Demilitarisierte Zone (DMZ)

Demilitarisierte Zone (DMZ)

Copyright ┬ę Shutterstock / Kheng Guan Toh

Was bedeutet Demilitarisierte Zone?

In der Computersicherheit ist eine Demilitarisierte Zone (DMZ) ein physisches oder logisches Subnetzwerk, das die externen Dienste eines Unternehmens f├╝r ein nicht vertrauensw├╝rdiges Netzwerk enth├Ąlt, das normalerweise ein gr├Â├čeres Netzwerk wie das Internet ist.

Zweck

Eine Demilitarisierte Zone (DMZ) hat den Zweck, dem lokalen Netzwerk (LAN) einer Organisation eine zus├Ątzliche Sicherheitsebene hinzuzuf├╝gen: Ein externer Netzwerkknoten kann nur auf das zugreifen, was in der Demilitarisierten Zone (DMZ) verf├╝gbar ist, w├Ąhrend der Rest des Organisationsnetzwerks durch eine┬áFirewall┬ágesch├╝tzt wird. Die Demilitarisierte Zone (DMZ) fungiert als kleines isoliertes Netzwerk, das zwischen dem Internet und dem privaten Netzwerk positioniert ist. Wenn das Design effektiv ist, kann die Organisation mehr Zeit f├╝r die Erkennung und Behebung von Verst├Â├čen haben, bevor sie weiter in die internen Netzwerke eindringt.

Der Name leitet sich von dem Begriff “entmilitarisierte Zone” ab, einem Gebiet zwischen Staaten, in denen eine milit├Ąrische Operation nicht zul├Ąssig ist.┬á

Eigenschaften

Die Demilitarisierte Zone (DMZ) wird als nicht zu einer der angrenzenden Parteien geh├Ârend betrachtet. Dieses Konzept gilt f├╝r die rechnerische Verwendung der Metapher dahingehend, dass eine DMZ, die beispielsweise als Gateway zum ├Âffentlichen Internet fungiert, weder so sicher ist wie das interne Internet, noch so unsicher wie das ├Âffentliche Internet.

In diesem Fall sind die am meisten anf├Ąlligen Hosts, die Dienste f├╝r Benutzer au├čerhalb des lokalen Netzwerks bereitstellen, wie z.B. E-Mail-Web- und DNS-Server (Domain Name System). Aufgrund des erh├Âhten Potenzials dieser Hosts, die einen Angriff erleiden, werden sie in dieses spezielle Subnetzwerk eingef├╝gt, um den Rest des Netzwerks zu sch├╝tzen, falls einer von ihnen gef├Ąhrdet wird.

Hosts in Demilitarisierte Zone (DMZ) d├╝rfen nur begrenzte Konnektivit├Ąt zu bestimmten Hosts im internen Netzwerk haben, da der Inhalt der DMZ nicht so sicher ist wie das interne Netzwerk. In ├Ąhnlicher Weise ist auch die Kommunikation zwischen Hosts in der DMZ und zum externen Netzwerk eingeschr├Ąnkt, um die DMZ sicherer als das Internet zu machen und f├╝r die Unterbringung dieser Spezialdienste geeignet zu sein. So k├Ânnen Hosts in der DMZ sowohl mit dem Internet als auch mit dem externen Netzwerk kommunizieren, w├Ąhrend eine dazwischenliegende Firewall den Datenverkehr zwischen den DMZ-Servern und den internen Netzwerkclients steuert. Eine andere Firewall f├╝hrt eine gewisse Kontrolle aus, um die DMZ vor dem externen Netzwerk zu sch├╝tzen.

Hinweis

Eine Demilitarisierte Zone-Konfiguration bietet zus├Ątzliche Sicherheit vor Angriffen nach au├čen, hat jedoch normalerweise keine Auswirkungen auf interne Angriffe, wie etwa das Aufsp├╝ren der Kommunikation ├╝ber einen Paketanalysator oder das Spoofing wie das E-Mail-Spoofing.┬á

Architektur

Es gibt viele M├Âglichkeiten, ein Netzwerk mit einer Demilitarisierten Zone (DMZ) zu entwerfen. Zwei der grundlegendsten Methoden sind eine einzige Firewall, auch bekannt als “Dreibeiner” und zwei Firewalls. Diese Architekturen k├Ânnen erweitert werden, um abh├Ąngig von den Netzwerkanforderungen sehr komplexe Architekturen zu erstellen.

DMZ-Host

Einige Heimrouter beziehen sich auf einen Demilitarisierte Zone-Host, der in vielen F├Ąllen eine Fehlbezeichnung darstellt. Ein Heimrouter-DMZ-Host ist eine einzelne Adresse (z.B. IP-Adresse) im internen Netzwerk, an die der gesamte Datenverkehr gesendet wird, der nicht anderweitig an andere LAN-Hosts weitergeleitet wird. Definitionsgem├Ą├č ist dies keine echte Demilitarisierte Zone, da der Router den Host nicht allein vom internen Netzwerk trennt. Das hei├čt, der DMZ-Host kann sich mit anderen Hosts im internen Netzwerk verbinden, w├Ąhrend Hosts in einer echten DMZ durch eine Firewall, die sie trennt, daran gehindert werden, eine Verbindung mit dem internen Netzwerk herzustellen, sofern die Firewall die Verbindung nicht zul├Ąsst.

Eine Firewall kann dies zulassen, wenn ein Host im internen Netzwerk zuerst eine Verbindung zum Host in der DMZ anfordert. Der DMZ-Host bietet keine der Sicherheitsvorteile, die ein Subnetz bietet und wird h├Ąufig als einfache Methode zum Weiterleiten aller Ports an ein anderes Firewall-/NAT-Ger├Ąt verwendet. Diese Taktik (Einrichten eines DMZ-Hosts) wird auch bei Systemen verwendet, die nicht ordnungsgem├Ą├č mit normalen Firewall-Regeln oder NAT interagieren. Dies kann daran liegen, dass keine Weiterleitungsregel vorab formuliert werden kann (z.B. unterschiedliche TCP- oder UDP-Portnummern im Gegensatz zu einer festen Nummer oder einem festen Bereich). Dies wird auch f├╝r Netzwerkprotokolle eingesetzt, f├╝r die der Router keine Programmierung ausf├╝hren muss (6in4- oder GRE-Tunnel sind prototypische Beispiele).


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte