Folge uns

Folge uns auf Facebook Folge uns auf Twitter Folge uns auf Google Abonniere unseren RSS-Feed Abonniere unseren Newsletter

Das Buch zu dieser Webseite

Netzwerktechnik-Fibel

Die Netzwerktechnik-Fibel

Käufer der Netzwerktechnik-Fibel Kundenmeinung:
Die Netzwerktechnik-Fibel ist sehr informativ und verständlich. Genau das habe ich schon seit langem gesucht.

Netzwerktechnik-Fibel
jetzt bestellen!

 

Die Netzwerktechnik-Fibel ist im iBookstore erhältlich

Die Netzwerktechnik-Fibel für Amazon Kindle erhältlich

Die Netzwerktechnik-Fibel bei Google Play erhältlich

Netzwerktechnik-Fibel als PDF-Datei ohne DRM

Das Buch zu dieser Webseite

KommunikationstechnikFibel

Die Kommunikationstechnik-Fibel

Käufer der Kommunikationstechnik-Fibel Kundenmeinung:
Die Kommunikationstechnik-Fibel ist sehr informativ und verständlich. Genau das habe ich schon seit langem gesucht. Endlich mal ein Buch, das kurz und bündig die moderne Informationstechnik beleuchtet.

Kommunikationstechnik-Fibel
jetzt bestellen!

 

Die Kommunikationstechnik-Fibel ist im iBookstore erhältlich

Die Kommunikationstechnik-Fibel für Amazon Kindle erhältlich

Kommunikationstechnik-Fibel als eBook von Google Play Store

Kommunikationstechnik-Fibel als PDF-Datei ohne DRM

DMZ - Demilitarisierte Zone

DMZ - Demilitarisierte Zone

Die Demilitarisierte Zone ist ein eigenständiges Subnetz, welches das lokale Netzwerk (LAN) durch Firewall-Router (A und B) vom Internet trennt. Die Firewall-Router sind so konfiguriert, dass sie Datenpakete, für die es keine vorhergehenden Datenpakete gab, verwerfen. Wird also aus dem Internet ein Datenpaket an den Server geschickt, wird es vom Firewall-Router A verworfen. Sollte ein Hacker doch auf einen Server innerhalb DMZ Zugriff erhalten und Datenpakete in das LAN zum Schnüffeln oder Hacken schicken wollen, werden diese vom Firewall-Router B verworfen.
In beiden Firewall-Routern müssen statische Routen konfiguriert werden, damit die eingehenden Datenpakete an die richtige Station im LAN geschickt werden. Dieses Vorgehen hat den Vorteil, dass es den Datenverkehr vom Internet kommend aus dem LAN fern hält und deshalb im LAN nur der interne Datenverkehr und die Internet-Verbindungen ablaufen. Das LAN ist dann weniger anfällig für Überlastungen, die durch den Datenverkehr aus dem Internet kommen.

DMZ-Host (Exposed Host)

Die Kosten für einen zweiten Router und der Konfigurationsaufwand sind nicht unerheblich. Wer hier sparen will, kann auch einen DMZ-Host im LAN einrichten. In vielen einfachen Routern wird das als DMZ bezeichnet. Es handelt sich aber um keine echte Demilitarisierte Zone, sondern um einen "Exposed Host" der alle eingehenden Daten erhält, was als sicherheitskritisch anzusehen ist.

Demilitarisierte Zone mit zentralem Host (DMZ-Host)

Diese Sparlösung einer Demilitarisierten Zone (DMZ) sieht die Konfiguration eines Standard-Empfängers im Firewall-Router vor. Dabei gibt es zwei Ansätze. Die intelligente Lösung leitet alle Pakete mit einer festen NAT-Vorgabe (Port-Forwarding bzw. DNAT) zum DMZ-Host (Exposed Host). Dabei wird das Datenpaket abhängig vom TCP-Port an den DMZ-Host weitergeleitet oder verworfen.
Eine ungünstige Lösung ist es, alle von außen initiierte Verbindungen an den DMZ-Host weiterzuleiten. Dadurch kann der DMZ-Host mit Datenpaketen überschwemmt und ein Ausfall provoziert werden. Diesen Vorgang nennt man Denial-of-Service (DoS). In einem solchen Fall empfiehlt sich zumindest die Installation einer Software-Firewall (z. B. Pesonal-Firewall) auf dem DMZ-Host und das Aktivieren von Stateful Packet Inspection (SPI) im Firewall-Router.
In jedem Fall muss der Router das Network Address Translation (NAT) beherrschen, damit eine Verbindung in das Internet möglich ist. Da der Router im Internet mit einer eigenen IP-Adresse erreichbar ist und im LAN der private IP-Adressraum verwendet wird, übernimmt NAT die Umsetzung von öffentlicher IP-Adresse in die privaten IP-Adressen. Anhand der Sender-IP-Adresse kann NAT eingehende Datenpakete dem richtigen Empfänger zuordnen.
Vorteil des DMZ-Hosts: Er lässt sich als Proxy-Server (Vermittler) zwischen lokalem Netz und den Servern im Internet nutzen. Den Hosts im lokalen Netz tritt er als zuständiger Server auf. Den Servern im Internet spielt er einen Client vor. Auf diese Weise lässt sich die Kommunikation zwischen den Stationen und dem Internet protokollieren und filtern.

Weitere verwandte Themen:

Die Netzwerktechnik-Fibel

Die Netzwerktechnik-Fibel ist im iBookstore erhältlich Die Netzwerktechnik-Fibel für Amazon Kindle erhältlich