Skip to content Skip to navigation Skip to footer

Was ist ein DMZ-Netzwerk?

Eine demilitarisierte Zone (DMZ) ist ein Perimeter-Netzwerk, das das interne lokale Netzwerk (LAN) einer Organisation vor nicht vertrauenswürdigem Datenverkehr schützt.

Eine DMZ wird üblicherweise als Subnetz definiert, das zwischen dem öffentlichen Internet und privaten Netzwerken angesiedelt ist. Sie setzt externe Dienste nicht vertrauenswürdigen Netzwerken aus und fügt eine zusätzliche Sicherheitsebene hinzu, um die in internen Netzwerken gespeicherten sensiblen Daten zu schützen, und nutzt Firewalls, um den Datenverkehr zu filtern.

Das Endziel einer DMZ ist es, einer Organisation den Zugang zu nicht vertrauenswürdigen Netzwerken wie dem Internet zu ermöglichen und gleichzeitig sicherzustellen, dass ihr privates Netzwerk oder LAN gesichert ist. Organisationen speichern typischerweise externe Dienste und Ressourcen sowie Server für Domain Name System (DNS), File Transfer Protocol (FTP), Mail, Proxy, Voice over Internet Protocol (VoIP) und Webserver in der DMZ.

Diese Server und Ressourcen sind isoliert und erhalten nur begrenzten Zugang zum LAN, um sicherzustellen, dass sie vom Internet aus zugänglich sind, aber das interne LAN nicht. Infolgedessen macht es ein DMZ-Ansatz für einen Hacker schwieriger, direkten Zugang über das Internet zu den Daten und internen Servern einer Organisation zu erhalten.

 

Wie funktioniert ein DMZ-Netzwerk?

Unternehmen mit einer öffentlichen, von Kunden benutzten Website müssen dafür sorgen, dass ihre Webserver vom Internet aus zugänglich sind. Das bedeutet, dass sie ihr gesamtes internes Netzwerk in Gefahr bringen. Um dies zu verhindern, könnte eine Organisation eine Hosting-Firma bezahlen, um die Website oder ihre öffentlichen Server auf einer Firewall zu hosten, aber dies würde die Leistung beeinträchtigen. Stattdessen werden die öffentlichen Server in einem Netzwerk gehostet, das getrennt und isoliert ist.

Ein DMZ-Netzwerk dient als Puffer zwischen dem Internet und dem privaten Netzwerk einer Organisation. Die DMZ wird durch ein Security-Gateway isoliert, wie z. B. eine Firewall, die den Datenverkehr zwischen der DMZ und einem LAN filtert. Die DMZ wird durch ein weiteres Security-Gateway geschützt, das den Datenverkehr filtert, der von externen Netzwerken eingeht.

Sie befindet sich in idealer Lage zwischen zwei Firewalls, und die Einrichtung der DMZ-Firewall stellt sicher, dass eingehende Netzwerkpakete von einer Firewall oder anderen Security-Tools beobachtet werden, bevor sie zu den in der DMZ gehosteten Servern gelangen. Das heißt: auch wenn ein ausgeklügelter Angreifer die erste Firewall überwinden kann, muss er immer noch auf die gehärteten Dienste in der DMZ zugreifen, bevor er einem Unternehmen Schaden zufügen kann.

Wenn ein Angreifer in der Lage ist, die externe Firewall zu durchdringen und ein System in der DMZ zu kompromittieren, muss er immer noch eine interne Firewall überwinden, bevor er Zugang zu sensiblen Unternehmensdaten bekommt. Ein hoch qualifizierter böswilliger Akteur kann durchaus in der Lage sein, in eine sichere DMZ einzudringen, aber die darin befindlichen Ressourcen sollten Alarme auslösen, die jede Menge Warnungen darüber liefern, dass ein Eindringungsversuch im Gange ist.

Organisationen, die Vorschriften wie die des Health Insurance Portability and Accountability Act (HIPAA) einhalten müssen, installieren manchmal einen Proxy-Server in der DMZ. So können sie die Überwachung und Aufzeichnung von Benutzeraktivitäten vereinfachen, die Filterung von Webinhalten zentralisieren und sicherstellen, dass Mitarbeiter das System nutzen, um Zugang zum Internet zu erhalten.

 

Vorteile der Verwendung einer DMZ

Der Hauptvorteil einer DMZ besteht darin, einem internen Netzwerk eine zusätzliche Sicherheitsebene bereitzustellen, indem der Zugang zu sensiblen Daten und Servern eingeschränkt wird. Eine DMZ ermöglicht es Website-Besuchern, bestimmte Dienste zu erhalten und gleichzeitig einen Puffer zwischen ihnen und dem privaten Netzwerk der Organisation bereitzustellen. Infolgedessen bietet die DMZ auch zusätzliche Security-Vorteile, wie zum Beispiel:

  1. Ermöglichung einer Zugangskontrolle: Unternehmen können Nutzern über das öffentliche Internet Zugang zu Diensten außerhalb der Perimeter ihres Netzwerks erteilen. Die DMZ ermöglicht den Zugang zu diesen Diensten bei gleichzeitiger Implementierung einer Netzwerksegmentierung, um das Erreichen des privaten Netzwerks für einen nicht autorisierten Benutzer zu erschweren. Eine DMZ kann auch einen Proxy-Server beinhalten, der den Fluss des internen Datenverkehrs zentralisiert sowie die Überwachung und Aufzeichnung dieses Datenverkehrs vereinfacht.
  2. Verhinderung einer Netzwerkerkundung: Durch die Bereitstellung eines Puffers zwischen dem Internet und einem privaten Netzwerk verhindert eine DMZ, dass Angreifer die Erkundungsarbeit bei der Beschaffung potenzieller Ziele durchführen. Server innerhalb der DMZ sind öffentlich exponiert, verfügen aber über eine weitere Sicherheitsebene dank einer Firewall, die verhindert, dass ein Angreifer in das interne Netzwerk hineinblickt. Selbst wenn ein DMZ-System kompromittiert wird, trennt die interne Firewall das private Netzwerk von der DMZ zu ihrem Schutz und zur Erschwerung der externen Erkundung.
  3. Blockieren von Internet Protocol (IP)-Spoofing: Angreifer können versuchen, Zugang zu Systemen zu erhalten, indem sie eine IP-Adresse vortäuschen und sich als ein genehmigtes Gerät ausgeben, das in einem Netzwerk angemeldet ist. Eine DMZ kann solche Spoofing-Versuche erkennen und anhalten, während ein anderer Dienst die Legitimität der IP-Adresse überprüft. Die DMZ bietet auch eine Netzwerksegmentierung, um einen Raum zur Organisation des Datenverkehrs und für den Zugang zu öffentlichen Diensten von außerhalb des internen privaten Netzwerks zu schaffen.

Die Dienste einer DMZ umfassen:

  1. DNS-Server
  2. FTP-Server
  3. Mail-Server
  4. Proxy-Server
  5. Web-Server

Design und Architektur einer DMZ

Eine DMZ ist ein „Wide-Open“-Netzwerk, aber es gibt mehrere Design- und Architekturansätze, die sie schützen. Eine DMZ kann auf verschiedene Arten konzipiert werden, von einem Single-Firewall-Ansatz bis hin zum Einsatz von dualen und mehreren Firewalls. Die Mehrzahl der modernen DMZ-Architekturen verwendet duale Firewalls, die erweitert werden können, um komplexere Systeme zu entwickeln.

  1. Einzelne Firewall: Eine DMZ mit einem Single-Firewall-Design erfordert drei oder mehr Netzwerkschnittstellen. Die erste ist das externe Netzwerk, das die öffentliche Internetverbindung mit der Firewall verbindet. Die zweite bildet das interne Netzwerk, während die dritte mit der DMZ verbunden ist. Verschiedene Regeln überwachen und kontrollieren den Datenverkehr, der auf die DMZ zugreifen und die Konnektivität zum internen Netzwerk einschränken darf.
  2. Duale Firewall: Der Einsatz von zwei Firewalls mit einer DMZ dazwischen ist in der Regel eine sicherere Option. Die erste Firewall erlaubt nur externen Datenverkehr zur DMZ, und die zweite erlaubt nur Datenverkehr, der von der DMZ in das interne Netzwerk fließt. Ein Angreifer müsste beide Firewalls kompromittieren, um Zugang zum LAN einer Organisation zu erhalten.

Organisationen können auch Sicherheitskontrollen für verschiedene Netzwerksegmente fein abstimmen. Dies bedeutet, dass ein Intrusion Detection System (IDS) oder Intrusion Prevention System (IPS) innerhalb einer DMZ konfiguriert werden könnte, um jeden anderen Datenverkehr als Hypertext Transfer Protocol Secure (HTTPS)-Anfragen an den Transmission Control Protocol (TCP)-Port 443 zu blockieren.

 

Die Bedeutung von DMZ-Netzwerken: Wie werden sie verwendet?

DMZ-Netzwerke sind seit der Einführung von Firewalls zentral für die Sicherung von Unternehmensnetzwerken. Sie schützen die sensiblen Daten, Systeme und Ressourcen von Unternehmen, indem sie interne Netzwerke von Systemen trennen, die von Angreifern angepeilt werden könnten. DMZs ermöglichen es Organisationen auch, Ebenen für den Zugang zu sensiblen Systemen zu kontrollieren und zu reduzieren.

Unternehmen nutzen zunehmend Container und virtuelle Maschinen (VMs), um ihre Netzwerke oder bestimmte Anwendungen vom Rest ihrer Systeme zu isolieren. Das Wachstum der Cloud bedeutet, dass viele Unternehmen keine internen Webserver mehr benötigen. Sie haben auch einen Großteil ihrer externen Infrastruktur in die Cloud migriert, indem sie Software-as-a-Service (SaaS)-Anwendungen benutzen.

Durch einen Cloud-Dienst, wie z. B. Microsoft Azure, kann eine Organisation, die Anwendungen vor Ort und in virtuellen privaten Netzwerken (VPNs) ausführt, einen hybriden Ansatz verwenden, wobei die DMZ zwischen beiden angesiedelt ist. Diese Methode kann auch angewandt werden, wenn ausgehender Datenverkehr überprüft werden muss oder um den Datenverkehr zwischen einem lokalen Rechenzentrum und virtuellen Netzwerken zu kontrollieren.

Darüber hinaus erweisen sich DMZs als nützlich, um den Sicherheitsrisiken durch Internet-of-Things (IoT)-Geräte und Operational Technology (OT)-Systeme entgegenzuwirken, die die Produktion und Fertigung intelligenter machen, aber eine enorme Bedrohungsfläche schaffen. Das liegt daran, dass OT-Geräte nicht so konzipiert sind, dass sie Cyberangriffe bewältigen oder sich von ihnen erholen können, während IoT-Geräte anders konzipiert sind. Dies stellt ein erhebliches Risiko für die kritischen Daten und Ressourcen von Unternehmen dar. Eine DMZ bietet eine Netzwerksegmentierung, um das Risiko eines Angriffs zu mindern, der Schäden an der industriellen Infrastruktur verursachen kann.

Wie Fortinet helfen kann

Die FortiGate Next Generation Firewall (NGFW) von Fortinet enthält ein DMZ-Netzwerk, das die Server und Netzwerke von Benutzern schützen kann. Sie schafft ein Loch im Netzwerkschutz, sodass Benutzer auf einen Webserver zugreifen können, der durch die DMZ geschützt ist, und gewährt nur Zugang, der explizit ermöglicht wurde. Schauen Sie sich das Fortinet-Kochbuch an, um weitere Informationen darüber zu erhalten, wie Sie einen Webserver mit einer DMZ schützen können.

Häufig gestellte Fragen (FAQs)

Was ist eine DMZ?

DMZ steht für demilitarisierte Zone und ist ein Perimeter-Netzwerk, das es Organisationen ermöglicht, ihre internen Netzwerke zu schützen. Sie ermöglicht es Organisationen, Zugang zu nicht vertrauenswürdigen Netzwerken wie das Internet zu gewähren, während sie private Netzwerke oder lokale Netzwerke (LANs) schützt. Eine DMZ wird in der Regel verwendet, um Ressourcen, Server und Dienste mit externer Ausrichtung zu speichern.

Ist eine DMZ sicher?

Das DMZ-Netzwerk selbst ist nicht sicher. In ihm gespeicherte Hosts und Systeme sind von nicht vertrauenswürdigen externen Netzwerken wie dem Internet aus zugänglich, während andere Hosts und Systeme in privaten Netzwerken isoliert bleiben.

Was ist der Vorteil von einer DMZ?

Eine DMZ bietet einem internen Netzwerk eine zusätzliche Security-Ebene. Sie beschränkt den Zugang zu sensiblen Daten, Ressourcen und Servern, indem sie einen Puffer zwischen externen Benutzern und einem privaten Netzwerk platziert. Weitere Vorteile sind die Zugangskontrolle, die Verhinderung von Erkundungen potenzieller Ziele durch Angreifer und der Schutz von Organisationen vor Angriffen durch IP-Spoofing.

Sollten Sie eine DMZ in Ihrem Router verwenden?

Eine DMZ kann in einem Router in einem Heimnetzwerk verwendet werden. Der Router wird zu einem LAN, mit dem sich Computer und andere Geräte verbinden können. Einige Heim-Router haben auch eine DMZ-Host-Funktion, die es einem Gerät ermöglicht, außerhalb der Firewall zu arbeiten und als DMZ zu fungieren. Alle anderen Geräte befinden sich innerhalb der Firewall im Heimnetzwerk. Eine Spielkonsole lässt sich häufig gut als DMZ-Host verwenden. Sie stellt sicher, dass die Firewall die Gaming-Leistung nicht beeinträchtigt, und enthält wahrscheinlich weniger sensible Daten als ein Laptop oder PC.