Eine demilitarisierte Zone (DMZ, auch "Screened Subnet" oder "Grenznetz" genannt) ist ein mithilfe zweier Paketfilter aufgebautes isoliertes Teilnetz zwischen zu schützendem Netz und unsicherem Netz. Die Paketfilter kontrollieren die Verbindung zwischen der demilitarisierten Zone und dem zu schützenden bzw. unsicheren Netz.
Der äußere Paketfilter schützt die demilitarisierte Zone und das dahinter liegende zu schützende Netz vor Angriffen aus dem unsicheren Netz.
N E U ! Security
aktuell
Täglich aktuelle Security-Infos!
 |
Außerdem kontrolliert er Zugriffe aus dem unsicheren Netz auf Systeme in der demilitarisierten Zone.
Der innere Paketfilter schützt das zu schützende Netz vor eventuell in die demilitarisierte Zone eingedrungenen Angreifern. Außerdem kontrolliert er Zugriffe aus dem geschützten Netz auf Systeme in der demilitarisierten Zone.
Zugriffe auf die Systeme in der demilitarisierten Zone werden also von beiden Seiten aus kontrolliert.
Demilitarisierte Zone mit Single-Homed Application Level Gateway
Wie bei der Kombination eines einzelnen Paketfilters mit einem Single-Homed Application Level Gateway können auch hier die Paketfilter so konfiguriert werden, dass eine Kommunikation nur über das Application Level Gateway möglich ist. Dieses befindet sich in der demilitarisierten Zone und wird durch die Paketfilter geschützt.
|
Bewertung
Wie bei der Kombination eines einzelnen Paketfilters und eines
Single-Homed
Application Level Gateways können bestimmte Verbindungen zwingend
über das Gateway geleitet werden. Erwünschte Verbindungen,
für die keine Proxies vorhanden sind, können von den Paketfiltern
am Gateway vorbei direkt in das geschützte bzw. unsichere Netz
geleitet werden. Dadurch ist diese Kombination sehr flexibel.
Die Sicherheit ist weitgehend von der Sicherheit der Paketfilter abhängig. Ist der Schutzbedarf des zu schützenden Netzes höher als der Schutz, den die Paketfilter leisten können, ist diese Kombination für den Anschluss eines zu schützenden Netzes an das Internet nicht ausreichend. Zur Kopplung von Netzen mit unterschiedlichen Schutzniveaus innerhalb eines gemeinsamen Verantwortungsbereichs ist sie jedoch geeignet.
Demilitarisierte Zone mit Dual-Homed Application Level Gateway
Durch die Hintereinanderschaltung eines Paketfilters, eines (oder auch mehrerer) Dual-Homed Application Level Gateways und eines weiteren Paketfilters wird ein Höchstmaß an Sicherheit erreicht. Die Paketfilter schützen das Application Level Gateway vor Angriffen aus dem geschützten und dem unsicheren Netz.
|
Bewertung
Die gesamte Kommunikation zwischen Systemen im zu schützenden Netz und
Systemen im unsicheren Netz wird durch beide Paketfilter und das
Dual-Homed
Application Level Gateway kontrolliert. Es besteht keine Möglichkeit,
das Gateway zu umgehen.
Die Sicherheit hängt von der Sicherheit sowohl der Paketfilter als auch des Application Level Gateways ab. Durch die Kombination der unterschiedlichen Schutzfunktionen wird eine besonders hohe Gesamtsicherheit erreicht.
Durch die Kombination der Paketfilter und des Gateways ergeben sich einige Vorteile:
- Einfache
Regeln
Die Formulierung der Regeln für die einzelnen Komponenten wird einfacher. Bei den Paketfiltern muss jeweils nur eine Richtung beachtet werden, die Gegenrichtung wird vom jeweils anderen Paketfilter behandelt. - Gegenseitiger
Schutz
Die Paketfilter schützen das Application Level Gateway und den jeweils anderen Paketfilter vor unerwünschten Zugriffen aus dem unsicheren bzw. geschützten Netz. - Gestaffelter
Schutz
Für einen erfolgreichen Angriff auf das geschützte Netz muss ein Angreifer aus dem unsicheren Netz der Reihe nach den ersten Paketfilter, das Application Level Gateway und den zweiten Paketfilter überwinden.
Da meist unterschiedliche Systeme für die Paketfilter und Application Level Gateways verwendet werden, wirken sich Schwachstellen immer nur auf einen Teil der Komponenten aus.
Da Paketfilter und Application Level Gateway bei der Analyse mit verschiedenen Ansätzen arbeiten, können sich auch Schwachstellen bei der Verarbeitung und Analyse der Pakete nur auf einen Teil der Komponenten auswirken.
Eine demilitarisierte Zone mit Dual-Homed Application Level Gateway eignet sich für die Anbindung eines Netzes mit hohem Schutzbedarf an ein Netz mit geringem Schutzniveau, auch wenn beide Netze zu verschiedenen Verantwortungsbereichen gehören. Insbesondere ist diese Kombination für die Verbindung eines zu schützenden Netzes mit dem Internet geeignet.
Server in der demilitarisierten Zone
Wie schon in About Security #28 beschrieben, werden Server, die nur aus dem unsicheren Netz oder sowohl aus dem geschützten als auch unsicheren Netz zugänglich sein sollen, in der demilitarisierten Zone positioniert. Auf den genauen Aufbau wird in einem späteren Feature eingegangen.
In der nächsten Folge werden die Möglichkeiten der Protokollierung durch die Firewall vorgestellt.
Wenn Sie Fragen oder Themenvorschläge haben, können Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!
About Security – Übersicht zum aktuellen Thema "Firewall"
- About Security #29: Die Firewall – Grundlagen
- About Security #30: Die Firewall – Paketfilter
- About Security #31: Die Firewall – FTP-Verbindungen
- About Security #32: Die Firewall – Application Level Gateway
- About Security #33: Die Firewall – Application Level Proxies
- About Security #34: Die Firewall – Circuit Level Proxies
- About Security #35: Die Firewall – Zusammenspiel der Komponenten
- About Security #36: Die Firewall – Demilitarisierte Zone
Kommentare