topic kurze Beschreibung

Beschreibung

Installation

Anwendungen

Fehlerbehebung

Syntax

Optionen

Parameter

Umgebungsvariablen

Exit-Status

Konfiguration

Dateien

Sicherheit

Dokumentation

RFC

Man-Pages

Info-Pages

Siehe auch

Links

Projekt-Homepage

Weblinks

Einzelnachweise

Testfragen

TMP

Sicherheitsaspekte

In Deutschland empfiehlt das BSI in seinen IT-Grundschutz-Katalogen ein zweistufiges Firewall-Konzept zum Internet.

• In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz.

Dadurch kompromittiert eine einzelne Schwachstelle noch nicht gleich das interne Netz.

• Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.

Die Filterfunktionen können aber durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z. B. WAN und LAN) und einen dritten für die DMZ (siehe auch Dual homed host).

Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden.

• Dies könnte z. B. eine Segmentierung in VLANs sein oder Software Firewalls auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.

Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz.

• Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk.
• Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-Administrator vor der Regel-Freischaltung.
• Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:* auf die innere Firewall direkt,
• auf andere Server in der gleichen DMZ und
• über Sicherheitslücken in Administrations-Werkzeugen wie Telnet oder SSH.

Exposed Host als „Pseudo-DMZ“

Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host fälschlicherweise als „DMZ“.

• Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können.

Dieses Verfahren stellt ein erhebliches Sicherheitsrisiko dar.

• Es eignet sich eher für die Fehlersuche, um temporär den Einfluss der Firewall zu umgehen, etwa bei Problemen mit bestimmten Datenverbindungen.
• Eine Portweiterleitung der tatsächlich benutzten Ports ist dem vorzuziehen.

Es hängt von der konkr Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Portweiterleitungen auf andere Rechner unwirksam macht.

Dirty DMZ

Als dirty DMZ oder dirty net bezeichnet man im Allgemeinen das Netzsegment zwischen dem Perimeterrouter und der Firewall des (internen) LAN.

Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters.

• Diese Version der DMZ liefert einen Performancegewinn, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.

Protected DMZ

Mit protected DMZ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt.

• Diese DMZ hat die individuelle Sicherheit der Firewall.

Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.