Re: DMZ Verständnis
- From: Ansgar -59cobalt- Wiechers <usenet-2007@xxxxxxxxxxxxxxxx>
- Date: Tue, 13 Nov 2007 16:42:40 +0100 (CET)
Inge Trins <i.trins@xxxxxxxx> wrote:
ich beschäftige mich im Rahmen eines Aufbaustudiums erstmals mit DMZs.
In meinen Unterlagen steht, dass man bspw. Webserver und FTPserver in
eine DMZ stellt (ähnlich spär. Da frage ich mich doch:
- Bedeutet DMZ eigentlich immer, dass alle Ports frei sind? Oder gibt
es DMZs, bei denen Ports gefiltert werden?
Nein. Ja.
Letzteres ist der Regelfall. Eine DMZ ist, wie Jürgen bereits schrieb,
eine Pufferzone, in die man Rechner stellt, die (auch) von einem Netz
mit niedrigerer Sicherheitsstufe aus erreichbar sein sollen/müssen.
Im einfachsten Fall ist das ein zusätzliches Netzwerksegment, das die
Rechner enthält, die aus dem Internet erreichbar sein sollen, um diese
so von den Rechnern der Mitarbeiter zu trennen, die üblicherweise nicht
vom Internet aus erreichbar sein sollen. Einfaches und unvollständiges
Beispiel, um das Prinzip zu veranschaulichen:
Firma X will ihre Homepage selbst hosten. Dazu richtet sie ein weiteres
Netzwerksegment ein. Die Netzwerkzugriffe werden über eine dreibeinige
Firewall (Firewall mit drei unabhängigen Netzwerkinterfaces) gesteuert:
Internet --- Firewall --- Lokales Netzwerk (LAN)
|
DMZ
In der DMZ befindet sich der Rechner auf dem der Webserver läuft. Die
Firewall erlaubt nun folgende Zugriffe:
1) Internet -> DMZ/Webserver (Port 80/tcp)
2) LAN -> DMZ/Webserver (Port 22/tcp)
3) LAN -> Internet
4) Sämtlicher Traffic, der zu einer der Verbindungen 1-3 gehört
Regel 1 erlaubt die Nutzung des Webservers vom Internet aus. Regel 2
erlaubt SSH-Zugriff vom LAN auf den Webserver, so dass Mitarbeiter der
Firma den Webserver mit Daten beschicken können. Regel 3 erlaubt den
Mitarbeitern Zugriff auf das Internet (surfen, mailen, whatever). Der
Aufbau von Verbindungen in alle anderen Richtungen (z.B. DMZ -> LAN) ist
verboten.
Da die ersten drei Regeln nur die Initiierung der Verbindung abdecken,
braucht man noch die vierte Regel, damit die Antwortpakete ebenfalls
durchkommen.
- Warum eine DMZ, und nicht separat den Server im normalen Netz in der
Firewall auf Portforwarding Port 80, bzw. 21 stellen?
Der Web- bzw. FTP-Server ist von außen erreichbar und damit angreifbar.
Gelingt es einem Angreifer, den Server zu übernehmen (z.B. über einen
Exploit), dann hat er bei einem im LAN stehenden Server automatisch
Zugriff auf alle Rechner im LAN. Steht der Server hingegen in der DMZ,
hat er "nur" Zugriff auf die Rechner in der DMZ, weil die Firewall
Verbindungsversuche zu Rechnern im LAN verhindert.
Ein sehr empfehlens Buch zum Thema ist beispielsweise "Building Internet
Firewalls", erschienen bei O'Reilly.
http://www.oreilly.com/catalog/fire2/
cu
59cobalt
--
"The Mac OS X kernel should never panic because, when it does, it
seriously inconveniences the user."
--http://developer.apple.com/technotes/tn2004/tn2118.html
.
- Follow-Ups:
- Re: DMZ Verständnis
- From: Wolfgang Ewert
- Re: DMZ Verständnis
- References:
- DMZ Verständnis
- From: Inge Trins
- DMZ Verständnis
- Prev by Date: Re: DMZ Verständnis
- Next by Date: Re: IP-Sanity Check für DSL-Heimrouter
- Previous by thread: Re: DMZ Verständnis
- Next by thread: Re: DMZ Verständnis
- Index(es):
Relevant Pages
|
