Proxy-Server für Unternehmen gesucht

[DJKno]

Hallo CB-Community,

ich möchte mal wieder auf eure Erfahrungen und das Schwarmwissen zurückgreifen.
Momentan beschäftige ich mich mit der Einführung eines Proxy-Servers in unserem Unternehmen.
Aktuell wird der komplette Internetverkehr über eine Sophos UTM Firewall abgedeckt und die Clients haben darüber Zugang zum Internet.

Ich möchte die Sicherheit erhöhen und ggf. zusätzliche Features wie Caching und AdBlocker einbauen.
Leider bin ich seit einigen Jahren nicht mehr im Thema.

Was gibt es aktuell für Lösungen, welche modern und sicher sind?
Ein simpler Squid Proxy wäre vermutlich schon ausreichend. Allerdings wäre eine modernes Webinterface ganz nett.
Zusätzliche wäre die Möglichkeit zur Nutzung einer Whitelist von Vorteil. Wenn diese dann noch einen direkten Abgleich mit einer offiziellen Stelle (sowas wie das BSI) macht noch besser.

Könnt Ihr mir dafür Tipps geben, wie ich das Thema sinnvoll angehen kann.
Ist ein Proxy in dieser Form überhaupt noch zeitgemäß?
Geht sowas mit Open Source oder lieber etwas kaufen?
Das System kann gern als VM auf unserem ESXI laufen.

PS: Die Sophos hat auch einen Webfilter, dieser ist aber nicht gut und bietet keinen Cache.

 

[qiller]

Das mit dem Caching würd ich in Zeiten von verschlüsselten HTTP-Verbindungen nicht überbewerten. Das meiste kann eh nicht mehr gecached werden. Ich selber setze noch den Webproxy in einer IPFire-Firewall ein (hier wird auch squid benutzt). Hier bedarf es aktuell aber auch einer Ablösung, da die URL-Filterlisten (hatte immer die Shalla-Liste) nicht mehr weitergepflegt werden. Daher bin ich mal gespannt, was hier noch so kommt :>.

 

[Eagle_B5]

Was sind denn die genauen Use-Cases, denn Caching in Zeiten von verschlüsselten Verbindungen ist nebensächlich und die Sicherheit wird nicht generell besser beim Einsatz eines Proxies.
Auf basis der einzelnen Use-Cases kann man sich dann für eine Möglichkeit/Lösung entscheiden. Und die wiederum würde ich nicht selber implementieren wollen, wenn ich nicht vom Fach bin (Sicherheit).

 

[Atkatla]

Wenn man die Sicherheit erhöhen will, dann sollte man nicht über Caching nachdenken, sondern über Gefahren.

Es wäre daher sinnvoll, wenn der Proxy Zugriffe auf Seiten bzw Downloads von Seiten blockiert, wo festgestellt wurde, dass dort Phishingversuche stattfinden oder Malware verteilt wird. Diese DNS-/IP-Listen sollten dann automatisch vom Anbieter an dein System gepusht werden, damit deine Clients geschützt werden, wenn irendwo in der Welt jemand eine neue Malware- oder Phishingquelle detektiert hat. Diese Services kosten aber dann üblicherweise jährliche Supportgebühren.

Zudem kann man Themenbereiche black/oder whitelisten und der Dienstleister klassifiziert die Webserver im Internet und weist diese den einzelnen Kategorien zu. Die IT kann dann Kategorien white- oder blacklisten und muss nicht FQDN-Listen hinterherpflegen. Wenn eure Sophos eine UTM ist, sollte sie das evtl auch können, eine bessere Alternative wäre eine kleine Fortigate-VM, die man rein als Proxy einsetzt. Sollte man sich damit nicht auskennen, sollte mindestens für die Implementierung ein Partner rangezogen werden. Kostet zwar investiv etwas Geld, spart aber auf Dauer Zeit (und damit auch wieder Geld).

 

[aluis]

Ich rate von einem Proxy ab, da es haufenweise Geschäftsanwendungen gibt, welche aufs Internet zugreifen müssen aber keinen Proxysupport haben.

Caching würde ich nur versuchen, wenn ihr ne große Fabrik, aber nur ne 16Mbit Leitung bekommt. Ansonsten würde ich die Finger von lassen. Nutzen/Aufwand, vorallem daraus resultierende Probleme, lohnt sich einfach nicht.

Adblocken ist auch nicht so einfach. DNS Blockaden sind schwer durchzusetzen. Irgend ein Anwenderar***loch zieht sich den Chome/Firefox portable und hat dann DNS-Over-HTTPS.

IP-Sperren werden mehr sperren als man eigentlich will.

Adblocken würde ich auf den Clients machen. Zum Beispiel uBlock per GPO in den Edge raushauen.

Ich habe vor zwei Jahren eine virtuelle pfSense aufgesetzt und bin damit sehr zufrieden. Die Möglichkeiten durch Addons oder eigene Scripte sind sehr umfangreich. Man hat alles über Dashboards im Blick. Ausschlaggebend war vorallem, keinen Single Point of Failure mehr zu haben:

Vom Internetrouter geht nur ein Kabel weg, welches in eine Netzwerkkarte geht, welche exklusiv in die virtuelle pfSense rein gereicht ist.

• Fällt eine Internetleitung aus, wird das Kabel einfach von der zweiten Internetleitung eingesteckt.
• Fällt der Router aus, wird auch einfach das Kabel von der zweiten Internetleitung eingesteckt.
• Fällt der Host mit der virtuellen pfSense aus, wird diese einfach auf einem anderen Host weiterlaufen wo die exklusive Netzwerkkarte schon wartet.

Die Fälle lassen sich auch automatisieren, wenn man Zeit/Geld investieren möchte. Geld auf Eigeninitiative gespart ist immer DAS Totschlagargument für die nächste Gehaltsverhandlung.

Wir hatten vorher auch mal so ne Sophos UTM Firewall. Die ist vor drei Jahren mal kaputt gegangen, und nein, es lag keine zweite als Ersatz da.

PS: Ich mach seit zwei Jahren die Systemadministration bei uns nur als Zusatzaufgabe zum Beraterjob (keine Systemtechnik). Sicherlich wird dir jemand erzählen, dass wenn man hunderttausende im Jahr in Hardware und Admingehälter investiert, man alles viel viel besser machen kann ^^