DMZ - Demilitarized Zone Wie funktioniert es!

[yasd]

Hallo Zusammen,

mich würde gerne interessieren wie so eine DMZ funktioniert...

Also ich weiß schon was eine DMZ ist, sprich ist sozusagen eine Pufferzone bzw. eine eigene computernetz...

Nur weiß ich nicht wie genau sowas funktioniert.

Und was spielt z.b der Mailserver für eine Rolle..

Was passiert genau wenn Netz A(Internet) das intere Netz B(LAN) attackiert bzw. zugreift.

Ich habe schon gegoogelt..nur leider keine antworten für meine fragen

gefunden :-(

ich hoffe ihr könnt mir helfen

danke im voraus

[Crash2001]

Genau das geht dann ja nicht so ohne weiteres.

In der DMZ stehen die Devices, auf die sowohl von innen, als auch von außen zugegriffen werden können soll. Auf beiden Seiten der DMZ steht laut Definition (eines zweistufigen und somit des ursprünglichen DMZ-Designs) eine Firewall, die unerwünschten Traffic blockiert. Somit sollte ein Angriff normalerweise also schon an der von außen ersten Firewall oder in der DMZ scheitern.

Eine aus der DMZ initiierte Kommunikation ins interne Netz sollte unterbunden sein und somit könnte ein Angreifer maximal auf die Devices in der DMZ von außen zugreifen und das wars dann.

Eine direkte Kommunikation zwischen Internet und internem Netz findet nicht statt. Entweder ist dies komplett unterbunden, oder geht über ein Gateway, das dann aber auch so konfiguriert sein sollte, dass alle von außen initiierten Verbindungen ignoriert werden. Ausnahmen könnten hier VPN-Verbindungen darstellen.

So sollte es zumindest sein - ist aber nicht immer so strikt realisiert. Ausnahmen müssen teilweise designbedingt zugelassen werden.

[yasd]

sprich durch die trennung kann der zugriff auf öffentlich erreichbare dienste (www/mail) etc gestattet werden und gleichzeit zugriff in das interne Netz vor unberechtigten Zugriffen schützen...

steht dann der Router vor dem Firewall?

ja oder ?

[Crash2001]

sprich durch die trennung kann der zugriff auf öffentlich erreichbare dienste (www/mail) etc gestattet werden und gleichzeit zugriff in das interne Netz vor unberechtigten Zugriffen schützen...[...]

Genau dafür gibt es die DMZ.

[...]steht dann der Router vor dem Firewall?

ja oder ?

Vor welcher Firewall und aus welcher Richtung gesehen meinst du denn?

Das kann man so global nicht beantworten. Erstens gibt es verschiedene Designs und zweitens könnte es auch sein, dass mehrere Router vorhanden sind.

Falls ein Router für die Verbindung ins Internet genutzt wird, wird der natürlich vom Internet aus gesehen als erstes Gerät dort stehen. Es könnte aber ja auch z.B. sein, dass die Location vom Internetprovider direkt per Ethernet oder einen transparenten Medienkonverter mit Ethernetausgang angebunden ist und die Devices in der DMZ je eine öffentliche IP-Adresse haben. Dann würde dort vielleicht kein Router stehen, sondern nur ein Switch und die Firewall oder der Medienkonverter wäre das erste Device vom Internet aus gesehen.

Ein Router muss dort nur stehen, wenn zwischen verschiedenen Netzen geroutet werden soll/muss. Also auf jeden Fall dann, wenn in der DMZ IP-Adressen aus dem privaten Bereich verwendet werden. Ansonsten könnte das Standardgateway, und somit der Router, auch direkt beim Provider stehen.

Werden in der DMZ öffentliche IP-Adressen verwendet und im Intranet private IP-Adressen, würde der Router höchstwahrscheinlich entweder zwischen erster und zweiter Firewall oder sogar noch hinter der zweiten Firewall stehen.

[yasd]

danke für deine antwort...

denn das war die antwort auf meine frage ;-)

danke nochmal

[lxr]

hmm,.. irgendwie versteh ich denn sinn noch nicht so ganz... wer hat denn nen mailserver in der DMZ stehen?

ich dachte ein standard-szenario is z.b. dieses:

- Mailserver hängt am switch

- vom switch gehts dann in ne firewall

- von der firewall gehts in den router

- vom router/modem in die TAE dose -> internet

d.h. wenn ich den mailserver in die DMZ hänge dann ist es sicherer als wie ich es grad aufgelistet habe oder wie?

gruß

[Crash2001]

Für den Mailserver ist es ziemlich gleich sicher, wie wenn die Ports auf ihn weitergeleitet werden, da er von außen direkt erreichbar ist. Für die anderen Devices im Intranet ist es aber sicherer, da auf sie nicht direkt von außen zugegriffen werden kann und spzifiziert ist, zwischen was kommuniziert werden darf und dazu meist auch noch, von wo aus dies initialisiert wird.

Insgesamt ist es mit DMZ somit sicherer, da wenn der Mailserver gehackt wird, der Cracker nicht direkten Zugriff auf die anderen Rechner erlangen kann, sondern an der zweiten Firewall hängen bleibt. DAs lässt sich auch mit einer Firewall realisieren, aber dann muss diese mindestens 3 Ports haben. (einstufiges Konzept - je ein Port für Richtung Intranet, DMZ, Internet) Da bei der muss die Verwendung einer zweistufigen Firewall meist zwei unterschiedliche Firewalls verwendet werden (verschiedene Hersteller, oder anderes Konzept), reicht dann nicht eine Sicherheitslücke auf der Firewall aus, um ins Intranet zu kommen, sondern beide müssten eine Sicherheitslücke aufweisen.

Das zweistufige Konzept hat zudem noch den Vorteil, dass falls im Intranet oder in der DMZ Viren auftauchen sollten, sich diese nicht ohne weiteres verbreiten können.