Demilitarized Zone

aus Wikipedia, der freien Enzyklopädie

Du hast neue Nachrichten auf deiner Diskussionsseite.

Dieser Artikel beschreibt die Demilitarisierte Zone in Computernetzwerken. Für ein Gebiet, in dem kein Militär stationiert werden darf, siehe Entmilitarisierte Zone.

Eine Demilitarized Zone (DMZ, auch ent- oder demilitarisierte Zone) bezeichnet ein Computernetzwerk mit sicherheitstechnisch kontrollierten Zugriffmöglichkeiten auf die daran angeschlossenen Server.

Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) abgeschirmt. Durch diese Trennung kann der Zugriff auf öffentlich erreichbare Dienste (Bastion Hosts mit z. B. E-Mail, WWW o. ä.) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen geschützt werden.

Varianten des Aufbaus einer DMZ: Zweistufiges (oben) und einstufiges Firewall-Konzept (unten)

Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen.

Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehr Netzen.

[Bearbeiten] Sicherheitsaspekte

Die IT-Grundschutz-Kataloge des BSI empfehlen ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom eigenen Netz. Dadurch kompromittiert eine einzelne Schwachstelle noch nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern da ansonsten eine bekannte Schwachstelle ausreichen würde um beide Firewalls zu überwinden.

Die Filterfunktionen können aber durchaus von einem einzelnen Gerät übernommen werden; in diesem Fall benötigt das filternde System mindestens drei Netzwerkanschlüsse: je einen für die beiden zu verbindenden Netzwerksegmente (z. B. WAN und LAN) und einen dritten für die DMZ.

Auch wenn die Firewall das interne Netz vor Angriffen eines kompromittierten Servers aus der DMZ schützt, sind die anderen Server in der DMZ direkt angreifbar solange nicht noch weitere Schutzmaßnahmen getroffen werden. Dies könnte z. B. eine Segmentierung in VLANs sein oder Software Firewalls auf den einzelnen Servern die alle Pakete aus dem DMZ-Netz verwerfen.

Ein Verbindungsaufbau sollte grundsätzlich immer aus dem internen Netz in die DMZ erfolgen, niemals aus der DMZ in das interne Netz. Als letzte Instanz über diesen Grundsatz wacht in der Regel der Firewall-Administrator vor der Regel-Freischaltung. Dadurch reduziert sich das Gefährdungspotential eines kompromittierten Servers in der DMZ weitestgehend auf Angriffe:

auf die innere Firewall direkt
auf andere Server in der gleichen DMZ
über Sicherheitslücken in Administrations-Werkzeugen wie Telnet^[1] oder SSH^[2].

[Bearbeiten] Fallbeispiel Mailserver

Ein typisches Anwendungsbeispiel ist eine Firma, die einen eigenen Mailserver betreibt. Ein Mailserver muss von außen (Netz A) für die Anlieferung der E-Mails per SMTP erreichbar sein. Gleichzeitig müssen die am LAN (Netz B) angeschlossenen Clients Mail per SMTP versenden und mit IMAP abholen können.

Ohne DMZ gibt es zwei Möglichkeiten:

Mailserver vor dem Filtersystem

Der Mailserver wird vor dem Filtersystem aufgebaut. Er ist dadurch Angriffen aus dem externen Netz A ungeschützt ausgeliefert. Im Falle einer Kompromittierung hat er jedoch nur beschränkten Zugriff ins Netz B. Das Risiko für den Server ist also hoch, die Zugriffsmöglichkeiten auf das interne Netz aber gering.
Mailserver hinter dem Filtersystem

Die andere Möglichkeit ist den Mailserver hinter dem Filtersystem zu platzieren. Das Filtersystem beschränkt den Zugriff von außen (Netz A) auf den gewünschten Dienst (E-Mail-Anlieferung per SMTP). Der Mailserver ist deshalb nur noch Angriffen ausgesetzt, die über den gewünschten Dienst ermöglicht werden. Dadurch ist das Risiko auf diese Anwendung reduziert. Allerdings kann er bei einer Kompromittierung ungehindert als Brückenkopf für weitere Angriffe gegen das Netz B verwendet werden. Das Risiko für den Server ist also gering, aber wenn er kompromittiert ist hat er ungehinderten Zugriff auf das interne Netz.
Mailserver innerhalb der DMZ

Daher wird man den Mailserver in einer DMZ aufstellen, deren Filtersystem den Zugriff auf und von dem Mailserver beschränkt. Dadurch ist der Server von Netz A nur über SMTP angreifbar und hat auch nur einen eingeschränkten Zugriff ins Netz B. Der Server ist also nur einem geringeren Risiko vom externen Netz ausgesetzt und hat trotzdem nur geringen Zugriff auf das interne Netz.
Mailserver als Application Gateway

In einem weiteren Schritt würde man einen zweiten Mailserver innerhalb des geschützten Netzwerks aufbauen und den Mailserver in der DMZ lediglich zur Weiterleitung der Mails an den inneren Mailserver verwenden (Application Gateway). Wird nun der Mailserver in der DMZ kompromittiert, beschränkt sich der Datenverlust auf dessen – gewöhnlich übersichtliche – Konfiguration. Er ist daher auch vergleichsweise einfach wiederherstellbar. Die interne Mailkommunikation läuft ungestört über den inneren Mailserver weiter.

Der so eingesetzte Mailserver in der DMZ kann wegen seiner genau bestimmten Aufgabe in seiner Funktion auf diese beschränkt werden, indem alle übrigen Funktionen deaktiviert und möglichst deinstalliert werden. Er wird damit zum Bastion Host und in seiner Funktion als Application Gateway zum Bestandteil der Firewall.

[Bearbeiten] Weitere Versionen

[Bearbeiten] Exposed Host als „Pseudo-DMZ“

Einige Router für den Heimgebrauch bezeichnen die Konfiguration eines Exposed-Host als „DMZ“. Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können. Dieses Verfahren stellt ein erhebliches Sicherheitsrisiko dar. Es eignet sich eher für die Fehlersuche, um temporär den Einfluss der Firewall zu umgehen, etwa bei Problemen mit bestimmten Datenverbindungen. Ein Port-Forwarding der tatsächlich benutzten Ports ist dem vorzuziehen.

Es hängt von der konkreten Konfiguration der Firewall ab, ob zunächst Port-Forwardings auf andere Rechner berücksichtigt werden und erst danach der Exposed Host, oder ob der Exposed Host die Port-Forwardings auf andere Rechner unwirksam macht.

[Bearbeiten] Dirty DMZ

Als dirty DMZ oder dirty net bezeichnet man im Allgemeinen das Netzwerksegment zwischen dem Perimeterrouter und der Firewall des (internen) LAN. Diese Zone hat von außen nur die eingeschränkte Sicherheit des Perimeterrouters. Diese Version der DMZ liefert einen Performancegewinn, da die eingehenden Daten nur einfach (Perimeterrouter) gefiltert werden müssen.

[Bearbeiten] Protected DMZ

Mit protected DMZ bezeichnet man eine DMZ, die an einem eigenen LAN-Interface auf der Firewall hängt. Diese DMZ hat die individuelle Sicherheit der Firewall. Viele Firewalls haben mehrere LAN-Interfaces, um mehrere DMZs einzurichten.