Von außen erreichbare Server in keiner DMZ?

[Suprana]

Guten Tag, dumme Frage:

Von meinem früheren Arbeitgeber bin ich gewohnt, das wirklich jeder noch so unwichtiger Server seine eigene DMZ hat.

Vor allem so etwas wie ein Seafile, traffic von außen wird durch die Firewall geroutet und nur die nötigsten Ports freigeschaltet und das gleiche galt für die interne Kommunikation.

 

Nun habe ich ganz erstaunt geguckt, als ich sah, dass mein neuer Arbeitgeber so etwas wie einen Seafile (von außen Ansprechbar) im ganz normalen DHCP Bereich mit allen anderen Clients hatte, keine Limitierung in der internen Kommunikation.

 

Ist das eine Pfütze Benzin die auf einen funken wartet, oder ist DMZ einfach nur "best practice" nach heutigen Datensicherheitsstandards, aber man kann auch damit leben wenn die Firewall zumindest äußeren Traffic abfängt?

[Gast Interrupt]

Hallo,

nunja grundsätzlich sollte man immer drauf achten, dass man ein ordentliches Netz betreibt, d.h. eine saubere Trennung zwischen Servern und Clients (VLAN) und klare Kommunikationsregeln (Firewall). 

Es gibt durchaus Firmen, besonders die kleineren Unternehmen, die sich das aber nicht leisten können oder wollen (oder einfach bislang von sehr schlechten IT-Dienstleistern betreut worden sind) und deshalb eine furchterregende IT-Infrastruktur haben. 

vor einer Stunde schrieb Suprana:

Ist das eine Pfütze Benzin die auf einen funken wartet, oder ist DMZ einfach nur "best practice" nach heutigen Datensicherheitsstandards, aber man kann auch damit leben wenn die Firewall zumindest äußeren Traffic abfängt?

Welchen äußeren Traffic soll denn die Firewall abfangen, wenn man ein Loch ins Netz bohrt? (Port Forwarding). Selbst wenn eine Web Application Firewall vor dem Webserver steht, dann ist es trotzdem ein großes Sicherheitsrisiko, wenn der Seafile Server mit anderen Clients sowie der WAF im selben Netz steht. Ich denke, dass ergibt sich wohl von selbst, wenn man etwas darüber nachdenkt. 😉

MfG