Zum Inhalt springen

„Demilitarisierte Zone (Informatik)“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Versionsgeschichte interaktiv durchsuchen
[ungesichtete Version][gesichtete Version]
← Zum vorherigen Versionsunterschied
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
K Wikilink auf den eigenen Artikel entfernt
K Änderungen von 193.174.53.85 (Diskussion) auf die letzte Version von Xenein zurückgesetzt
Markierung: Zurücksetzung
 
(168 dazwischenliegende Versionen von mehr als 100 Benutzern, die nicht angezeigt werden)
Zeile 1: Zeile 1:
[[Datei:DMZ network diagram 1 firewall.svg|mini|hochkant=1.5|Aufbau mit einstufigem Firewall-Konzept]]
{{Dieser Artikel|beschreibt die Demilitarized Zone in Computernetzwerken. Für ein Gebiet, in dem kein Militär stationiert werden darf, siehe [[Entmilitarisierte Zone]].}}
[[Datei:DMZ network diagram 2 firewall.svg|mini|hochkant=1.5|Aufbau mit zweistufigem Firewall-Konzept]]
Eine '''Demilitarized Zone''' ('''DMZ''', daher auch ''ent-/demilitarisierte Zone'') oder '''Umkreisnetzwerk''' bezeichnet ein geschütztes [[Rechnernetz|Computernetz]] für einen oder mehrere [[Computer]], das sich zwischen zwei Computernetzen befindet.
Eine '''Demilitarisierte Zone''' ('''DMZ''', auch ''Demilitarized Zone, Perimeter-'' oder ''Umkreisnetzwerk'') bezeichnet ein [[Rechnernetz|Computernetz]] mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen [[Server]].


Der Rechnerverbund wird durch eine [[Firewall]] (außen) und eine [[Firewall]] (innen) gegen das Internet abgeschirmt. Durch diese Trennung besteht die Möglichkeit, den Zugriff auf öffentliche Dienste ([[Bastion Host]]s wie z. B. [[E-Mail]], [[WWW]] o. ä.) anzubieten und gleichzeitig das interne Netz ([[Local Area Network|LAN]]) vor unberechtigten Zugriffen zu schützen.
Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere [[Firewall]]s gegen andere Netze (z. B. [[Internet]], [[Local Area Network|LAN]]) abgeschirmt. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste ([[Bastion Host]]s mit z. B. [[Mailserver|E-Mail]], [[Webserver|WWW]]) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.


Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem [[Wide Area Network|WAN]] ([[Internet]]) als auch dem LAN ([[Intranet]]) zur Verfügung zu stellen.
Die [[Firewall|Firewallfunktionen]] können durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall findet man an der [[Firewall]] mindestens drei Netzwerkanschlüsse: einen zum Internet ([[Wide Area Network|WAN]]), einen zum internen Netz ([[Local Area Network|LAN]]) und einen für die DMZ.


Ihre Schutzwirkung entfaltet eine DMZ durch die [[Isolation (Datenbank)|Isolation]] eines Systems gegenüber zwei oder mehr Netzen. Die Verwaltung der DMZ-Ressourcen erfolgt meist mittels [[Virtual Private Network|VPN]] oder einem [[Jump Server]].
[[Bild:Dmz-ueberblick.png|thumb|300px|Aufbau einer DMZ]]
Der Sinn besteht darin, möglichst auf sicherer Basis Dienste des Rechnerverbundes sowohl dem [[Wide Area Network|WAN]] (Internet) als auch dem [[Local Area Network|LAN]] (Intranet) zur Verfügung zu stellen. Ein typisches Anwendungsbeispiel ist eine Firma, die einen eigenen [[Mailserver]] betreibt.


== Sicherheitsaspekte ==
Dieser Mailserver ist ein Teil der DMZ und muss von außen erreichbar sein, da ansonsten E-Mails nicht zugestellt werden könnten. Andererseits müssen die [[Client]]s, die am [[Local Area Network|LAN]] angeschlossen sind, ihre E-Mails abholen. Deswegen brauchen auch sie Zugriff auf den Server. Der Server selbst kann jedoch von sich aus keine Verbindung ins LAN aufbauen.
In Deutschland empfiehlt das [[Bundesamt für Sicherheit in der Informationstechnik|BSI]] in seinen [[IT-Grundschutz-Kataloge]]n ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Dadurch kompromittiert eine einzelne Schwachstelle nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.


Die Filterfunktionen können durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z. B. [[Wide Area Network|WAN]] und LAN) und einen dritten für die DMZ (siehe auch [[Dual homed host]]).
Vorteil einer solchen Lösung ist, dass im Falle einer [[Kompromittierung]] eines [[Server]]s in der DMZ das interne Netz trotzdem noch geschützt bleibt. Wären die Server nicht in einer DMZ, sondern direkt im internen Netz, so wäre möglicherweise auch das gesamte Netz durch kompromittiert. Gerade weil öffentlich angebotene Dienste oft ein nicht unerhebliches Angriffsziel darstellen, kann man durch eine DMZ das Gesamtrisiko erheblich vermindern.

Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden. Dies könnte z. B. eine Segmentierung in [[Virtual Local Area Network|VLANs]] sein oder [[Software Firewall]]s auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.

Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz. Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf [[Datenbankserver]] im internen Netzwerk. Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-[[Systemadministrator|Administrator]] vor der Regel-Freischaltung. Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:
* auf die innere Firewall direkt
* auf andere Server in derselben DMZ
* über [[Sicherheitslücke (Software)|Sicherheitslücken]] in Administrations-Werkzeugen wie [[Telnet]]<ref>[https://www.heise.de/newsticker/meldung/Telnet-Clients-mehrerer-Hersteller-verwundbar-148222.html Telnet-Clients mehrerer Hersteller verwundbar] Heise.de, 29. März 2005</ref> oder [[Secure Shell|SSH]]<ref>[https://www.heise.de/newsticker/meldung/Zwei-Schwachstellen-in-PuTTY-136841.html Zwei Schwachstellen in PuTTY] Heise.de, 21. Februar 2005</ref> und
* auf Verbindungen, die regulär in die DMZ aufgebaut wurden.


== Weitere Versionen ==
== Weitere Versionen ==
=== Exposed Host als „Pseudo-DMZ“ ===
Einige [[Router]] für den Heimgebrauch bezeichnen die Konfiguration eines ''Exposed Host'' fälschlicherweise als „DMZ“. Dabei kann man die [[IP-Adresse]] eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die [[Network Address Translation|NAT]]-Tabelle einem anderen Empfänger zugeordnet werden können. Damit ist der Host (auch für potenzielle Angreifer) aus dem Internet erreichbar. Eine [[Portweiterleitung]] der tatsächlich benutzten Ports ist dem&nbsp;– falls möglich&nbsp;– vorzuziehen.

Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der ''Exposed Host'', oder ob der ''Exposed Host'' die Portweiterleitungen auf andere Rechner unwirksam macht.

=== Dirty DMZ ===
=== Dirty DMZ ===
Als dirty DMZ oder dirty net bezeichnet man im Allgemeinen das Netzwerksegment zwischen dem Perimeterrouter und der Firewall des internen [[LAN]].
Als ''dirty DMZ'' oder ''dirty net'' bezeichnet man üblicherweise das [[Netzwerksegment|Netzsegment]] zwischen dem Perimeterrouter und der Firewall des (internen) LAN. Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters. Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.
Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters.
Diese Version der DMZ liefert einen Performancegewinn, da die eingehenden Daten nur einfach (Perimeterrouter)
gefiltert werden müssen.


=== Protected DMZ ===
=== Protected DMZ ===
Mit protected DMZ bezeichnet man eine DMZ, die an einem eigenen [[LAN]] Interface auf der Firewall hängt.
Mit ''protected DMZ'' bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt. Diese DMZ hat die individuelle Sicherheit der Firewall. Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.
Diese DMZ hat die individuelle Sicherheit der Firewall. Viele Firewalls haben mehrere [[LAN]] Interfaces, um multiple DMZ einzurichten.


== Weblinks ==
''Siehe auch:'' [[Bastion Host]]
* [https://www.heise.de/ct/artikel/DMZ-selbst-gebaut-221656.html ''DMZ selbst gebaut''.] heise Netze


== Einzelnachweise ==
[[Kategorie:IT-Sicherheit]]
<references />
[[Kategorie:Computernetzwerk]]


[[Kategorie:IT-Sicherheit]]

[[Kategorie:Rechnernetze]]
[[en:Demilitarized zone (computing)]]
[[es:Zona desmilitarizada]]
[[et:Demilitariseeritud tsoon (informaatika)]]
[[fr:Zone démilitarisée]]
[[it:Demilitarized zone]]
[[nl:DMZ (informatica)]]
[[pl:DMZ]]
[[sv:DMZ (Internet)]]

Aktuelle Version vom 7. Mai 2025, 14:10 Uhr

Aufbau mit einstufigem Firewall-Konzept
Aufbau mit zweistufigem Firewall-Konzept

Eine Demilitarisierte Zone (DMZ, auch Demilitarized Zone, Perimeter- oder Umkreisnetzwerk) bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriffsmöglichkeiten auf die daran angeschlossenen Server.

Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen von außen geschützt werden.

Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen.

Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehr Netzen. Die Verwaltung der DMZ-Ressourcen erfolgt meist mittels VPN oder einem Jump Server.

Sicherheitsaspekte

[Bearbeiten | Quelltext bearbeiten]

In Deutschland empfiehlt das BSI in seinen IT-Grundschutz-Katalogen ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Dadurch kompromittiert eine einzelne Schwachstelle nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.

Die Filterfunktionen können durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzanschlüsse: je einen für die beiden zu verbindenden Netzsegmente (z. B. WAN und LAN) und einen dritten für die DMZ (siehe auch Dual homed host).

Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar, solange nicht noch weitere Schutzmaßnahmen getroffen werden. Dies könnte z. B. eine Segmentierung in VLANs sein oder Software Firewalls auf den einzelnen Servern, die alle Pakete aus dem DMZ-Netz verwerfen.

Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz. Eine übliche Ausnahme hiervon ist der Zugriff aus der DMZ auf Datenbankserver im internen Netzwerk. Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-Administrator vor der Regel-Freischaltung. Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:

  • auf die innere Firewall direkt
  • auf andere Server in derselben DMZ
  • über Sicherheitslücken in Administrations-Werkzeugen wie Telnet[1] oder SSH[2] und
  • auf Verbindungen, die regulär in die DMZ aufgebaut wurden.

Weitere Versionen

[Bearbeiten | Quelltext bearbeiten]

Exposed Host als „Pseudo-DMZ“

[Bearbeiten | Quelltext bearbeiten]

Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed Host fälschlicherweise als „DMZ“. Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können. Damit ist der Host (auch für potenzielle Angreifer) aus dem Internet erreichbar. Eine Portweiterleitung der tatsächlich benutzten Ports ist dem – falls möglich – vorzuziehen.

Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst die Portweiterleitungen auf andere Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Portweiterleitungen auf andere Rechner unwirksam macht.

Dirty DMZ

[Bearbeiten | Quelltext bearbeiten]

Als dirty DMZ oder dirty net bezeichnet man üblicherweise das Netzsegment zwischen dem Perimeterrouter und der Firewall des (internen) LAN. Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters. Diese Version der DMZ behindert den Datentransfer weniger stark, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.

Protected DMZ

[Bearbeiten | Quelltext bearbeiten]

Mit protected DMZ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface der Firewall hängt. Diese DMZ hat die individuelle Sicherheit der Firewall. Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.

[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Telnet-Clients mehrerer Hersteller verwundbar Heise.de, 29. März 2005
  2. Zwei Schwachstellen in PuTTY Heise.de, 21. Februar 2005
Abgerufen von „https://de.wikipedia.org/w/index.php?title=Demilitarisierte_Zone_(Informatik)&oldid=255805297