DMZ - Demilitarisierte Zone

DMZ - Demilitarisierte Zone

Die Demilitarisierte Zone ist ein eigenständiges Subnetz, welches das lokale Netzwerk (LAN) durch Firewall-Router (A und B) vom Internet trennt. Die Firewall-Router sind so konfiguriert, dass sie Datenpakete, für die es keine vorhergehenden Datenpakete gab, verwerfen. Wird also aus dem Internet ein Datenpaket an den Server geschickt, wird es vom Firewall-Router A verworfen. Sollte ein Hacker doch auf einen Server innerhalb DMZ Zugriff erhalten und Datenpakete in das LAN zum Schnüffeln oder Hacken schicken wollen, werden diese vom Firewall-Router B verworfen.
In beiden Firewall-Routern müssen statische Routen konfiguriert werden, damit die eingehenden Datenpakete an die richtige Station im LAN geschickt werden. Dieses Vorgehen hat den Vorteil, dass es den Datenverkehr vom Internet kommend aus dem LAN fern hält und deshalb im LAN nur der interne Datenverkehr und die Internet-Verbindungen ablaufen. Das LAN ist dann weniger anfällig für Überlastungen, die durch den Datenverkehr aus dem Internet kommen.

DMZ-Host (Exposed Host)

Die Kosten für einen zweiten Router und der Konfigurationsaufwand sind nicht unerheblich. Wer hier sparen will, kann auch einen DMZ-Host im LAN einrichten. In vielen einfachen Routern wird das als DMZ bezeichnet. Es handelt sich aber um keine echte Demilitarisierte Zone, sondern um einen "Exposed Host" der alle eingehenden Daten erhält, was als sicherheitskritisch anzusehen ist.

Demilitarisierte Zone mit zentralem Host (DMZ-Host)

Diese Sparlösung einer Demilitarisierten Zone (DMZ) sieht die Konfiguration eines Standard-Empfängers im Firewall-Router vor. Dabei gibt es zwei Ansätze. Die intelligente Lösung leitet alle Pakete mit einer festen NAT-Vorgabe (Port-Forwarding bzw. DNAT) zum DMZ-Host (Exposed Host). Dabei wird das Datenpaket abhängig vom TCP-Port an den DMZ-Host weitergeleitet oder verworfen.
Eine ungünstige Lösung ist es, alle von außen initiierte Verbindungen an den DMZ-Host weiterzuleiten. Dadurch kann der DMZ-Host mit Datenpaketen überschwemmt und ein Ausfall provoziert werden. Diesen Vorgang nennt man Denial-of-Service (DoS). In einem solchen Fall empfiehlt sich zumindest die Installation einer Software-Firewall (z. B. Pesonal-Firewall) auf dem DMZ-Host und das Aktivieren von Stateful Packet Inspection (SPI) im Firewall-Router.
In jedem Fall muss der Router das Network Address Translation (NAT) beherrschen, damit eine Verbindung in das Internet möglich ist. Da der Router im Internet mit einer eigenen IP-Adresse erreichbar ist und im LAN der private IP-Adressraum verwendet wird, übernimmt NAT die Umsetzung von öffentlicher IP-Adresse in die privaten IP-Adressen. Anhand der Sender-IP-Adresse kann NAT eingehende Datenpakete dem richtigen Empfänger zuordnen.
Vorteil des DMZ-Hosts: Er lässt sich als Proxy-Server (Vermittler) zwischen lokalem Netz und den Servern im Internet nutzen. Den Hosts im lokalen Netz tritt er als zuständiger Server auf. Den Servern im Internet spielt er einen Client vor. Auf diese Weise lässt sich die Kommunikation zwischen den Stationen und dem Internet protokollieren und filtern.

Weitere verwandte Themen:

Teilen:

Netzwerktechnik-Fibel

Netzwerktechnik-Fibel

Das will ich haben!