DMZ-Netzwerk

Im Bereich der Computersicherheit dient ein DMZ-Netzwerk (das manchmal auch „De-Militarized Zone“ genannt wird) als Subnetzwerk, das die externen, von außen zugänglichen Dienste eines Unternehmens enthält. Es bildet den offenen Zugangspunkt zu einem nicht vertrauenswürdigen Netzwerk, wobei es sich üblicherweise um das Internet handelt.

Ziel eines DMZ-Netzwerks ist es, das lokale Netzwerk eines Unternehmens zusätzlich zu schützen. Ein geschützter und gut überwachter Netzwerkknoten, der sich außerhalb des internen Netzwerks befindet, kann auf die Dienste zugreifen, die in der DMZ verfügbar sind, während der Rest des Unternehmensnetzwerks durch eine Firewall gesichert wird.

Wenn ein DMZ-Netzwerk ordnungsgemäß implementiert wird, bietet es Unternehmen zusätzlichen Schutz, indem es Sicherheitsverstöße erkennt und reduziert, bevor sie das interne Netzwerk erreichen, wo wertvolle Daten und Materialien gespeichert werden.

Zweck eines DMZ-Netzwerks

Das DMZ-Netzwerk dient dem Schutz der Hosts, die am anfälligsten für Angriffe sind. Bei diesen Hosts handelt es sich in der Regel um Dienste, die sich an Benutzer außerhalb des lokalen Netzwerks richten. Die häufigsten Beispiele sind E-Mail, Webserver und DNS-Server. Da bei diesen Diensten ein hohes Angriffsrisiko besteht, werden sie über das überwachte Subnetz bereitgestellt. So bleibt der Rest des Netzwerks im Falle einer Gefährdung geschützt.

Hosts im DMZ-Netzwerk verfügen über streng kontrollierte Zugriffsberechtigungen auf andere Dienste im internen Netzwerk, da die über das DMZ-Netzwerk übertragenen Daten nicht so sicher sind wie andere Daten. Darüber hinaus ist die Kommunikation zwischen Hosts im DMZ-Netzwerk und dem externen Netzwerk eingeschränkt, um den geschützten Grenzbereich zu vergrößern. Auf diese Weise können Hosts im geschützten Netzwerk mit dem internen und externen Netzwerk interagieren, während die Firewall den gesamten Datenverkehr, der zwischen dem DMZ-Netzwerk und dem internen Netzwerk ausgetauscht wird, trennt und verwaltet. In der Regel sorgt eine zusätzliche Firewall dafür, dass das DMZ-Netzwerk vor sämtlichen Angriffen auf das externe Netzwerk geschützt ist.

Alle Dienste, auf die Benutzer bei der Kommunikation über ein externes Netzwerk zugreifen können, können und sollten - falls vorhanden - über das DMZ-Netzwerk bereitgestellt werden. Dabei handelt es sich in der Regel um:

• Webserver: Webserver, die für die Aufrechterhaltung der Kommunikation mit einem internen Datenbankserver verantwortlich sind, müssen möglicherweise in ein DMZ-Netzwerk gestellt werden. Dies trägt dazu bei, die Sicherheit der internen Datenbank zu erhöhen, in der häufig vertrauliche Informationen gespeichert werden. Die Webserver können dann über eine Application Firewall oder direkt mit dem internen Datenbankserver interagieren, während sie weiterhin unter die Schutzmechanismen des DMZ-Netzwerks fallen.
• Mailserver: Individuelle E-Mail-Nachrichten und die Benutzerdatenbank zum Speichern von Zugangsdaten und persönlichen Nachrichten werden in der Regel auf Servern ohne direkten Internetzugang gespeichert. Daher wird ein E-Mail-Server eingerichtet oder in das DMZ-Netzwerk gestellt, um mit der E-Mail-Datenbank zu interagieren und auf diese zuzugreifen, ohne dass sie direkt potenziell schädlichem Datenverkehr ausgesetzt wird.
• FTP-Server: Diese Server können wichtige Inhalte auf der Website eines Unternehmens hosten und die direkte Interaktion mit Dateien ermöglichen. Aus diesem Grund sollte ein FTP-Server immer teilweise von geschäftskritischen internen Systemen isoliert sein.

Eine DMZ-Konfiguration bietet zusätzlichen Schutz vor externen Angriffen, hat jedoch normalerweise keinen Einfluss auf interne Angriffe wie das Ausspionieren von Kommunikationen über einen Paketanalysator oder das Spoofing per E-Mail oder über andere Methoden.

DMZ-Konfiguration

Es gibt zahlreiche Möglichkeiten, ein Netzwerk mit einer DMZ zu konfigurieren. Die beiden häufigsten Methoden sind eine einzelne Firewall (manchmal auch als „dreibeiniges“ Modell bezeichnet) oder zwei Firewalls. Jedes dieser Systeme kann erweitert werden, um komplexe Architekturen für die jeweiligen Netzwerkanforderungen zu erstellen:

• Einzelne Firewall: Eine einfache Netzwerkarchitektur mit einer einzigen Firewall und mindestens 3 Netzwerkschnittstellen. Die DMZ wird hinter diese Firewall gestellt. Die Abläufe erfolgen in dieser Reihenfolge: Das externe Netzwerkgerät stellt die Verbindung vom ISP her, das interne Netzwerk wird vom zweiten Gerät verbunden und Verbindungen innerhalb der DMZ werden vom dritten Netzwerkgerät übernommen.
• Zwei Firewalls: Die sicherste Methode ist die Verwendung von zwei Firewalls zur Erstellung einer DMZ. Die erste Firewall (diese wird als „Frontend“- oder „Perimeter“-Firewall bezeichnet) wird so konfiguriert, dass nur Traffic für die DMZ durchgelassen wird. Die zweite Firewall (diese wird als „Backend“-Firewall bezeichnet) ist nur für den Traffic verantwortlich, der von der DMZ ins interne Netzwerk übertragen wird. Eine effektive Methode für noch mehr Schutz ist die Verwendung von Firewalls von verschiedenen Anbietern, da die Wahrscheinlichkeit geringer ist, dass diese die gleichen Sicherheitslücken aufweisen. Die Implementierung dieses Schemas in einem großen Netzwerk ist zwar effektiver, kann aber auch teurer sein.

In vielen Heimnetzwerken werden internetfähige Geräte um ein lokales Netzwerk herum aufgebaut, das über einen Breitbandrouter auf das Internet zugreift. Der Router dient jedoch sowohl als Verbindungspunkt als auch als Firewall und automatisiert die Traffic-Filterung, um sicherzustellen, dass nur sichere Nachrichten in das lokale Netzwerk gelangen. So lässt sich in einem Heimnetzwerk durch Hinzufügen einer dedizierten Firewall zwischen dem lokalen Netzwerk und dem Router eine DMZ aufbauen. Diese Struktur ist zwar teurer, kann jedoch dazu beitragen, die Geräte hinter der Firewall besser vor möglichen Angriffen von außen zu schützen.

DMZ-Netzwerke sind ein wesentlicher Bestandteil der Netzwerksicherheit -sowohl für einzelne Benutzer als auch für große Unternehmen. Sie bieten zusätzliche Sicherheit für das Computernetzwerk, indem sie den Remote-Zugriff auf interne Server und Informationen einschränken. Denn solche Zugriffe können im Falle eines Sicherheitsverstoßes sehr hohe Schäden anrichten.

Zugehörige Begriffe

• DNS-Einträge
• NextGen Firewall
• URL-Filterung

Weiterführende Ressourcen

• Wikipedia: DMZ (Informatik)
• So konfiguriert man eine DMZ
• Einsatz in der DMZ

Wie Barracuda Sie unterstützen kann

Sowohl Barracuda CloudGen Firewalls als auch Barracuda Email Security Gateways bieten Optionen zur Nutzung von „De-Militarized Zones“ für erweiterten Netzwerkschutz. Durch die Trennung Ihres Netzwerks oder Mailservers vom direkten Zugriff auf das Internet können sie effizienter Bedrohungen erkennen und verhindern, dass diese Ihren Benutzern Schaden zufügen.

Haben Sie weitere Fragen zum Thema DMZ-Netzwerke? Wir freuen uns auf Ihre Nachricht!