Inhaltsverzeichnis:
Video: Was ist eine DMZ? (November 2024)
Das beste Beispiel für eine entmilitarisierte Zone (DMZ) ist heute ein stark bewachter Landstreifen in Korea. Es ist das Gebiet auf beiden Seiten der Grenze zwischen Nordkorea und Südkorea, das verhindern soll, dass eine Nation versehentlich einen Krieg mit der anderen beginnt. Im Computerbereich ist eine DMZ insofern vom Konzept her ähnlich, als sie einen Ort bietet, der die nicht vertrauenswürdige Welt des Internets vom internen Netzwerk Ihres Unternehmens fernhält und gleichzeitig Dienste für die Außenwelt anbietet. Lange Zeit hat jeder IT-Fachmann, der fast jedes mit dem Internet verbundene Netzwerk aufbaut, selbstverständlich eine DMZ zusammengestellt. Aber die Wolke hat das alles geändert.
Enterprise zusätzliche Sicherheitsmaßnahmen 2017 getroffen
Wenn Sie noch eine DMZ in Betrieb haben, ist dies ein typisches Beispiel für die Netzwerksegmentierung. Wenn Sie genau hinsehen, finden Sie im Allgemeinen eine Kombination aus Firewalls und Routern. In den meisten Fällen wird die DMZ von einem Edge-Sicherheitsgerät (normalerweise einer Firewall) erstellt, das dann von einem anderen Router oder einer Firewall gesichert wird, die die Tore zum internen Netzwerk schützt.
Während die meisten Organisationen keine DMZ mehr benötigen, um sich vor der Außenwelt zu schützen, ist das Konzept, wertvolle digitale Produkte vom Rest Ihres Netzwerks zu trennen, immer noch eine wirksame Sicherheitsstrategie. Wenn Sie den DMZ-Mechanismus vollständig intern anwenden, gibt es dennoch sinnvolle Anwendungsfälle. Ein Beispiel ist der Schutz des Zugriffs auf wertvolle Datenspeicher, Zugriffssteuerungslisten oder ähnliche Schatzkammern. Sie möchten, dass potenzielle nicht autorisierte Benutzer so viele zusätzliche Rahmen wie möglich durchlaufen, bevor sie Zugriff erhalten.
Wie funktioniert eine DMZ?
Eine DMZ funktioniert folgendermaßen: Es wird eine Edge-Firewall geben, die den Schrecken des offenen Internets trotzt. Danach wird die DMZ und eine weitere Firewall angezeigt, die das lokale Netzwerk (LAN) Ihres Unternehmens schützt. Hinter dieser Firewall befindet sich Ihr internes Netzwerk. Durch Hinzufügen dieses zusätzlichen Zwischennetzwerks können Sie zusätzliche Sicherheitsebenen implementieren, die fehlerhafte Inhalte beseitigen müssen, bevor sie in Ihr tatsächliches internes Netzwerk gelangen können. Vermutlich wird dies nicht nur durch Netzwerkzugriffskontrollen, sondern auch durch Endpoint Protection Suites abgedeckt.
Zwischen der ersten und der zweiten Firewall befindet sich normalerweise ein Switch, der eine Netzwerkverbindung zu den Servern und Geräten herstellt, die für das Internet verfügbar sein müssen. Der Switch stellt auch eine Verbindung zur zweiten Firewall her.
Die erste Firewall sollte so konfiguriert werden, dass nur Datenverkehr zu Ihrem internen LAN und den Servern in der DMZ gelangen kann. Die interne Firewall sollte Datenverkehr nur über bestimmte Ports zulassen, die für den Betrieb Ihres internen Netzwerks erforderlich sind.
In der DMZ sollten Sie Ihre Server so konfigurieren, dass nur Datenverkehr an bestimmten Ports und nur bestimmte Protokolle akzeptiert werden. Beispielsweise möchten Sie den Datenverkehr auf Port 80 nur auf HTTP (HyperText Transfer Protocol) beschränken. Sie sollten diese Server auch so konfigurieren, dass sie nur die Dienste ausführen, die für ihre Funktion erforderlich sind. Möglicherweise möchten Sie auch, dass ein Intrusion Detection System (IDS) die Aktivität auf den Servern in Ihrer DMZ überwacht, damit ein Malware-Angriff, der die Firewall durchdringt, erkannt und gestoppt werden kann.
Die interne Firewall sollte eine Next-Generation-Firewall (NGFW) sein, die Ihren Datenverkehr durch die offenen Ports in Ihrer Firewall überprüft und nach Hinweisen auf Eindringlinge oder Malware sucht. Dies ist die Firewall, die die Kronjuwelen Ihres Netzwerks schützt. Sie ist also nicht der Ort, an dem man sparen kann. Zu den Herstellern von NGFW gehören unter anderem Barracude, Check Point, Cisco, Fortinet, Juniper und Palo Alto.
Ethernet-Ports als DMZ-Ports
Für kleinere Organisationen gibt es einen weiteren kostengünstigeren Ansatz, der weiterhin eine DMZ bereitstellt. Viele Router für Privatanwender und kleine Unternehmen verfügen über eine Funktion, mit der Sie einen der Ethernet-Ports als DMZ-Port festlegen können. Auf diese Weise können Sie ein Gerät wie einen Webserver an diesen Port anschließen, an dem es Ihre IP-Adresse freigibt, aber auch für die Außenwelt verfügbar ist. Selbstverständlich sollte dieser Server so gesperrt wie möglich sein und nur die unbedingt erforderlichen Dienste ausführen. Um Ihr Segment zu erweitern, können Sie einen separaten Switch an diesen Port anschließen und mehr als ein Gerät in der DMZ haben.
Der Nachteil bei der Verwendung eines solchen DMZ-Ports ist, dass Sie nur eine Fehlerquelle haben. Obwohl die meisten dieser Router auch eine eingebettete Firewall enthalten, verfügen sie im Allgemeinen nicht über alle Funktionen einer NGFW. Wenn der Router beschädigt ist, ist dies auch für Ihr Netzwerk der Fall.
Eine Router-basierte DMZ funktioniert zwar, ist aber wahrscheinlich nicht so sicher, wie Sie es möchten. Zumindest sollten Sie in Betracht ziehen, eine zweite Firewall dahinter hinzuzufügen. Dies kostet ein wenig mehr, aber es kostet nicht annähernd so viel wie eine Datenverletzung. Die andere wichtige Konsequenz einer solchen Einrichtung ist, dass die Verwaltung komplexer ist. Da kleinere Unternehmen, die diesen Ansatz verwenden, in der Regel kein IT-Personal haben, sollten Sie einen Berater damit beauftragen, dies einzurichten und dann zu verwalten es von Zeit zu Zeit.
Ein Requiem für die DMZ
- Die besten VPN-Dienste für 2019 Die besten VPN-Dienste für 2019
- Die beste gehostete Endpoint-Schutz- und Sicherheitssoftware für 2019 Die beste gehostete Endpoint-Schutz- und Sicherheitssoftware für 2019
- Die beste Netzwerküberwachungssoftware für 2019 Die beste Netzwerküberwachungssoftware für 2019
Wie bereits erwähnt, werden Sie nicht zu viele DMZs finden, die noch in freier Wildbahn laufen. Der Grund dafür ist, dass die DMZ eine Funktion ausfüllen sollte, die heute für die überwiegende Mehrheit der Geschäftsfunktionen in der Cloud ausgeführt wird. Jede SaaS-App, die Sie bereitstellen, und jeder Server, den Sie hosten, verschieben extern ausgerichtete Infrastrukturen aus Ihrem Rechenzentrum in die Cloud. Dies bedeutet, dass Sie einen Cloud-Dienst auswählen, eine Instanz mit einem Webserver starten und diesen Server mit der Firewall des Cloud-Anbieters schützen können. Es ist nicht erforderlich, ein separat konfiguriertes Netzwerksegment zu Ihrem internen Netzwerk hinzuzufügen, da ohnehin alles an einem anderen Ort stattfindet. Außerdem sind die anderen Funktionen, die Sie möglicherweise mit einer DMZ verwenden, auch in der Cloud verfügbar. Auf diese Weise werden Sie noch sicherer.
Als allgemeine Sicherheitstaktik ist dies jedoch eine durchaus praktikable Maßnahme. Das Erstellen eines DMZ-ähnlichen Netzwerksegments hinter Ihrer Firewall bietet dieselben Vorteile wie früher, als Sie ein Netzwerk zwischen Ihrem LAN und dem Internet gequetscht haben: Ein anderes Segment bedeutet mehr Schutz, den Sie die bösen Jungs zwingen können, in das Netzwerk einzudringen, bevor sie es erreichen können was sie wirklich wollen. Und je mehr sie arbeiten müssen, desto länger müssen Sie oder Ihr Bedrohungserkennungs- und Reaktionssystem sie erkennen und reagieren.
