DEFINITION EINER DMZ

DMZ, demilitarisierte Zone

Die Definition einer demilitarisierten Zone (DMZ) ist häufig unklar. Jeder hat wohl ein eigenes Verständnis von einer DMZ, ebenso wird dieser Begriff im jeweiligen Unternehmensnetzwerk unterschiedlich verwendet.

Zudem wird selbst beim BSI (Bundesamt für Sicherheit in der Informationstechnik) unserer Meinung nach der Begriff „DMZ” recht überdehnt ausgelegt.

 

Wir wollen daher für eine aus unserer Sicht korrekten Begriffsdefinition sorgen:

 

Die ursprüngliche „demilitarized zone" ist ein militärischer Begrriff. Um Irritationen zwischen zwei sich direkt gegenüberstehenden Armeen zu vermeiden, wurde ein neutraler Zwischenbereich festgelegt, eben diese demilitarisierte Zone.

 

Im heute gebräuchlich technischen Sinne bezeichnet eine DMZ einen Netzwerkbereich, der selbst frei von Sicherheitsvorkehrungen ist, sich jedoch zwischen zwei Schutzeinrichtungen befindet.

 

Eine DMZ ist somit der Bereich zwischen einer Internet-Firewall und einer zweiten Firewall zum Schutz des nachfolgenden Unternehmensnetzwerkes. Server in der DMZ sollten im Falle eines Angriffes keinen nachhaltigen Schaden erleiden oder gar weiteren Schaden verursachen, diese Geräte sollten als potenzielle Opfer (Victims) verstanden werden. Geeignet sind dafür bspw. Geräte ohne Festplatten, welche von CDs booten und nach einem Sicherheitsvorfall durch Reboot wieder hergestellt werden können.

Alternativ oder auch zusätzlich kann sich in der DMZ ein so genanntes ALG (Application Layer Gateway) befinden, welches den Netzwerktraffic komplett auftrennt und sich zu beiden Seiten hin als Kommunikationspartner ausgibt.

 

Erst hinter einer zweiten Firewall, der „second line of defence“, befindet sich dann das eigentliche Unternehmensnetzwerk.

 

Zu schützende interne Unternehmensserver hingegen befinden sich im Wortsinne nicht in einer DMZ.

Diese Server werden üblicherweise durch eine dritte Datacenter-Firewall vom Unternehmensnetzwerk getrennt.

Dadurch entstehen eine oder mehrere Servernetze oder eine Datacenter-Umgebung, aber eben keine neue „demilitarisierte Zone”.

(Je nach Unternehmensgröße variiert die Anzahl der tatsächlichen Firewalls. Wir empfehlen jedoch grundsätzlich vorstehendes Szenario.)

Ein Zusammenlegen von Firewalls kann je nach Unternehmensgröße üblich sein. Aus Security-Sicht jedoch muss ein potenzieller Angreifer dann nur ein Gerät überwinden, um im schlimmsten Fall Zugang zu allen Bereichen zu erlangen.

Mehrere unterschiedliche Sicherheitslinien sorgen hingegen für einen ungleich höheren Schutz.

 

Bei sicherheitsbewussten Unternehmen werden die einzelnen Firewalls durch zwei verschiedene Hersteller realisiert, die so genannte „multi vendor strategy".

Dadurch bleibt das Unternehmensnetzwerk geschützt, auch wenn bei einer Firewall eine Sicherheitslücke ausgenutzt wird oder vorhanden ist.

(Das hier abgebildete DMZ Netzwerkdiagramm wurde um ein „Datacenter" - Rechenzentrum oder „interne Cloud" ergänzt. 

Die Platzierung und die Anbindung des „Datacenters" mag abweichend sein.)

© 2019 iternas GmbH

  • Facebook Social Icon
  • Twitter Social Icon
  • LinkedIn Social Icon

Kontakt:

iternas GmbH

Tübinger Straße 26

70178 Stuttgart

+49 711 219 5093-0

iternas GmbH

Pappelallee 78/79

10437 Berlin

+49 30 609 80024-0