? Secure Internet Service (SIS) KocoBox - WebProxy - wie macht ihr das?

[Fallery]

Guten Morgen,
Jahrelang lief unser Internetzugriff über einen Jana Proxy um auch etwas Kontrolle auf die Internetzugänge der Clients zu haben.
Nun muss ich Jana wg. Updateproblemen tauschen. Läuft nicht mehr unter Windows 11 und ist auch uralt.
Wie macht ihr das? Es gibt ja auch auf der Kocobox den Secure Internet Service (SIS)
Nutzt den jemand? Wenn ja, wie muss ich den konfigurieren?
Derzeit haben die Clients einen Proxy Server hinterlegt und für TI ist die Kocobox das default Gateway.
Bin für Tipps dankbar. Schönes Wochenende

[ivenae]

Der SIS ist ein kostenpflichtiger Service, der nach Verbrauch abgerechnet wird. Dabei wird der gesamte Datenverkehr in den TI-Tunnel geschickt und irgendwo im Rechenzentrum bei der CGM ausgeleitet. Was genau an der Stelle mit dem Traffic gemacht wird, d.h. warum das sicherer ist, das sei mal dahin gestellt. Eines ist das aber: Langsamer und erheblich teurer.

[lcer]

Hallo,

ich hatte damals auch einen eigenen Proxyserver laufen. SIS wäre für mich nie eine Alternative gewesen, da von mir nicht administrierbar. Ich habe, nach einem Intermezzo mit einer OPNsense Firewall dann das Geld für eine kostenpflichtige Firewall (Fortigate) ausgegeben, da der Administrative Aufwand deutlich geringer war, bei zusätzlichen Sicherheitsfeatures.

Grüße

lcer

[torsten2]

Squid gibt es schon ewig. Bekommt man schnell ans Laufen, ist aber hoch konfigurierbar. Für die Netzlast einer Praxis reicht da jeder Mini-PC. Wenn man es für die Netzwerksicherheit macht, sollte es ja auf dem eigenen Blech laufen und nicht in einer VM. Es sollte jedoch auch unter Cygwin gehen oder in Windows 11 gibt es ja wsl, da kann man eine Linux Distro im Windows 11 starten. Ich habe ein Kali auf meinem Reparaturlaptop. Das geht ganz passabel und man muß nicht dauernd hin- und herbooten.

[FortiSecond]

Frage am Rande: Welche Aufgabe soll der Proxy haben?

Früher hat man das bei ISDN und langsamen DSL-Anschlüssen gemacht. Dann irgendwann auch zum Filtern.

Heutzutage allerdings wird das meiste mit Blocklisten und Verhaltensanalyse weggefischt (IP-Adressen etc.), was die meisten Sicherheitsgateways im Sinne von Firewall+Contenfilter+"irgendeingeschützteszauberwortfürdieeigeneauslegungvonSuricatapluseinpaarschlaueextras" beherrschen.

Verhaltensanalyse ist ein spannendes Thema mit Stärken und Schwächen.

Blocklisten setzen voraus, dass eine IP-Adresse (Range, ASN etc.) sich auffällig verhält und dies per Schwarmintelligenz/Telemetrie erkannt wird oder aber sie bekannt für Malware oder andere böse Dinge ist. Die sind in Desktop-Firewalls, z.B. bei ESET Internet Security, eigentlich Standard. Windows Smartscreen, Browser-Funktionen etc. arbeiten auch mit verwandten Methoden.

Ergänzen kann man das durchaus um einen transparenten Proxy mit Malware-Prüfstufe, wobei die Hardware hier so manche Grenze setzt und viel von der verwendeten Scannersoftware abhängt. Dieser wird per NAT transparent auf alle Verbindungen zu Websites (mindestens Zielports 80 und 443) "angeflanscht", muss aber in Zeiten von HSTS mit Vorsicht betrachtet werden.


SIS: kvno sagt, dass SIS mit TIaaS wegfällt.
Bei SIS läuft auch eine Art Blockliste. Genauer habe ich es mir aber nicht angesehen.

Ansonsten:
Wenn´s günstig sein soll und man sich drauf einlassen will, tut es eine OPNsense (optional mit ZenArmor) oder pfSense - beide mit IDS (Suricata) serienmäßig. Dort ist auch ein Proxy drin, der mit ClamAV arbeitet. Bei guten Signaturdaten kann das schon was reißen.
Wenn man nicht die Einstellungen verhackt, sollte man schon nach der Grundinstallation sicherer unterwegs sein als mit einer Fritzbox - die bei den meisten trotzdem noch davor hängt und Paketfilter spielt (solange man nicht die Firewall als Exposed Host... und so weiter).

Einen Desktop-Virenschutz ersetzt das nicht. Mein Ansatz ist hier allerdings "Windows Defender oder was "Richtiges"". Das "Richtige" ist dann sowas wie ESET, EMSISOFT, GDATA und so weiter und ausdrücklich nicht AVG/AVIRA/Norton. Letztere meide ich vorrangig aus Gründen der Performance und des "Nervfaktors" durch Einblendungen, Überreaktion etc.

Wenn´s bequem und sicher sein soll, vertrauensvoll an einen guten IT-Dienstleister wenden und sich eine Lösung vorschlagen lassen. Es muss ja nicht CGM Protect sein oder eines der massiv beworbenen Firewallpakete. So mancher VSP hat auch "normale" Lösungen am Start.

Wenn "alles" sein soll, kann man natürlich auch das Superpack mit RMM, N-Able, Sentinel One und Hardware-Appliance ordern. Wenn das ordentlich gemacht wird, geht man problemlos in den 5-stelligen Bereich und jährlich 4-stellig an den Start. Mit "ordentlich" meine ich eine vollständige und an die individuellen Bedürfnisse angepasste Installation und nicht nur das "Installations-Servicepaket".

Für alle Varianten gilt natürlich, dass die Dinger vernünftig eingerichtet werden müssen. Die teils quelloffenen "freien" Pakete sind teilweise sehr zugänglich geworden, doch sollte man immer bedenken, dass man mit falschen Einstellungen schnell Scheunentore aufreißt. Das gilt allerdings für ALLE Firewalls, UTM, NG-Firewalls und wie sie auch immer gerade betitelt werden.

Ein Totalabsturz kann bei allen auftreten - wobei dann vorteilhaft ist, einen passenden Dienstleister zu haben, der die Kiste wieder aufrichten kann. Von Experimenten mit xyzSense rate ich nicht ab, aber von experimentellem Einsatz in der Praxis.

Folglich gilt: Eine ordentliche Absicherung kostet IMMER ordentlich Zeit und/oder Geld.

[lcer]

Hallo,

da kann ich nur zustimmen. Der wichtigste Punkt ist jedenfalls das Aktuellhalten der Firewall Konfiguration. Also:
Wie werden die Blacklists auf dem aktuellen Stand gehalten? Kostenpflichtige Lösungen sind hier oft aktueller als frei verfügbare.
Wie wird die Konfiguration angepasst, wenn die Anwendungssoftware nach einem Update neue Freischaltungen für Verbindungen benötigt.
Wie stellt man sicher, dass Risikoanwendungen wie z.B. TeamViewer nur da und dann erlaubt sind, wo sie benötigt werden?

Das bindet alles eine Menge Ressourcen und Geld.

Grüße

lcer

[c-it]

Einen Desktop-Virenschutz ersetzt das nicht. Mein Ansatz ist hier allerdings "Windows Defender oder was "Richtiges"". Das "Richtige" ist dann sowas wie ESET, EMSISOFT, GDATA und so weiter und ausdrücklich nicht AVG/AVIRA/Norton. Letztere meide ich vorrangig aus Gründen der Performance und des "Nervfaktors" durch Einblendungen, Überreaktion etc.
...
Folglich gilt: Eine ordentliche Absicherung kostet IMMER ordentlich Zeit und/oder Geld.

Absolute Zustimmung. Kleines Bonmot am Rande:
Anfang der Woche hat eine junge dynamische MTA (die Computerbeauftragte der Praxis) neben den TMed-Updates auch schnell mal Malwarebytes auf dem Server installiert. Das Programm hat sich als erstes über die sonogdt.exe hergemacht, und das war's dann mit dem Ultraschall (Gyn-Doppelpraxis!!).

... zum Glück gibt es einen Wartungszugang ...

Schönes Wochenende
c-it