Jedes Un­ter­neh­men, das einen Mail­ser­ver betreibt oder eine eigene Fir­men­home­page hostet, steht vor dem gleichen Problem: Rechner, die Web- oder Mail­diens­te anbieten, müssen über das Internet er­reich­bar sein. Gleich­zei­tig benötigen Mit­ar­bei­ter aus dem LAN (Local Area Network) einen schnellen Zugriff auf diese Res­sour­cen. Der Betrieb im selben Netzwerk jedoch birgt ein hohes Si­cher­heits­ri­si­ko. Web-, Mail-, DNS- oder Pro­xy­ser­ver, die auf das öf­fent­li­che Netz zugreifen müssen, bieten Hackern eine große An­griffs­flä­che. Sind diese „Bastion Hosts“ direkt mit dem LAN verbunden, besteht die Gefahr, dass ein kor­rum­pier­ter Server das gesamte Un­ter­neh­mens­netz in Mit­lei­den­schaft zieht. Eine Lösung für dieses Dilemma bieten Um­kreis­netz­wer­ke, so­ge­nann­te de­mi­li­ta­ri­sier­te Zonen, in die sich ge­fähr­de­te Server auslagern lassen.

Was ist eine de­mi­li­ta­ri­sier­te Zone?

Als de­mi­li­ta­ri­sier­te Zone (de­mi­li­ta­ri­zed zone, DMZ) be­zeich­net man ein Rech­ner­netz, das als Puf­fer­zo­ne mit eigenem IP-Adress­be­reich zwischen zwei Netz­wer­ken fungiert und diese durch strenge Zu­griffs­re­geln von­ein­an­der abgrenzt. Server innerhalb einer DMZ befinden sich physisch zwar immer noch im Un­ter­neh­men, sind mit den Geräten, die im lokalen Netzwerk verbunden sind, jedoch nicht direkt verbunden. Die höchste Schutz­funk­ti­on hat ein Aufbau, bei dem die DMZ zwischen LAN und Internet durch je eine separate Firewall von den an­gren­zen­den Netzen ab­ge­schirmt ist. Günstiger hingegen sind Netz­werk­ar­chi­tek­tu­ren, bei denen alle Netze an nur eine Firewall mit drei separaten An­schlüs­sen an­ge­schlos­sen werden. Man spricht in diesem Fall von einer Protected DMZ.

DMZ mit zwei Firewalls

Um Un­ter­neh­mens­net­ze zu­ver­läs­sig gegen Zugriffe aus dem öf­fent­li­chen Netz (WAN) ab­zu­schir­men, kommen in der Regel DMZ-Konzepte mit zwei Firewalls zum Einsatz. Dabei kann es sich um ei­gen­stän­di­ge Hard­ware­kom­po­nen­ten oder Firewall-Software auf einem Router handeln. Die äußere Firewall schirmt die de­mi­li­ta­ri­sier­te Zone vom öf­fent­li­chen Netz ab, die innere Firewall wird zwischen DMZ und Un­ter­neh­mens­netz ge­schal­tet.

Bild: DMZ mit zwei Firewalls
Sche­ma­ti­sche Dar­stel­lung einer de­mi­li­ta­ri­sier­ten Zone mit zwei Firewalls (Quelle: https://commons.wikimedia.org/wiki/File%3ADMZ_network_diagram_2_firewall.svg)

Diese zwei­stu­fi­ge Si­cher­heits­ar­chi­tek­tur er­mög­licht es, statische Routen zu kon­fi­gu­rie­ren, um den Da­ten­ver­kehr zwischen den Netz­wer­ken wie folgt zu regeln:

Nutzer befindet sich… Zugriff auf DMZ Zugriff auf LAN Zugriff auf Internet
…im Internet (WAN) erlaubt ab­ge­wie­sen -
…im LAN erlaubt - erlaubt
…in der DMZ - ab­ge­wie­sen ab­ge­wie­sen

Während Nutzer aus dem LAN sowohl auf die Server in der DMZ als auch auf das öf­fent­li­che Netz zugreifen dürfen, ist Nutzern aus dem Internet lediglich der Zugriff auf die de­mi­li­ta­ri­sier­te Zone gestattet. Da­ten­ver­kehr aus der DMZ heraus wird von beiden Firewalls ab­ge­blockt.

Emp­feh­lens­wert ist der Einsatz von Firewalls un­ter­schied­li­cher Her­stel­ler. An­dern­falls würde Hackern eine bekannte Si­cher­heits­lü­cke aus­rei­chen, beide Firewalls zu über­win­den. Um Angriffe von einem kom­pro­mit­tier­ten Server auf andere Geräte innerhalb der DMZ zu ver­hin­dern, lassen sich diese durch weitere Software-Firewalls oder eine Seg­men­tie­rung in VLANs (Virtual Local Area Network) von­ein­an­der ab­schot­ten.

DMZ mit einer Firewall

Kos­ten­güns­ti­ger lässt sich eine DMZ durch eine einzige leis­tungs­star­ke Firewall (bzw. einen Router inklusive Firewall) mit drei separaten Netz­werk­an­schlüs­sen rea­li­sie­ren: je einen für Internet und LAN sowie einen Dritten für die de­mi­li­ta­ri­sier­te Zone. Bei einer solchen Protected DMZ werden alle An­schlüs­se un­ab­hän­gig von­ein­an­der von derselben Firewall überwacht, wodurch diese im Netzwerk zum Single Point of Failure wird. Zudem muss die Firewall in einem solchen Aufbau in der Lage sein, sowohl den Traffic aus dem Internet als auch die Zugriffe aus dem LAN zu be­wäl­ti­gen.

Bild: DMZ mit einer Firewall
Bei einer Protected DMZ überwacht nur eine Firewall die Netz­werk­an­schlüs­se und kon­trol­liert damit den Traffic aus dem Internet und die Zugriffe aus dem LAN (Quelle: https://commons.wikimedia.org/wiki/File%3ADMZ_network_diagram_2_firewall.svg)

Exposed Host

Zahl­rei­che Router im unteren Preis­seg­ment preisen eine DMZ-Un­ter­stüt­zung an. Oft verbirgt sich dahinter jedoch lediglich die Mög­lich­keit, einen Rechner im lokalen Netzwerk als Exposed Host zu kon­fi­gu­rie­ren. An diesen leitet der vor­ge­schal­te­te Router alle Anfragen aus dem Internet weiter, die nicht zu exis­tie­ren­den Ver­bin­dun­gen gehören. Der Rechner wird damit für Nutzer aus dem Internet er­reich­bar. Die Schutz­funk­ti­on einer echten DMZ bietet ein Exposed Host hingegen nicht, da dieser nicht vom LAN separiert ist.

Zum Hauptmenü