Firewall/Demilitarisierte Zone: Unterschied zwischen den Versionen

Aus Foxwiki
 
(59 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' kurze Beschreibung
'''Demilitarisierte Zone''' ('''DMZ''')
 
== Beschreibung ==
== Beschreibung ==
[[Datei:DMZ network diagram 1 firewall.svg|mini|hochkant=1.5|Aufbau mit einstufigem Firewall-Konzept]]
[[Datei:DMZ network diagram 1 firewall.svg|mini|Aufbau mit einstufigem Firewall-Konzept]]
[[Datei:DMZ network diagram 2 firewall.svg|mini|hochkant=1.5|Aufbau mit zweistufigem Firewall-Konzept]]
[[Datei:DMZ network diagram 2 firewall.svg|mini|Aufbau mit zweistufigem Firewall-Konzept]]
Eine '''Demilitarisierte Zone''' ('''DMZ,''' auch ''Demilitarized Zone, Perimeter-'' oder ''Umkreisnetzwerk'') bezeichnet ein [[Rechnernetz|Computernetz]] mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen [[Server]].
Perimeter-Netzwerk
* [[Rechnernetz|Computernetz]] mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten


Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere [[Firewall]]s gegen andere Netze (z. B. [[Internet]], [[Local Area Network|LAN]]) abgeschirmt. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste ([[Bastion Host]]s mit z. B. [[Mailserver|E-Mail]], [[Webserver|WWW]]) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
; In eine DMZ aufgestellte Systeme werden durch eine oder mehrere [[Firewall]]s gegen andere Netze (z. B. [[Internet]], [[Local Area Network|LAN]]) abgeschirmt
* Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste ([[Bastion Host]]s mit z. B. [[Mailserver|E-Mail]], [[Webserver|WWW]]) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.


Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem [[Wide Area Network|WAN]] ([[Internet]]) als auch dem LAN ([[Intranet]]) zur Verfügung zu stellen.
; Der Sinn besteht darin
* auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem [[Wide Area Network|WAN]] ([[Internet]])  
* als auch dem LAN ([[Intranet]]) zur Verfügung zu stellen


Ihre Schutzwirkung entfaltet eine DMZ durch die [[Isolation (Datenbank)|Isolation]] eines Systems gegenüber zwei oder mehr Netzen.
; Ihre Schutzwirkung entfaltet eine DMZ durch die [[Isolation (Datenbank)|Isolation]] eines Systems gegenüber zwei oder mehr Netzen
<br clear=all>


== Sicherheitsaspekte ==
== Sicherheitsaspekte ==
In Deutschland empfiehlt das [[Bundesamt für Sicherheit in der Informationstechnik|BSI]] in seinen [[IT-Grundschutz-Kataloge]]n ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Dadurch kompromittiert eine einzelne Schwachstelle nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.
; [[Bundesamt für Sicherheit in der Informationstechnik|BSI]] empfiehlt
 
* in seinen [[IT-Grundschutz-Kataloge]]n ein zweistufiges Firewall-Konzept zum Internet.  
Die Filterfunktionen können durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z.&nbsp;B. [[Wide Area Network|WAN]] und LAN) und einen dritten für die DMZ (siehe auch [[Dual homed host]]).
 
Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden. Dies könnte z.&nbsp;B. eine Segmentierung in [[Virtual Local Area Network|VLANs]] sein oder [[Software Firewall]]s auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.
 
Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz. Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk. Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-[[Systemadministrator|Administrator]] vor der Regel-Freischaltung. Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:
* auf die innere Firewall direkt
* auf andere Server in derselben DMZ
* über [[Sicherheitslücke (Software)|Sicherheitslücken]] in Administrations-Werkzeugen wie [[Telnet]]<ref>[https://www.heise.de/newsticker/meldung/Telnet-Clients-mehrerer-Hersteller-verwundbar-148222.html Telnet-Clients mehrerer Hersteller verwundbar] Heise.de, 29. März 2005</ref> oder [[Secure Shell|SSH]]<ref>[https://www.heise.de/newsticker/meldung/Zwei-Schwachstellen-in-PuTTY-136841.html Zwei Schwachstellen in PuTTY] Heise.de, 21. Februar 2005</ref> und
* auf Verbindungen, die regulär in die DMZ aufgebaut wurden.
 
 
 
 
 
 
Eine Demilitarized Zone (DMZ, auch ent- oder demilitarisierte Zone) bezeichnet ein [http://de.wikipedia.org/wiki/Rechnernetz Computernetz] mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen [http://de.wikipedia.org/wiki/Server Server].
* Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere [http://de.wikipedia.org/wiki/Firewall Firewalls] gegen andere Netze (z.&nbsp;B. [http://de.wikipedia.org/wiki/Internet Internet], [http://de.wikipedia.org/wiki/Local_Area_Network LAN]) abgeschirmt.
* Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste ([http://de.wikipedia.org/wiki/Bastion_Host Bastion Hosts] mit z.&nbsp;B. [http://de.wikipedia.org/wiki/Mailserver E-Mail], [http://de.wikipedia.org/wiki/Webserver WWW] o.&nbsp;ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
 
[[Image:Grafik24.png|right]]
 
Aufbau mit einstufigem Firewall-Konzept
 
Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem [http://de.wikipedia.org/wiki/Wide_Area_Network WAN] ([http://de.wikipedia.org/wiki/Internet Internet]) als auch dem LAN ([http://de.wikipedia.org/wiki/Intranet Intranet]) zur Verfügung zu stellen.


Ihre Schutzwirkung entfaltet eine DMZ durch die [http://de.wikipedia.org/wiki/Isolation Isolation] eines Systems gegenüber zwei oder mehr Netzen.
; In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz.  
 
* Dadurch kompromittiert eine einzelne Schwachstelle nicht gleich das interne Netz.  
[[Image:Grafik25.png]]
 
Aufbau mit zweistufigem Firewall-Konzept
 
== Sicherheitsaspekte  ==
In Deutschland empfiehlt das [http://de.wikipedia.org/wiki/Bundesamt_für_Sicherheit_in_der_Informationstechnik BSI] in seinen [http://de.wikipedia.org/wiki/IT-Grundschutz-Kataloge IT-Grundschutz-Katalogen] ein zweistufiges Firewall-Konzept zum Internet.
* In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz.
 
Dadurch kompromittiert eine einzelne Schwachstelle noch nicht gleich das interne Netz.  
* Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.
* Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.


Die Filterfunktionen können aber durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z.&nbsp;B. [http://de.wikipedia.org/wiki/Wide_Area_Network WAN] und LAN) und einen dritten für die DMZ (siehe auch [http://de.wikipedia.org/wiki/Dual_homed_host Dual homed host]).
; Die Filterfunktionen können durchaus von einem einzelnen Gerät übernommen werden
* in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse
* je einen für die beiden zu verbindenden Netzsegmente (z.&nbsp;B.&nbsp;[[Wide Area Network|WAN]] und LAN) und einen dritten für die DMZ (siehe auch [[Dual homed host]]).


Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden.
; Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden
* Dies könnte z.&nbsp;B. eine Segmentierung in [http://de.wikipedia.org/wiki/Virtual_Local_Area_Network VLANs] sein oder [http://de.wikipedia.org/wiki/Software_Firewall Software Firewalls] auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.
* Dies könnte z.&nbsp;B.&nbsp;eine Segmentierung in [[Virtual Local Area Network|VLANs]] sein oder [[Software Firewall]]s auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.


Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz.  
; Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz.  
* Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk.  
* Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk.  
* Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-[http://de.wikipedia.org/wiki/Systemadministrator Administrator] vor der Regel-Freischaltung.  
* Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-[[Systemadministrator|Administrator]] vor der Regel-Freischaltung.  
* Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:* auf die innere Firewall direkt,
* Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:
* auf andere Server in der gleichen DMZ und
* auf die innere Firewall direkt
* über [http://de.wikipedia.org/wiki/Sicherheitslücke_%28Software%29 Sicherheitslücken] in Administrations-Werkzeugen wie [http://de.wikipedia.org/wiki/Telnet Telnet] oder [http://de.wikipedia.org/wiki/Secure_Shell SSH].
* auf andere Server in derselben DMZ
 
* über [[Sicherheitslücke (Software)|Sicherheitslücken]] in Administrations-Werkzeugen wie [[Telnet]]<ref>[https://www.heise.de/newsticker/meldung/Telnet-Clients-mehrerer-Hersteller-verwundbar-148222.html Telnet-Clients mehrerer Hersteller verwundbar] Heise.de, 29. März 2005</ref> oder [[Secure Shell|SSH]]<ref>[https://www.heise.de/newsticker/meldung/Zwei-Schwachstellen-in-PuTTY-136841.html Zwei Schwachstellen in PuTTY] Heise.de, 21. Februar 2005</ref> und auf Verbindungen, die regulär in die DMZ aufgebaut wurden.
=== Exposed Host als „Pseudo-DMZ“  ===
Einige [http://de.wikipedia.org/wiki/Router Router] für den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host fälschlicherweise als „DMZ“.
* Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die [http://de.wikipedia.org/wiki/Network_Address_Translation NAT]-Tabelle einem anderen Empfänger zugeordnet werden können.
 
Dieses Verfahren stellt ein erhebliches Sicherheitsrisiko dar.
* Es eignet sich eher für die Fehlersuche, um temporär den Einfluss der Firewall zu umgehen, etwa bei Problemen mit bestimmten Datenverbindungen.  
* Eine [http://de.wikipedia.org/wiki/Portweiterleitung Portweiterleitung] der tatsächlich benutzten Ports ist dem vorzuziehen.


Es hängt von der konkr Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Portweiterleitungen auf andere Rechner unwirksam macht.
; Eine Demilitarized Zone (DMZ, auch ent- oder demilitarisierte Zone) bezeichnet ein [http://de.wikipedia.org/wiki/Rechnernetz Computernetz] mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen [http://de.wikipedia.org/wiki/Server Server].
* Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere [http://de.wikipedia.org/wiki/Firewall Firewalls] gegen andere Netze (z.&nbsp;B.&nbsp;[http://de.wikipedia.org/wiki/Internet Internet], [http://de.wikipedia.org/wiki/Local_Area_Network LAN]) abgeschirmt.
* Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste ([http://de.wikipedia.org/wiki/Bastion_Host Bastion Hosts] mit z.&nbsp;B.&nbsp;[http://de.wikipedia.org/wiki/Mailserver E-Mail], [http://de.wikipedia.org/wiki/Webserver WWW] o.&nbsp;ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.


=== Dirty DMZ  ===
[[Image:Grafik24.png|right|Aufbau mit einstufigem Firewall-Konzept]]
Als dirty DMZ oder dirty net bezeichnet man im Allgemeinen das Netzsegment zwischen dem [http://de.wikipedia.org/wiki/Perimeter Perimeterrouter] und der Firewall des (internen) LAN.


Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters.  
; Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem [http://de.wikipedia.org/wiki/Wide_Area_Network WAN] ([http://de.wikipedia.org/wiki/Internet Internet]) als auch dem LAN ([http://de.wikipedia.org/wiki/Intranet Intranet]) zur Verfügung zu stellen.
* Diese Version der DMZ liefert einen Performancegewinn, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.


=== Protected DMZ  ===
; Ihre Schutzwirkung entfaltet eine DMZ durch die [http://de.wikipedia.org/wiki/Isolation Isolation] eines Systems gegenüber zwei oder mehr Netzen.
Mit protected DMZ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt.  
* Diese DMZ hat die individuelle Sicherheit der Firewall.


Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.
[[Image:Grafik25.png|Aufbau mit zweistufigem Firewall-Konzept]]


== Installation ==
== Weitere Szenarien ==
== Anwendungen ==
=== Fehlerbehebung ===
== Syntax ==
=== Optionen ===
=== Parameter ===
=== Umgebungsvariablen ===
=== Exit-Status ===
== Konfiguration ==
=== Dateien ===
== Sicherheit ==
== Dokumentation ==
=== RFC ===
=== Man-Pages ===
=== Info-Pages ===
== Siehe auch ==
== Links ==
=== Projekt-Homepage ===
=== Weblinks ===
=== Einzelnachweise ===
<references />
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 1''
<div class="mw-collapsible-content">'''Antwort1'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 2''
<div class="mw-collapsible-content">'''Antwort2'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 3''
<div class="mw-collapsible-content">'''Antwort3'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 4''
<div class="mw-collapsible-content">'''Antwort4'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Testfrage 5''
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
 
[[Kategorie:Firewall]]
[[Kategorie:Entwurf]]
 
= Wikipedia =
== Weitere Versionen ==
=== Exposed Host als „Pseudo-DMZ“ ===
=== Exposed Host als „Pseudo-DMZ“ ===
Einige [[Router]] für den Heimgebrauch bezeichnen die Konfiguration eines ''Exposed Host'' fälschlicherweise als „DMZ“. Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die [[Network Address Translation|NAT]]-Tabelle einem anderen Empfänger zugeordnet werden können. Damit ist der Host (auch für potenzielle Angreifer) aus dem Internet erreichbar. Eine [[Portweiterleitung]] der tatsächlich benutzten Ports ist dem&nbsp;– falls möglich&nbsp;– vorzuziehen.
; Einige [[Router]] für den Heimgebrauch bezeichnen die Konfiguration eines ''Exposed Host'' fälschlicherweise als „DMZ“.
* Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die [[Network Address Translation|NAT]]-Tabelle einem anderen Empfänger zugeordnet werden können.
* Damit ist der Host (auch für potenzielle Angreifer) aus dem Internet erreichbar.
* Eine [[Portweiterleitung]] der tatsächlich benutzten Ports ist dem&nbsp;– falls möglich&nbsp;– vorzuziehen.


Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der ''Exposed Host'', oder ob der ''Exposed Host'' die Portweiterleitungen auf andere Rechner unwirksam macht.
Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der ''Exposed Host'', oder ob der ''Exposed Host'' die Portweiterleitungen auf andere Rechner unwirksam macht.


=== Dirty DMZ ===
=== Dirty DMZ ===
Als ''dirty DMZ'' oder ''dirty net'' bezeichnet man üblicherweise das [[Netzwerksegment|Netzsegment]] zwischen dem Perimeterrouter und der Firewall des (internen) LAN. Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters. Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.
; Als ''dirty DMZ'' oder ''dirty net'' bezeichnet man üblicherweise das [[Netzwerksegment|Netzsegment]] zwischen dem Perimeterrouter und der Firewall des (internen) LAN.
* Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters.
* Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.


=== Protected DMZ ===
=== Protected DMZ ===
Mit ''protected DMZ'' bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt. Diese DMZ hat die individuelle Sicherheit der Firewall. Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.
; Mit ''protected DMZ'' bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt.
* Diese DMZ hat die individuelle Sicherheit der Firewall.
* Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.


[[Kategorie:IT-Sicherheit]]
<noinclude>
[[Kategorie:Rechnernetze]]
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/Demilitarisierte Zone}}
{{Special:PrefixIndex/DMZ}}
 
==== Links ====
===== Weblinks =====
 
[[Kategorie:Firewall]]
</noinclude>

Aktuelle Version vom 21. Januar 2024, 12:34 Uhr

Demilitarisierte Zone (DMZ)

Beschreibung

Aufbau mit einstufigem Firewall-Konzept
Aufbau mit zweistufigem Firewall-Konzept
  • Perimeter-Netzwerk
  • Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten
In eine DMZ aufgestellte Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt
  • Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
Der Sinn besteht darin
  • auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet)
  • als auch dem LAN (Intranet) zur Verfügung zu stellen
Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehr Netzen


Sicherheitsaspekte

BSI empfiehlt
In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz.
  • Dadurch kompromittiert eine einzelne Schwachstelle nicht gleich das interne Netz.
  • Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.
Die Filterfunktionen können durchaus von einem einzelnen Gerät übernommen werden
  • in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse
  • je einen für die beiden zu verbindenden Netzsegmente (z. B. WAN und LAN) und einen dritten für die DMZ (siehe auch Dual homed host).
Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden
  • Dies könnte z. B. eine Segmentierung in VLANs sein oder Software Firewalls auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.
Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz.
  • Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk.
  • Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-Administrator vor der Regel-Freischaltung.
  • Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:
  • auf die innere Firewall direkt
  • auf andere Server in derselben DMZ
  • über Sicherheitslücken in Administrations-Werkzeugen wie Telnet[1] oder SSH[2] und auf Verbindungen, die regulär in die DMZ aufgebaut wurden.
Eine Demilitarized Zone (DMZ, auch ent- oder demilitarisierte Zone) bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server.
  • Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt.
  • Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW o. ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.
Aufbau mit einstufigem Firewall-Konzept
Aufbau mit einstufigem Firewall-Konzept
Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen.
Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehr Netzen.

Aufbau mit zweistufigem Firewall-Konzept

Weitere Szenarien

Exposed Host als „Pseudo-DMZ“

Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host fälschlicherweise als „DMZ“.
  • Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können.
  • Damit ist der Host (auch für potenzielle Angreifer) aus dem Internet erreichbar.
  • Eine Portweiterleitung der tatsächlich benutzten Ports ist dem – falls möglich – vorzuziehen.

Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Portweiterleitungen auf andere Rechner unwirksam macht.

Dirty DMZ

Als dirty DMZ oder dirty net bezeichnet man üblicherweise das Netzsegment zwischen dem Perimeterrouter und der Firewall des (internen) LAN.
  • Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters.
  • Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.

Protected DMZ

Mit protected DMZ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt.
  • Diese DMZ hat die individuelle Sicherheit der Firewall.
  • Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.


Anhang

Siehe auch

Links

Weblinks
  1. Telnet-Clients mehrerer Hersteller verwundbar Heise.de, 29. März 2005
  2. Zwei Schwachstellen in PuTTY Heise.de, 21. Februar 2005