Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo zusammen,

ich bin FISI Azubi und soll hier im Unternehmen eine DMZ realisieren.

Der sicherste Weg ist ja über einen Router den Internet Zugang zu machen und die DMZ und das interne Netz über eine weitere extra Firewall zu trennen.

Das hab ich auch soweit verstanden, nur sind die Einwände begründet, dass ja mehr Hardware ich einsetze, desto fehleranfälliger das System und aufwändiger die Suche bei Problemen.

Jetzt ist die Frage, ob kommerzielle Router (keine selbstkonfigurierten sondern D-Link, 3com, etc) mit integrierter DMZ Funktion (gibt es doch?!) direkt schon die Trennung DMZ und internes Netz vollziehen, sodass ich in nur einem Gerät direkt alle Firewall-Einstellungen verwalte (intern-extern, intern-DMZ, DMZ-extern,...)?

Wenn dem so wäre, wär das doch eine viel bessere und Fehlerunanfälligere Sache als noch eine extra Firewall einzurichten?

Warum also der Aufwand? Ist das sicherer, günstiger, o.ä?

Vielen Dank

Hargan

Geschrieben

Ich meine nicht "virtuelle DMZ" sondern schon eine physikalische Trennung. Aber das ganze halt mit nur einem "Gerät". Quasi 3 Netzwerkkarten. Internet/DMZ/intern

Als Sicherheitsmängel hab ich gelesen, man sollte nicht das Gerät, welches das LAN schützt direkt ans Internet hängen. Aber wie Unsicher ist das? Ist das ein relevantes Risiko?

Hier in einem ZDNET Artikel sind die Möglichkeiten beschrieben. Victorinox meint die erste...ich meine aber die zweite.

Gibt es das als fertigen Router zu kaufen? Oder nur zum selbst zusammen basteln? Wär auch nicht sio schlimm, nur aufwändiger...

Hargan

Geschrieben

Die "sicherste" Lösung sowas zu realisieren ist eine Lösüng nach folgendem Schema (back to back)....

Internet

.

.

.

herkömmlicher Router (nicht so stark konfigurierte FW) ----> DMZ

.

.

.

Firmen Firewall (stark konfiguriert)

.

.

.

Firmennetz

Bsp: Du willst Exchange (intern/öffentlich) nutzen....stellt ihn in die DMZ und gibst an dem Router (mit FW) die ensprechenden Ports frei (SMTP, x400, POP3 und und und). Dann aber an der Firmen Firewall nur nen SMTP-Connect Port oder eben POP, x400 was auch immer. Sollte man nun versuchen Dein Netz zu knacken ist man in einem relativ leeren Netz (1 Server) und kommt dann erstmal nicht weiter. Natürlich sind die verschiedenen Netze auch verschiedene Subnetze (geroutet).

Ist jetzt nur ne ganz kleine Beschreibung dessen, was möglich ist, hoffe aber dadurch etwas mehr Verständnis vermittelt zu haben.

Hier nochmal ein Beispiel anhand eines ISA Servers mit DMZ....auch zwei grafiken dabei für´s Verständnis

klick mich hart

Geschrieben

Hi,

du hast dennoch bei der Lösung nur ein physikalisches Gerät und der für mich massgebende Nachteil steht schön als Satz bei wiki:

Die IT-Grundschutz-Kataloge des BSI empfehlen ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom eigenen Netz. Dadurch kompromittiert eine einzelne Schwachstelle noch nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.

Du willst ja nicht ohne Grund eine DMZ. Ueberlege dir gut, wo du sparen willst - in der Sicherheit ist meist am falschen Ende.

ciao,

victorinox

Geschrieben

Hi,

Hier in einem ZDNET Artikel sind die Möglichkeiten beschrieben. Victorinox meint die erste...ich meine aber die zweite.

versteh ich nicht? Meinst du Abbildung B oder C? Wenn du B meinst, steht da doch auch klar der Nachteil:

Diese Methode ist preiswert aber nicht sehr sicher, denn wenn dieser PC einem Hacker in die Hände fällt, stehen ihm DMZ und LAN offen. Grundsatz hier: Die Maschine, welche die Sicherheit des LAN bestimmt, darf nie direkten Kontakt zum Internet haben.

Gibt es das als fertigen Router zu kaufen?

Klar, z. B. hier:

Zyxel ZYWALL 70 WLAN Preisvergleich - Preise bei idealo.de

Wenn dem so wäre, wär das doch eine viel bessere und Fehlerunanfälligere Sache als noch eine extra Firewall einzurichten?

Tja, ein Argument dagegen ist aber, dass wenn du das Gerät falsch konfigurierst hast, auf einmal nix mehr geht bzw. alles freigeschaltet ist. Außerdem sind solche Appliance auch nicht gefeit vor Programmierfehlern.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...