www.wikidata.de-de.nina.az

Demilitarisierte Zone Informatik Eine Demilitarisierte Zone DMZ auch Demilitarized Zone Perimeter oder Umkreisnetzwerk b

Demilitarisierte Zone (Informatik)

Eine Demilitarisierte Zone (DMZ, auch Demilitarized Zone, Perimeter- oder Umkreisnetzwerk) bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server.

Aufbau mit einstufigem Firewall-Konzept
Aufbau mit zweistufigem Firewall-Konzept

Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.

Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen.

Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehr Netzen.

Sicherheitsaspekte Bearbeiten

In Deutschland empfiehlt das BSI in seinen IT-Grundschutz-Katalogen ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Dadurch kompromittiert eine einzelne Schwachstelle nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.

Die Filterfunktionen können durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z. B. WAN und LAN) und einen dritten für die DMZ (siehe auch Dual homed host).

Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden. Dies könnte z. B. eine Segmentierung in VLANs sein oder Software Firewalls auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.

Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz. Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk. Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-Administrator vor der Regel-Freischaltung. Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:

  • auf die innere Firewall direkt
  • auf andere Server in derselben DMZ
  • über Sicherheitslücken in Administrations-Werkzeugen wie Telnet oder SSH und
  • auf Verbindungen, die regulär in die DMZ aufgebaut wurden.

Weitere Versionen Bearbeiten

Exposed Host als „Pseudo-DMZ“ Bearbeiten

Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host fälschlicherweise als „DMZ“. Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können. Damit ist der Host (auch für potenzielle Angreifer) aus dem Internet erreichbar. Eine Portweiterleitung der tatsächlich benutzten Ports ist dem – falls möglich – vorzuziehen.

Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Portweiterleitungen auf andere Rechner unwirksam macht.

Dirty DMZ Bearbeiten

Als dirty DMZ oder dirty net bezeichnet man üblicherweise das Netzsegment zwischen dem Perimeterrouter und der Firewall des (internen) LAN. Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters. Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.

Protected DMZ Bearbeiten

Mit protected DMZ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt. Diese DMZ hat die individuelle Sicherheit der Firewall. Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.

Weblinks Bearbeiten

Einzelnachweise Bearbeiten

  1. Telnet-Clients mehrerer Hersteller verwundbar Heise.de, 29. März 2005
  2. Zwei Schwachstellen in PuTTY Heise.de, 21. Februar 2005
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Eine Demilitarisierte Zone DMZ auch Demilitarized Zone Perimeter oder Umkreisnetzwerk bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmoglichkeiten auf die daran angeschlossenen Server Aufbau mit einstufigem Firewall KonzeptAufbau mit zweistufigem Firewall KonzeptDie in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze z B Internet LAN abgeschirmt Durch diese Trennung kann der Zugriff auf offentlich erreichbare Dienste Bastion Hosts mit z B E Mail WWW gestattet und gleichzeitig das interne Netz LAN vor unberechtigten Zugriffen von aussen geschutzt werden Der Sinn besteht darin auf moglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN Internet als auch dem LAN Intranet zur Verfugung zu stellen Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenuber zwei oder mehr Netzen Inhaltsverzeichnis 1 Sicherheitsaspekte 2 Weitere Versionen 2 1 Exposed Host als Pseudo DMZ 2 2 Dirty DMZ 2 3 Protected DMZ 3 Weblinks 4 EinzelnachweiseSicherheitsaspekte BearbeitenIn Deutschland empfiehlt das BSI in seinen IT Grundschutz Katalogen ein zweistufiges Firewall Konzept zum Internet In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz Dadurch kompromittiert eine einzelne Schwachstelle nicht gleich das interne Netz Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern da ansonsten eine bekannte Schwachstelle ausreichen wurde um beide Firewalls zu uberwinden Die Filterfunktionen konnen durchaus von einem einzelnen Gerat ubernommen werden in diesem Fall benotigt das filternde System mindestens drei Netzanschlusse je einen fur die beiden zu verbindenden Netzsegmente z B WAN und LAN und einen dritten fur die DMZ siehe auch Dual homed host Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schutzt sind die anderen Server in der DMZ direkt angreifbar solange nicht noch weitere Schutzmassnahmen getroffen werden Dies konnte z B eine Segmentierung in VLANs sein oder Software Firewalls auf den einzelnen Servern die alle Pakete aus dem DMZ Netz verwerfen Ein Verbindungsaufbau sollte grundsatzlich immer aus dem internen Netz in die DMZ erfolgen niemals aus der DMZ in das interne Netz Eine ubliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk Als letzte Instanz uber diesen Grundsatz wacht in der Regel der Firewall Administrator vor der Regel Freischaltung Dadurch reduziert sich das Gefahrdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe auf die innere Firewall direkt auf andere Server in derselben DMZ uber Sicherheitslucken in Administrations Werkzeugen wie Telnet 1 oder SSH 2 und auf Verbindungen die regular in die DMZ aufgebaut wurden Weitere Versionen BearbeitenExposed Host als Pseudo DMZ Bearbeiten Einige Router fur den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host falschlicherweise als DMZ Dabei kann man die IP Adresse eines Rechners im internen Netz angeben an den alle Pakete aus dem Internet weitergeleitet werden die nicht uber die NAT Tabelle einem anderen Empfanger zugeordnet werden konnen Damit ist der Host auch fur potenzielle Angreifer aus dem Internet erreichbar Eine Portweiterleitung der tatsachlich benutzten Ports ist dem falls moglich vorzuziehen Es hangt von der konkreten Konfiguration der Firewall ab ob zunachst die Portweiterleitungen auf andere Rechner berucksichtigt werden und erst danach der Exposed Host oder ob der Exposed Host die Portweiterleitungen auf andere Rechner unwirksam macht Dirty DMZ Bearbeiten Als dirty DMZ oder dirty net bezeichnet man ublicherweise das Netzsegment zwischen dem Perimeterrouter und der Firewall des internen LAN Diese Zone hat von aussen nur die eingeschrankte Sicherheit des Perimeterrouters Diese Version der DMZ behindert den Datentransfer weniger stark da die eingehenden Daten nur einfach Perimeterrouter gefiltert werden mussen Protected DMZ Bearbeiten Mit protected DMZ bezeichnet man eine DMZ die an einem eigenen LAN Interface der Firewall hangt Diese DMZ hat die individuelle Sicherheit der Firewall Viele Firewalls haben mehrere LAN Interfaces um mehrere DMZs einzurichten Weblinks BearbeitenDMZ selbst gebaut heise NetzeEinzelnachweise Bearbeiten Telnet Clients mehrerer Hersteller verwundbar Heise de 29 Marz 2005 Zwei Schwachstellen in PuTTY Heise de 21 Februar 2005 Abgerufen von https de wikipedia org w index php title Demilitarisierte Zone Informatik amp oldid 227593520