Demilitarisierte Zone (DMZ)

Copyright © Shutterstock / meunierd

Zweck

Eine Demilitarisierte Zone (DMZ) hat den Zweck, dem lokalen Netzwerk (LAN) einer Organisation eine zusätzliche Sicherheitsebene hinzuzufügen: Ein externer Netzwerkknoten kann nur auf das zugreifen, was in der Demilitarisierten Zone (DMZ) verfügbar ist, während der Rest des Organisationsnetzwerks durch eine Firewall geschützt wird.

Die Demilitarisierte Zone (DMZ) fungiert als kleines isoliertes Netzwerk, das zwischen dem Internet und dem privaten Netzwerk positioniert ist. Wenn das Design effektiv ist, kann die Organisation mehr Zeit für die Erkennung und Behebung von Verstößen haben, bevor sie weiter in die internen Netzwerke eindringt.

Eigenschaften

Die Demilitarisierte Zone (DMZ) wird als nicht zu einer der angrenzenden Parteien gehörend betrachtet. Dieses Konzept gilt für die rechnerische Verwendung der Metapher dahingehend, dass eine DMZ, die beispielsweise als Gateway zum öffentlichen Internet fungiert, weder so sicher ist wie das interne Internet, noch so unsicher wie das öffentliche Internet.

In diesem Fall sind die am meisten anfälligen Hosts, die Dienste für Benutzer außerhalb des lokalen Netzwerks bereitstellen, wie z.B. E-Mail-Web- und DNS-Server (Domain Name System). Aufgrund des erhöhten Potenzials dieser Hosts, die einen Angriff erleiden, werden sie in dieses spezielle Subnetzwerk eingefügt, um den Rest des Netzwerks zu schützen, falls einer von ihnen gefährdet wird.

Hosts in Demilitarisierte Zone (DMZ) dürfen nur begrenzte Konnektivität zu bestimmten Hosts im internen Netzwerk haben, da der Inhalt der DMZ nicht so sicher ist wie das interne Netzwerk. In ähnlicher Weise ist auch die Kommunikation zwischen Hosts in der DMZ und zum externen Netzwerk eingeschränkt, um die DMZ sicherer als das Internet zu machen und für die Unterbringung dieser Spezialdienste geeignet zu sein.

So können Hosts in der DMZ sowohl mit dem Internet als auch mit dem externen Netzwerk kommunizieren, während eine dazwischenliegende Firewall den Datenverkehr zwischen den DMZ-Servern und den internen Netzwerkclients steuert. Eine andere Firewall führt eine gewisse Kontrolle aus, um die DMZ vor dem externen Netzwerk zu schützen.

Architektur

Es gibt viele Möglichkeiten, ein Netzwerk mit einer Demilitarisierten Zone (DMZ) zu entwerfen. Zwei der grundlegendsten Methoden sind eine einzige Firewall, auch bekannt als “Dreibeiner” und zwei Firewalls. Diese Architekturen können erweitert werden, um abhängig von den Netzwerkanforderungen sehr komplexe Architekturen zu erstellen.

DMZ-Host

Einige Heimrouter beziehen sich auf einen Demilitarisierte Zone-Host, der in vielen Fällen eine Fehlbezeichnung darstellt. Ein Heimrouter-DMZ-Host ist eine einzelne Adresse (z.B. IP-Adresse) im internen Netzwerk, an die der gesamte Datenverkehr gesendet wird, der nicht anderweitig an andere LAN-Hosts weitergeleitet wird.

Definitionsgemäß ist dies keine echte Demilitarisierte Zone, da der Router den Host nicht allein vom internen Netzwerk trennt. Das heißt, der DMZ-Host kann sich mit anderen Hosts im internen Netzwerk verbinden, während Hosts in einer echten DMZ durch eine Firewall, die sie trennt, daran gehindert werden, eine Verbindung mit dem internen Netzwerk herzustellen, sofern die Firewall die Verbindung nicht zulässt.

Eine Firewall kann dies zulassen, wenn ein Host im internen Netzwerk zuerst eine Verbindung zum Host in der DMZ anfordert. Der DMZ-Host bietet keine der Sicherheitsvorteile, die ein Subnetz bietet und wird häufig als einfache Methode zum Weiterleiten aller Ports an ein anderes Firewall-/NAT-Gerät verwendet.

Diese Taktik (Einrichten eines DMZ-Hosts) wird auch bei Systemen verwendet, die nicht ordnungsgemäß mit normalen Firewall-Regeln oder NAT interagieren. Dies kann daran liegen, dass keine Weiterleitungsregel vorab formuliert werden kann (z.B. unterschiedliche TCP- oder UDP-Portnummern im Gegensatz zu einer festen Nummer oder einem festen Bereich). Dies wird auch für Netzwerkprotokolle eingesetzt, für die der Router keine Programmierung ausführen muss (6in4- oder GRE-Tunnel sind prototypische Beispiele).