DEFINITION EINER DMZ

DMZ = demilitarisierte Zone

Die Definition einer demilitarisierten Zone (DMZ) im IT-Umfeld ist oft unklar. Jeder hat wohl ein eigenes Verständnis von einer DMZ, ebenso wird dieser Begriff im jeweiligen Unternehmensnetzwerk unterschiedlich verwendet.

Zudem wird selbst beim BSI (Bundesamt für Sicherheit in der Informationstechnik) unserer Meinung nach der Begriff „DMZ” recht überdehnt ausgelegt.

 

Wir wollen daher für eine aus unserer Sicht korrekten Begriffsdefinition sorgen:

 

Die ursprüngliche Wortbildung „demilitarized zone" ist ein militärischer Begriff. Um Irritationen zwischen zwei sich direkt gegenüberstehenden Armeen zu vermeiden, wurde ein neutraler Zwischenbereich festgelegt, eben diese demilitarisierte Zone.

 

Im heute gebräuchlich technischen Sinne bezeichnet eine DMZ einen Netzwerkbereich, der selbst frei von Sicherheitsvorkehrungen ist und sich zwischen zwei Schutzeinrichtungen (meist Firewalls) befindet.

 

Eine DMZ ist somit in der Praxis der Bereich zwischen einer Internet-Firewall und einer zweiten internen Firewall zum Schutz des nachfolgenden Unternehmensnetzwerkes.

 

Server in der DMZ sollten im Falle eines Angriffes keinen nachhaltigen Schaden erleiden oder gar weiteren Schaden verursachen, diese Geräte sollten als potenzielle Opfer (Victims) verstanden werden. Geeignet sind dafür bspw. Geräte ohne Festplatten, welche von CDs booten und nach einem Sicherheitsvorfall durch Reboot wieder hergestellt werden können.

Alternativ oder auch zusätzlich kann sich in der DMZ ein so genanntes ALG (Application Layer Gateway) befinden, welches den Netzwerktraffic komplett auftrennt und sich zu beiden Seiten hin als Kommunikationspartner ausgibt.

 

Erst hinter einer zweiten internen Firewall, der „second line of defence“, befindet sich dann das eigentliche Unternehmensnetzwerk.

 

Zu schützende kritische interne Unternehmensserver befinden sich hingegen nicht in einer DMZ.

Diese Server werden üblicherweise durch eine dritte Datacenter-Firewall vom Unternehmensnetzwerk getrennt, ein Zugriff von außen, wie es bei den DMZ Servern geregelt möglich ist, wird bei den internen Servern ausgeschlosen.

Dadurch entstehen eine oder mehrere zusätzliche Servernetze oder eine Datacenter-Umgebungen, aber eben keine neue „demilitarisierte Zone”.

dmz_simple_v04.png

(Je nach Unternehmensgröße variiert die Anzahl der tatsächlichen Firewalls. Wir empfehlen jedoch grundsätzlich vorstehendes Szenario.)

Ein Zusammenlegung von Firewalls kann je nach Unternehmensgröße üblich sein.
Aus Security-Sicht jedoch muss dann ein potenzieller Angreifer nur ein Gerät überwinden, um im schlimmsten Fall Zugang zu allen Bereichen zu erlangen.

Mehrere unterschiedliche Sicherheitslinien sorgen hingegen für einen ungleich höheren IT-Schutz.

 

Bei sicherheitsbewussten Unternehmen werden die einzelnen DMZ-Firewalls durch Firewalls von zwei verschiedene Hersteller realisiert, die so genannte „multi vendor strategy".

Dadurch bleibt das Unternehmensnetzwerk geschützt, auch wenn bei einer Firewall eine Sicherheitslücke ausgenutzt wird oder vorhanden ist.

dmz_v04.png

(Das hier abgebildete DMZ Netzwerkdiagramm wurde um ein „Datacenter" - Rechenzentrum oder „interne Cloud" ergänzt. 

Die Platzierung und die Anbindung des „Datacenters" mag abweichend sein.)