netzrate
Dat Chefchen
Teammitglied
Administrator
Persönlich bekannt
Zockerclub
Über 18 Jahre alt!
Top Posters des Monats
Fast jeder Router wirbt heute mit dem Feature DMZ für besondere Sicherheit. Doch die meisten als DMZ beworbenen Funktionen verdienen diesen Namen nicht. Im Gegenteil - meist handelt es sich hier um ausgesprochene Unsicherheits-Funktionen.
Was ist eine DMZ?
Eigentlich stammt der Begriff aus der Sprache der Militärs und bezeichnet eine Pufferzone zwischen zwei feindlichen Ländern (wie z.B. zwischen Nord- und Südkorea). Im Netzwerkbereich meint DMZ ein separates Netzwerk, das sich zwischen dem internen LAN und dem Internet befindet. Dabei gilt die DMZ zwar als vertrauenswürdiger als das Internet, die DMZ-Rechner erhalten aber nicht die gleichen Rechte., wie die Rechner des internen LAN. So wird beispielsweise der Traffic von der DMZ zum LAN komplett unterbunden. Die DMZ ist der klassische Platz für alle Dienste, die direkt mit dem Internet Kontakt aufnehmen müssen. Wenn beispielsweise Ihr Web- oder Mail-Server attackiert wird, so hat dies bei einer gut konfigurierten DMZ keinerlei Einfluss auf die Sicherheit Ihres internen Netzes.
Eine echte DMZ einzurichten ist recht aufwendig, normale Soho-Router können dies nicht. Wenn Sie hier eine DMZ einrichten, hebeln Sie einfach sämtliche Schutzmechanismen des Routers aus und leiten den Internet-Traffic ungefiltert auf einen Rechner Ihres internen LAN. Dieser muß dann selbst sehen, wie er mit all den angelieferten Bösartigkeiten fertig wird. Sollte es einem Hacker gelingen den Rechner zu übernehmen, so steht im das gesamte LAN offen.
Wenn Sie also einen Server betreiben möchten, sollten Sie die Arbeit nicht scheuen und eine echte DMZ aufbauen. Es gibt mehrere Wege eine DMZ anzulegen.
Der preiswerte Weg
Die preiswerteste Variante eine DMZ anzulegen besteht darin, einen PC mit drei Netzwerkkarten auszurüsten und mit der entsprechenden Routing-/Firewall-Software auszurüsten.
Die drei Netzwerkkarten haben folgende Aufgaben: Eine verbindet das gesamte System mit dem Internet, die zweite leitet die für die DMZ bestimmten Daten weiter und die dritte Karte übernimmt die Verbindung zum LAN.
Diese Methode ist preiswert aber nicht sehr sicher, denn wenn dieser PC einem Hacker in die Hände fällt, stehen ihm DMZ und LAN offen. Grundsatz hier: Die Maschine, welche die Sicherheit des LAN bestimmt, darf nie direkten Kontakt zum Internet haben.
Der optimale Weg
Optimale Sicherheit bieten drei - vollkommen voneinander getrennte - Netzwerke. Um diese Konfiguration aufzubauen benötigen Sie einen Soho-Router und eine dezidierte Firewall, es kann sich dabei um eine Checkpoint Firewall von Cisco handeln oder um einen PC, den Sie mit der entsprechenden Software (z.B. unter Linux) ausgestattet haben. Wichtig ist nur, dass die dezidierte Firewall über zwei Netzwerkkarten verfügt.
Wir gehen in diesem Fall von einer Checkpoint Firewall aus. Weiterhin gegen wir davon aus, dass Sie einen Web-Server in der DMZ betreiben wollen. So bauen Sie das Netzwerk auf: Der Router wird direkt hinter dem DSL-Modem platziert und mit einem Switch verbunden.
Der Router verfügt über Firewall-Fähigkeiten und filtert die ankommenden Daten. Nur Anfragen auf Port 80 für den Web-Server werden durchgelassen, alle andern Datenpakete werden verworfen. Sollten Sie statt des Web-Servers einen ftp-Server oder einen Spiele-Server wie WCIII oder Counterstrike betreiben, müssen Sie den Router anweisen, die entsprechenden Verbindungsanfragen durchzulassen.
Zwar fängt der Router viele Attacken bereits ab, aber sie müssen dennoch alle DMZ-Server sorgfältig auf Sicherheit optimieren.
Zum Schutz Ihres internen LANs verwenden Sie die Checkpoint Firewall, denn sie bietet deutlich mehr Schutz als ein Router. Eine Checkpoint Firewall hat zwei Netzwerkkarten, verbinden Sie die eine mit dem DMZ-Switch und andere mit dem LAN-Switch, der sämtliche Rechner Ihres internen LAN verbindet. Damit haben Sie Ihr Netzwerk sauber segmentiert.
LAN: Uneingeschränkt vertrauenswürdiger Bereich
DMZ: Eingeschränkt vertrauenswürdiger Bereich
Internet: Nicht vertrauenswürdig
Sie können jetzt vom LAN aufs Internet und auf die Rechner in der DMZ zugreifen, aber weder vom Internet, noch von der DMZ aus kann auf Ihr LAN zugegriffen werden.
Erreicht wird dies durch die Konfiguration der beiden Firewalls. Nutzen Sie NAT und Stateful Packet Inspection (SPI), um den Router und die Checkpoint Firewall korrekt zu konfigurieren.
Vorteile einer DMZ
Sollte Ihr Web-Server doch einmal erfolgreich attackiert werden (wer kommt schon immer mit dem patchen nach, besonders wenn es sich um Microsofts IIS handelt), dann haben die Hacker nicht viel gewonnen, denn an die LAN-Rechner kommen sie erst heran, wenn auch die Checkpoint FW gefallen ist. Eine DMZ verschafft Ihnen also Zeit auf einen Angriff zu reagieren, bevor die lebenswichtigen Systeme angegriffen werden.
Dabei ist die DMZ auch schon geschützt, denn da Sie nur einen Web-Server im Innern der DMZ betreiben, wird der Router zum einen
nur Anfragen für Port 80, den klassischen Kommunikations-Port für Web-Server durchlassen und alle anderen Datenpakete verwerfen,
via NAT die öffentliche IP-Adresse (z.B. 80.214.6.34) in eine private, dem Hacker unbekannte, IP-Adresse (z.B. 192.168.1.10) umwandeln.
Ein Beispiel
Jemand scannt Ihr Netz und sucht nach offen WWW-Ports (Port 80). Ihr Web-Server wird gefunden, jeder Amateur-Hacker wird sich freuen und denken, dass er einen Rechner gefunden hat, der direkt ans Internet angeschlossen ist und auf dem ein Web-Server läuft, ohne dass es der Nutzer weiß. Er wird also die Verbindung aufbauen und versuchen die Maschine zu knacken. Selbst dies wird sehr schwierig sein, denn da der Web-Server über eine private IP angesprochen wird hat er - was das Internet angeht - überhaupt keine sichtbare IP-Adresse und ist deshalb auch nicht erreichbar. Wenn Sie also diese IP-Adresse nicht an den Router weitergeben, wird ein Scan erfolglos sein.
Aber gesetzt den Fall, der Einbruch klappt, was hat der Hacker davon? Nicht sehr viel, nur einen Web-Server in Mimimal-Konfiguration ohne Zugriff auf das interne LAN. Wenn die interne Firewall so konfiguriert ist, dass sie sämtliche Anfragen aus der DMZ einfach verschluckt, wird der Hacker keine Chance haben - er starrt in ein schwarze Loch und kommt nicht weiter.
Was bleibt ihm? Entweder verlässt er Ihr Netzwerk sofort oder er zerstört vorher noch Ihren Server. Dieser Schaden hält sich aber in Grenzen, da Sie den Server in jedem Fall hätten neu aufsetzen müssen. Deshalb: Backup nicht vergessen!
Was ist eine DMZ?
Eigentlich stammt der Begriff aus der Sprache der Militärs und bezeichnet eine Pufferzone zwischen zwei feindlichen Ländern (wie z.B. zwischen Nord- und Südkorea). Im Netzwerkbereich meint DMZ ein separates Netzwerk, das sich zwischen dem internen LAN und dem Internet befindet. Dabei gilt die DMZ zwar als vertrauenswürdiger als das Internet, die DMZ-Rechner erhalten aber nicht die gleichen Rechte., wie die Rechner des internen LAN. So wird beispielsweise der Traffic von der DMZ zum LAN komplett unterbunden. Die DMZ ist der klassische Platz für alle Dienste, die direkt mit dem Internet Kontakt aufnehmen müssen. Wenn beispielsweise Ihr Web- oder Mail-Server attackiert wird, so hat dies bei einer gut konfigurierten DMZ keinerlei Einfluss auf die Sicherheit Ihres internen Netzes.
Eine echte DMZ einzurichten ist recht aufwendig, normale Soho-Router können dies nicht. Wenn Sie hier eine DMZ einrichten, hebeln Sie einfach sämtliche Schutzmechanismen des Routers aus und leiten den Internet-Traffic ungefiltert auf einen Rechner Ihres internen LAN. Dieser muß dann selbst sehen, wie er mit all den angelieferten Bösartigkeiten fertig wird. Sollte es einem Hacker gelingen den Rechner zu übernehmen, so steht im das gesamte LAN offen.
Wenn Sie also einen Server betreiben möchten, sollten Sie die Arbeit nicht scheuen und eine echte DMZ aufbauen. Es gibt mehrere Wege eine DMZ anzulegen.
Der preiswerte Weg
Die preiswerteste Variante eine DMZ anzulegen besteht darin, einen PC mit drei Netzwerkkarten auszurüsten und mit der entsprechenden Routing-/Firewall-Software auszurüsten.
Die drei Netzwerkkarten haben folgende Aufgaben: Eine verbindet das gesamte System mit dem Internet, die zweite leitet die für die DMZ bestimmten Daten weiter und die dritte Karte übernimmt die Verbindung zum LAN.
Diese Methode ist preiswert aber nicht sehr sicher, denn wenn dieser PC einem Hacker in die Hände fällt, stehen ihm DMZ und LAN offen. Grundsatz hier: Die Maschine, welche die Sicherheit des LAN bestimmt, darf nie direkten Kontakt zum Internet haben.
Der optimale Weg
Optimale Sicherheit bieten drei - vollkommen voneinander getrennte - Netzwerke. Um diese Konfiguration aufzubauen benötigen Sie einen Soho-Router und eine dezidierte Firewall, es kann sich dabei um eine Checkpoint Firewall von Cisco handeln oder um einen PC, den Sie mit der entsprechenden Software (z.B. unter Linux) ausgestattet haben. Wichtig ist nur, dass die dezidierte Firewall über zwei Netzwerkkarten verfügt.
Wir gehen in diesem Fall von einer Checkpoint Firewall aus. Weiterhin gegen wir davon aus, dass Sie einen Web-Server in der DMZ betreiben wollen. So bauen Sie das Netzwerk auf: Der Router wird direkt hinter dem DSL-Modem platziert und mit einem Switch verbunden.
Der Router verfügt über Firewall-Fähigkeiten und filtert die ankommenden Daten. Nur Anfragen auf Port 80 für den Web-Server werden durchgelassen, alle andern Datenpakete werden verworfen. Sollten Sie statt des Web-Servers einen ftp-Server oder einen Spiele-Server wie WCIII oder Counterstrike betreiben, müssen Sie den Router anweisen, die entsprechenden Verbindungsanfragen durchzulassen.
Zwar fängt der Router viele Attacken bereits ab, aber sie müssen dennoch alle DMZ-Server sorgfältig auf Sicherheit optimieren.
Zum Schutz Ihres internen LANs verwenden Sie die Checkpoint Firewall, denn sie bietet deutlich mehr Schutz als ein Router. Eine Checkpoint Firewall hat zwei Netzwerkkarten, verbinden Sie die eine mit dem DMZ-Switch und andere mit dem LAN-Switch, der sämtliche Rechner Ihres internen LAN verbindet. Damit haben Sie Ihr Netzwerk sauber segmentiert.
LAN: Uneingeschränkt vertrauenswürdiger Bereich
DMZ: Eingeschränkt vertrauenswürdiger Bereich
Internet: Nicht vertrauenswürdig
Sie können jetzt vom LAN aufs Internet und auf die Rechner in der DMZ zugreifen, aber weder vom Internet, noch von der DMZ aus kann auf Ihr LAN zugegriffen werden.
Erreicht wird dies durch die Konfiguration der beiden Firewalls. Nutzen Sie NAT und Stateful Packet Inspection (SPI), um den Router und die Checkpoint Firewall korrekt zu konfigurieren.
Vorteile einer DMZ
Sollte Ihr Web-Server doch einmal erfolgreich attackiert werden (wer kommt schon immer mit dem patchen nach, besonders wenn es sich um Microsofts IIS handelt), dann haben die Hacker nicht viel gewonnen, denn an die LAN-Rechner kommen sie erst heran, wenn auch die Checkpoint FW gefallen ist. Eine DMZ verschafft Ihnen also Zeit auf einen Angriff zu reagieren, bevor die lebenswichtigen Systeme angegriffen werden.
Dabei ist die DMZ auch schon geschützt, denn da Sie nur einen Web-Server im Innern der DMZ betreiben, wird der Router zum einen
nur Anfragen für Port 80, den klassischen Kommunikations-Port für Web-Server durchlassen und alle anderen Datenpakete verwerfen,
via NAT die öffentliche IP-Adresse (z.B. 80.214.6.34) in eine private, dem Hacker unbekannte, IP-Adresse (z.B. 192.168.1.10) umwandeln.
Ein Beispiel
Jemand scannt Ihr Netz und sucht nach offen WWW-Ports (Port 80). Ihr Web-Server wird gefunden, jeder Amateur-Hacker wird sich freuen und denken, dass er einen Rechner gefunden hat, der direkt ans Internet angeschlossen ist und auf dem ein Web-Server läuft, ohne dass es der Nutzer weiß. Er wird also die Verbindung aufbauen und versuchen die Maschine zu knacken. Selbst dies wird sehr schwierig sein, denn da der Web-Server über eine private IP angesprochen wird hat er - was das Internet angeht - überhaupt keine sichtbare IP-Adresse und ist deshalb auch nicht erreichbar. Wenn Sie also diese IP-Adresse nicht an den Router weitergeben, wird ein Scan erfolglos sein.
Aber gesetzt den Fall, der Einbruch klappt, was hat der Hacker davon? Nicht sehr viel, nur einen Web-Server in Mimimal-Konfiguration ohne Zugriff auf das interne LAN. Wenn die interne Firewall so konfiguriert ist, dass sie sämtliche Anfragen aus der DMZ einfach verschluckt, wird der Hacker keine Chance haben - er starrt in ein schwarze Loch und kommt nicht weiter.
Was bleibt ihm? Entweder verlässt er Ihr Netzwerk sofort oder er zerstört vorher noch Ihren Server. Dieser Schaden hält sich aber in Grenzen, da Sie den Server in jedem Fall hätten neu aufsetzen müssen. Deshalb: Backup nicht vergessen!