Veröffentlicht 29. Mai 200718 j Hallo zusammen, ich bin FISI Azubi und soll hier im Unternehmen eine DMZ realisieren. Der sicherste Weg ist ja über einen Router den Internet Zugang zu machen und die DMZ und das interne Netz über eine weitere extra Firewall zu trennen. Das hab ich auch soweit verstanden, nur sind die Einwände begründet, dass ja mehr Hardware ich einsetze, desto fehleranfälliger das System und aufwändiger die Suche bei Problemen. Jetzt ist die Frage, ob kommerzielle Router (keine selbstkonfigurierten sondern D-Link, 3com, etc) mit integrierter DMZ Funktion (gibt es doch?!) direkt schon die Trennung DMZ und internes Netz vollziehen, sodass ich in nur einem Gerät direkt alle Firewall-Einstellungen verwalte (intern-extern, intern-DMZ, DMZ-extern,...)? Wenn dem so wäre, wär das doch eine viel bessere und Fehlerunanfälligere Sache als noch eine extra Firewall einzurichten? Warum also der Aufwand? Ist das sicherer, günstiger, o.ä? Vielen Dank Hargan
29. Mai 200718 j Hi, bei wiki Demilitarized Zone - Wikipedia ist mal ein guter Einblick warum solche "Pseudo"-DMZs ziemlicher Unfug sind. ciao, victorinox
29. Mai 200718 j Autor Ich meine nicht "virtuelle DMZ" sondern schon eine physikalische Trennung. Aber das ganze halt mit nur einem "Gerät". Quasi 3 Netzwerkkarten. Internet/DMZ/intern Als Sicherheitsmängel hab ich gelesen, man sollte nicht das Gerät, welches das LAN schützt direkt ans Internet hängen. Aber wie Unsicher ist das? Ist das ein relevantes Risiko? Hier in einem ZDNET Artikel sind die Möglichkeiten beschrieben. Victorinox meint die erste...ich meine aber die zweite. Gibt es das als fertigen Router zu kaufen? Oder nur zum selbst zusammen basteln? Wär auch nicht sio schlimm, nur aufwändiger... Hargan
29. Mai 200718 j Die "sicherste" Lösung sowas zu realisieren ist eine Lösüng nach folgendem Schema (back to back).... Internet . . . herkömmlicher Router (nicht so stark konfigurierte FW) ----> DMZ . . . Firmen Firewall (stark konfiguriert) . . . Firmennetz Bsp: Du willst Exchange (intern/öffentlich) nutzen....stellt ihn in die DMZ und gibst an dem Router (mit FW) die ensprechenden Ports frei (SMTP, x400, POP3 und und und). Dann aber an der Firmen Firewall nur nen SMTP-Connect Port oder eben POP, x400 was auch immer. Sollte man nun versuchen Dein Netz zu knacken ist man in einem relativ leeren Netz (1 Server) und kommt dann erstmal nicht weiter. Natürlich sind die verschiedenen Netze auch verschiedene Subnetze (geroutet). Ist jetzt nur ne ganz kleine Beschreibung dessen, was möglich ist, hoffe aber dadurch etwas mehr Verständnis vermittelt zu haben. Hier nochmal ein Beispiel anhand eines ISA Servers mit DMZ....auch zwei grafiken dabei für´s Verständnis klick mich hart
29. Mai 200718 j Hi, du hast dennoch bei der Lösung nur ein physikalisches Gerät und der für mich massgebende Nachteil steht schön als Satz bei wiki: Die IT-Grundschutz-Kataloge des BSI empfehlen ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom eigenen Netz. Dadurch kompromittiert eine einzelne Schwachstelle noch nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden. Du willst ja nicht ohne Grund eine DMZ. Ueberlege dir gut, wo du sparen willst - in der Sicherheit ist meist am falschen Ende. ciao, victorinox
29. Mai 200718 j Hi, Hier in einem ZDNET Artikel sind die Möglichkeiten beschrieben. Victorinox meint die erste...ich meine aber die zweite. versteh ich nicht? Meinst du Abbildung B oder C? Wenn du B meinst, steht da doch auch klar der Nachteil: Diese Methode ist preiswert aber nicht sehr sicher, denn wenn dieser PC einem Hacker in die Hände fällt, stehen ihm DMZ und LAN offen. Grundsatz hier: Die Maschine, welche die Sicherheit des LAN bestimmt, darf nie direkten Kontakt zum Internet haben. Gibt es das als fertigen Router zu kaufen? Klar, z. B. hier: Zyxel ZYWALL 70 WLAN Preisvergleich - Preise bei idealo.de Wenn dem so wäre, wär das doch eine viel bessere und Fehlerunanfälligere Sache als noch eine extra Firewall einzurichten? Tja, ein Argument dagegen ist aber, dass wenn du das Gerät falsch konfigurierst hast, auf einmal nix mehr geht bzw. alles freigeschaltet ist. Außerdem sind solche Appliance auch nicht gefeit vor Programmierfehlern.
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.