenn der Proxy nur ausgehende Verbindungen mit Zielport 80 bzw 443 ermöglicht. Du müsstest einen Webserver haben, der "freies Internet" hat, mit dem du einen Tunnel aufbaust. Das dies möglich ist heißt aber nicht, dass es auch eine gute Idee ist. Insbesondere gibt es für sowas keine "Plug and Play" Lösungen, da es ziemlich nahe an sträfliche Sabotage herankommt. Dich schützt eventuell dein Auftrag, aber mal ganz im Ernst: der Proxy ist nicht das Hindernis, der erlaubt ja die Kommunikation mit Webservern im Internet. Das Hindernis ist die Firewall, denn diese verbietet die Kommunikation mit dem Internet. Deine Frage ist also "Wie umgehe ich von innen die Firewall einer Behörde?" Damit sollte auch klarer werden, warum es da wenig drüber zu finden gibt

    3. Wenn der Proxy "mit Authentifikation" funktioniert, wie planst du den Access Point zu authentifizieren? Mit dem Benutzeraccount und Passwort von John aus der Buchhaltung? Klingeln dir nicht die Ohren, wegen den ganzen Alarmsirenen, die dieser Auftrag auslöst? Selbst wenn du irgendwo einen Funktionsaccount gefunden hast, der berechtigt ist den Proxy zu benutzen: eigentlich braucht der AP einen eigenen solchen Account. Aber:

    4. Was dein Kunde (wahrscheinlich) haben will: Einen Access-Point, der, basierend auf einer passend gepatchten Netzwerkdose, korrektem Routing und entsprechenden Firewallregeln definiert ist als "kann nur mit dem Internet, aber nicht mit dem behördeninternen Netzwerk kommunizieren". Siehe 1.


    Mandatory Webcomic Reference: http://geek-and-poke.com/geekandpoke.../13/foodprints
    Geändert von Shodan (28.09.18 um 23:38 Uhr) Grund: Nachtrag: Der Beitrag ist etwas unfreundlicher geworden, wie mir lieb ist. Sorry! .. entschärft
    Art. 6 der Richtlinie 2006/24 ist mit den Art. 7 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union unvereinbar, soweit er den Mitgliedstaaten vorschreibt, sicherzustellen, dass die in ihrem Art. 5 genannten Daten für die Dauer von bis zu zwei Jahren auf Vorrat gespeichert werden.
    Generalanwalt Pedro Cruz Villalón - Europäischer Gerichtshof

  4. #4
    Geht ein

    (Threadstarter)


    Registriert seit
    Feb 2016
    Ort
    im Funkloch
    Beiträge
    313
    ngb:news Artikel
    3

    Re: Clients vor Proxy bewahren - Nat?

    Zitat Zitat von Shodan Beitrag anzeigen
    1. Ist das so eine "wenn wir was am Netzwerkt ändern wollen müssen wir IBM anrufen und dann kostet das Drölfmillionen" Sache?
    Das ist eine wir haben von der Behörde dieses System als Vorgabe und können das nicht wegschmeißen sondern müssen damit leben.



    --> Die korrekte Vorgehensweise ist es erstmal mit den Netzwerkadmins der Behörde zu reden, die für so Dinge wie den http-Proxy oder den Internetanschluss hauptamtlich verantwortlich sind. Das sind nämlich diejenigen, die den Access Point später einfach einkassieren werden, nachdem sie im Log ein unbekanntes Gerät gefunden haben, das signifikante Mengen an Traffic durchschleift. (... wenn es da Admins gibt)
    Grundsätzlich 'ne gute Idee, bloß gibt es keinen mehr der weiß wie das Netzwerk aufgebaut ist, da das zu Entstehungszeiten wohl random Informatikstudenten gemacht haben die da natürlich nicht mehr arbeiten.


    --> Diese Probleme wirst du nicht los, wenn der Proxy nur ausgehende Verbindungen mit Zielport 80 bzw 443 ermöglicht. Du müsstest einen Webserver haben, der "freies Internet" hat, mit dem du einen Tunnel aufbaust. Das dies möglich ist heißt aber nicht, dass es auch eine gute Idee ist. Insbesondere gibt es für sowas keine "Plug and Play" Lösungen, da es ziemlich nahe an sträfliche Sabotage herankommt. Dich schützt eventuell dein Auftrag, aber mal ganz im Ernst: der Proxy ist nicht das Hindernis, der erlaubt ja die Kommunikation mit Webservern im Internet. Das Hindernis ist die Firewall, denn diese verbietet die Kommunikation mit dem Internet. Deine Frage ist also "Wie umgehe ich von innen die Firewall einer Behörde?" Damit sollte auch klarer werden, warum es da wenig drüber zu finden gibt
    Eben nicht. Ich will die Firewall nicht umgehen sondern ihre offene Stelle nutzen.

    3. Wenn der Proxy "mit Authentifikation" funktioniert, wie planst du den Access Point zu authentifizieren? Mit dem Benutzeraccount und Passwort von John aus der Buchhaltung? Klingeln dir nicht die Ohren, wegen den ganzen Alarmsirenen, die dieser Auftrag auslöst? Selbst wenn du irgendwo einen Funktionsaccount gefunden hast, der berechtigt ist den Proxy zu benutzen: eigentlich braucht der AP einen eigenen solchen Account.
    Eigentlich sind "Gegenfragen" dafür gedacht, um noch nicht gegebene Informationen zu erlangen, auf deren Basis man dann sein Urteil fällt. Was du machst ist einfach nur eine in einer Gegenfrage getarnte Anschuldigung für die du noch nicht mal genug Infos hast.
    Also: Es geht um eine Schule in einer Großstadt. Alle Schulen müssen nach Vorgabe dieses komplett bescheuerte Servernetzwerk nutzen, welches sie am Ende auf einen Proxyserver lenkt der eventuell auch zentral sitzt (die Information wollte mir keiner der Zuständigen geben, oder hat selbst keine Ahnung).
    Die Schulleitung und alle sonstigen Verantwortlichen intern haben meinem Projekt bereits zugestimmt und ich habe einen eigenen Account zur Anmeldung auf dem Proxyserver erhalten.


    4. Was dein Kunde (wahrscheinlich) haben will: Einen Access-Point, der, basierend auf einer passend gepatchten Netzwerkdose, korrektem Routing und entsprechenden Firewallregeln definiert ist als "kann nur mit dem Internet, aber nicht mit dem behördeninternen Netzwerk kommunizieren". Siehe 1.
    Was mein Kunde haben will: Ein Access Point der ein internes Netzwerk aufbaut, es mit einer Firewall von dem Schulnetzwerk trennt und nur Anfragen, die ins Internet gehen ins Schulnetzwerk forwardet, nur eben zu einem Proxyserver mit Authentifikation.

    --- [2018-09-29 11:32 CEST] Automatisch zusammengeführter Beitrag ---

    @alter_Bekannter: Ich will aber nicht am Proxy vorbei, ich will da rein.
    >>Das Felsgestein gähnt in der freudigen Erwartung eures nächsten fabelhaften Spielzugs, Keeper<<

  5. #5
    N.A.C.J.A.C. Avatar von alter_Bekannter
    Registriert seit
    Jul 2013
    Ort
    Midgard
    Beiträge
    4.075

    Re: Clients vor Proxy bewahren - Nat?

    Physikalish gesehen gehts ja auch noch durch den Proxy. Deswegen muss der Router sich ja auch mit dem Verbinden.

    Nur ebn logisch dran vorbei. Im Sinne von: egal wie viele CLeints dahinter stecken der Proxy sieht nur einen verschlüsselten Datenstrom mit dem er nicht interagieren kann außer eventuell eine Vollsperrung.

    Das kann daher durchaus ein Verstoß gegen deinen Arbeitsvertrag sein, sogar ein Grund zur fristlosen Kündigung + Klage.
    Aber ich hilet dich im Zweifel jetzt einfach mal für den mündigen Admin und das Problem für:
    Zitat Zitat von Shodan Beitrag anzeigen
    [post="902023"]
    1. Ist das so eine "wenn wir was am Netzwerkt ändern wollen müssen wir IBM anrufen und dann kostet das Drölfmillionen" Sache?
    Besser kann ich es halt auch nicht formulieren.

    Bei IBM heißt "günstig" halt schonmal:
    Es kostet nur einen kleinen 5 stelligen Betrag pro Monat + Einsatzpauschale.
    Für diesen Beitrag bedankt sich Cazawhi
    Wichtig: Warum die Installation von Win XP ein Linuxproblem ist.

    Autos töten keine Menschen, sie beschützen sie, vor Menschen mit kleineren Autos.

  6. #6
    Geht ein

    (Threadstarter)


    Registriert seit
    Feb 2016
    Ort
    im Funkloch
    Beiträge
    313
    ngb:news Artikel
    3

    Re: Clients vor Proxy bewahren - Nat?

    @alter_Bekannter: Verstehe ich das richtig?
    Du meinst ein VPN Router kann sich am Proxy anmelden und dann per VPN den ganzen Traffic durch das Netz schleusen?

    Dann müsste ich halt eine VPN bezahlen, was ich gar nicht brauche - ist mir jetzt nicht so wichtig den Datenstrom zu verschlüsseln.
    >>Das Felsgestein gähnt in der freudigen Erwartung eures nächsten fabelhaften Spielzugs, Keeper<<

  7. #7
    Lone Gunman Avatar von Shodan
    Registriert seit
    Jul 2013
    Ort
    Citadel Station
    Beiträge
    346

    Re: Clients vor Proxy bewahren - Nat?

    Zitat Zitat von Cazawhi Beitrag anzeigen
    Was du machst ist einfach nur eine in einer Gegenfrage getarnte Anschuldigung für die du noch nicht mal genug Infos hast.
    Ja, das ging zuweit. Ich sollte hier nicht posten. wenn ich hungrig bin, da werde ich polemisch aggressiv. Sorry!
    Mir geht bei solchen "müssen damit leben." Geschichten der Hut hoch. Das Ergebnis ist meiner Erfahrung nach noch mehr Pfusch in einem eh schon schlechten System.

    Zitat Zitat von Cazawhi Beitrag anzeigen
    ich habe einen eigenen Account zur Anmeldung auf dem Proxyserver erhalten.


    Zitat Zitat von Cazawhi Beitrag anzeigen
    Es geht um eine Schule
    Bei "Netzwerk staatlicher Einrichtungen" schwebte mir was anderes vor. Schulen verhalten sich anders wie Behörden: weniger Budget, mehr Widerstand gegen Änderungen an funktionierenden Strukturen, mehr Akzeptanz für wilde Anbauten.

    Zitat Zitat von Cazawhi Beitrag anzeigen
    [niemand] weiß wie das Netzwerk aufgebaut ist [...] random Informatikstudenten [...] die da natürlich nicht mehr arbeiten.
    Also worst case. Aber zumindest bedeutet das, dass da wohl keiner kommen wird um den AP einzukassieren und dich am Ende noch dafür verklagt.



    Ist https://github.com/semigodking/redsocks was du suchst?

    Achtung: ich habe das Ding nie im Einsatz gehabt, da ich den Ansatz Layer 4 auf Layer 7 aufzusetzen schon für falsch halte. Alle Informationen dazu sind "as is" und mein Wissen zu dem Thema ist damit erschöpft
    Für diesen Beitrag bedanken sich saddy, alter_Bekannter, Cazawhi
    Geändert von Shodan (29.09.18 um 18:02 Uhr)
    Art. 6 der Richtlinie 2006/24 ist mit den Art. 7 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union unvereinbar, soweit er den Mitgliedstaaten vorschreibt, sicherzustellen, dass die in ihrem Art. 5 genannten Daten für die Dauer von bis zu zwei Jahren auf Vorrat gespeichert werden.
    Generalanwalt Pedro Cruz Villalón - Europäischer Gerichtshof

  8. #8
    Geht ein

    (Threadstarter)


    Registriert seit
    Feb 2016
    Ort
    im Funkloch
    Beiträge
    313
    ngb:news Artikel
    3

    Re: Clients vor Proxy bewahren - Nat?

    @Shodan: Das ist mal ein Link mit dem ich arbeiten kann , hast mir viel weitergeholfen!
    >>Das Felsgestein gähnt in der freudigen Erwartung eures nächsten fabelhaften Spielzugs, Keeper<<

  9. #9
    Lone Gunman Avatar von Shodan
    Registriert seit
    Jul 2013
    Ort
    Citadel Station
    Beiträge
    346

    Re: Clients vor Proxy bewahren - Nat?

    @Cazawhi: Erzähl es nicht weiter Die Frage kommt immer mal wieder und der erste Ansatz sollte stets sein es den Fragenden auszureden

    Ich mach da mal eine Ausnahme für Bildungszwecke, aber wie gesagt: insbesondere das Umgehen der Authentifizierung kann unter Umständen sogar eine Straftat sein, denn du ermöglichst unberechtigten Systemen/Personen die Nutzung des Netzwerks, wenn sie sich an deinen AP klemmen, bzw verschleierst die tatsächlichen Nutzer und damit die Rückverfolgbarkeit, wenn jemand was anstellt. (Nicht das es da nicht Wege gäbe, aber bei diesem steckst du halt mit drin ;-)

    Die Sache mit dem "eingeschränkt funktionabel" wirst du so auch nicht los werden, denn der Proxy, der wahrscheinlich Teil eines DPI Systems ist, verursacht das auch weiterhin. Siehe VPN / TOR für zensurfreies Internet.
    Geändert von Shodan (29.09.18 um 18:23 Uhr)
    Art. 6 der Richtlinie 2006/24 ist mit den Art. 7 und 52 Abs. 1 der Charta der Grundrechte der Europäischen Union unvereinbar, soweit er den Mitgliedstaaten vorschreibt, sicherzustellen, dass die in ihrem Art. 5 genannten Daten für die Dauer von bis zu zwei Jahren auf Vorrat gespeichert werden.
    Generalanwalt Pedro Cruz Villalón - Europäischer Gerichtshof

  10. #10
    N.A.C.J.A.C. Avatar von alter_Bekannter
    Registriert seit
    Jul 2013
    Ort
    Midgard
    Beiträge
    4.075

    Re: Clients vor Proxy bewahren - Nat?

    @Cazawhi:
    Korrekt, das war der Plan, das wird natürlich schwieriger wenn das über irgendein komische proprietäres Protokoll erfolgt für das es keine Implementierung für OpenWRT gibt.

    Hat eure Firma nicht sowieso irgendwelche Server außerhalb des Netzwerks? In dem Fall bräuchte man nämlich nichts zusätzliches zu mieten.
    Ohne Exitpoint kein Tunnel. Brauchst halt draußen wieder was dass den Datenstrom wieder auseinander nimmt, egal ob du es verschlüsselst oder nicht.
    Wichtig: Warum die Installation von Win XP ein Linuxproblem ist.

    Autos töten keine Menschen, sie beschützen sie, vor Menschen mit kleineren Autos.

  11. #11
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    1.747
    ngb:news Artikel
    12

    Re: Clients vor Proxy bewahren - Nat?

    @alter_Bekannter: Wie oben steht, gehts um eine Schule, also vermutlich nö.
    Für diesen Beitrag bedankt sich alter_Bekannter
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  12. #12
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.576
    ngb:news Artikel
    16

    Re: Clients vor Proxy bewahren - Nat?

    Du brauchst in jedem Fall einen Endpunkt außerhalb deines Netzwerks. Anders geht kein *freies* Internet.

    Nachdem die Warnungen durch sind - und mit dem Hinweis an andere das das in Firmen als Arbeitnehmer zur Kündigung führen kann:

    Du kannst außerhalb das https://www.softether.org nutzen und sich dort direkt von jedem.pc im Haus hin verbinden, dann muss man dort fast nichts ändern.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  13. #13
    Geht ein

    (Threadstarter)


    Registriert seit
    Feb 2016
    Ort
    im Funkloch
    Beiträge
    313
    ngb:news Artikel
    3

    Re: Clients vor Proxy bewahren - Nat?

    @drfuture: Dann müsste ich aber im Internet einen SoftEther VPN Server hosten, und das kostet mich definitiv Geld, weil mein Hausanschluss eigentlich nicht mal meinen Bedarf richtig deckt.
    >>Das Felsgestein gähnt in der freudigen Erwartung eures nächsten fabelhaften Spielzugs, Keeper<<

  14. #14
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.576
    ngb:news Artikel
    16

    Re: Clients vor Proxy bewahren - Nat?

    die Schule müsste nicht du... und wie schon gesagt - ohne einen Endpunkt mit freiem Internet außerhalb der Schule / deines eingeschränkten Netzes funktioniert es nicht.
    Geändert von drfuture (30.09.18 um 20:34 Uhr)
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  15. #15
    Mitglied
    Registriert seit
    Jul 2013
    Ort
    Weinberge :)
    Beiträge
    1.020

    Re: Clients vor Proxy bewahren - Nat?

    Also das Jobcenter arbeitet mit Access Datenbanken.
    Sry aber Behörden und Sinn bei IT das passt einfach nicht

  16. #16
    Geht ein

    (Threadstarter)


    Registriert seit
    Feb 2016
    Ort
    im Funkloch
    Beiträge
    313
    ngb:news Artikel
    3

    Re: Clients vor Proxy bewahren - Nat?

    Nichts toppt dashier

    3 Teams gestellt vom Förderverein der Schule, dem Elternbeirat und paar Leute der Stadt
    1 Team macht PCs in den Klassenzimmern
    1 Team macht die Verkabelung und die Pachpanels
    1 Team verwaltet den Server

    Die Teams reden nicht miteinander

    Keiner der Mitglieder der Teams hat irgendwas mit IT zu tun und macht das zum ersten Mal
    >>Das Felsgestein gähnt in der freudigen Erwartung eures nächsten fabelhaften Spielzugs, Keeper<<

  17. #17
    N.A.C.J.A.C. Avatar von alter_Bekannter
    Registriert seit
    Jul 2013
    Ort
    Midgard
    Beiträge
    4.075

    Re: Clients vor Proxy bewahren - Nat?

    Das schlimme daran ist, dass es mich nicht im geringsten schockiert oder auch nur überrascht.

    Klicke auf die Grafik für eine größere Ansicht 

Name:	5b32eb906c790134d06d005056a9545d.gif 
Hits:	21 
Größe:	125,0 KB 
ID:	52450

    Das letzte Panel ist Branchen- und Fachbereichübergreifend allgemeingültig.

    Die einzige Ausnahme sind Trivialaufgaben also Sachen die auf unter 1 Stunde geschätzt werden von jemandem der was davon versteht und es dann selber ausführt.
    Für diesen Beitrag bedankt sich Cazawhi
    Wichtig: Warum die Installation von Win XP ein Linuxproblem ist.

    Autos töten keine Menschen, sie beschützen sie, vor Menschen mit kleineren Autos.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •