DMZ- was gehört rein?

[JAY_Fisi]

Hallo

Ich habe eine Frage bezüglich der DMZ:

Welche Server stellt man dann i.d.R in eine DMZ?

-->WWW, FTP, EMail???

Welchen Server/Firewall zwischen DMZ und Internet?

-->ISA???

Und welchen Server/Firewall zwischen DMZ und lokalem Netz bzw ins lokale Netz?

Konnte dazu leider keine Infos im Internet finden...

Danke für eure Hilfe.

[CMOS]

Hallo

Ich habe eine Frage bezüglich der DMZ:

Welche Server stellt man dann i.d.R in eine DMZ?

-->WWW, FTP, EMail???

Dienste, die von ausserhalb erreichbar sein sollen und bei denen es möglich ist , sie von dem internen Netz zu trennen (Datenbestand etc.)

Das ist für dich keine befriedigende Antwort, aber das kommt immer auf den Anwendungsfall drauf an.

Welchen Server/Firewall zwischen DMZ und Internet?

-->ISA???

Und welchen Server/Firewall zwischen DMZ und lokalem Netz bzw ins lokale Netz?

Konnte dazu leider keine Infos im Internet finden...

Danke für eure Hilfe.

Wieder geschmackssache. ISA Server in sicherheitskritischen Bereichen garantiert nicht. :eek :bimei

Oder schonmal einen DNS-Root gesehen, der unter MS Software läuft? Unvorstellbar!

Am besten ein transparentes, gut gepflegtes, quelloffenes Betriebssystem.

In Frage kommen z.B. BSD (OpenBSD); Linux (Trustix usw.), Solaris, Unix...

Wichtig ist hier imho, dass keine homogenität herrscht.

Das DECIX z.B. setzt auch nicht nur CISCO Catalysts ein

[JAY_Fisi]

Danke für deine Antwort....Du hast Recht das ist nicht wirklich zufriedenstellend....dass Server die von aussen erreichbar sein sollen in die DMZ gehören ist mir bewusst....

dachte da gäbe es vielleicht ein paar Dinge die immer gleich sind?

Würde ein Proxy in die DMZ kommen?--> Meiner Meinung nach JA

Ich möchte das alles deshalb so genau wissen, weil es ja öfters mal in den Prüfungen dran kommt....

Aber wenn man das nicht so genau sagen kann.....schade:(

[CMOS]

Proxy wäre ein heikles Thema.. DMZ ja oder nein...

Wenn z.B. der Webserver in der DMZ ist und der gehackt wird, kommt der Angreifer "leicht" auf den Proxy.

An den Proxy wiederum werden in vielen Firmen Auth.-Infos. geschickt.

Es wären folglich MITM Angriffe möglich.

Trotzdem gilt es den Proxy vor Angriffen aus dem internen Netz zu schützen....

Du siehst, es gibt leider keine allgemeingültige Antwort.

Imho ist bei der Prüfung einfach nur wichtig, sein Szenario sauber zu begründen

[hades]

ISA Server in sicherheitskritischen Bereichen garantiert nicht. :eek :bimei

...

Bitte keine Behauptungen aufstellen, ohne nachvollziehbare Quellen zu liefern.

[Jörn]

@ Hades

Das hört sich für mich mehr nach einer persönlichen Einstellung an.

Klar ist es Geschmackssache, ob nun ISA als Firewall oder ne Unix.

Aber es gibt nun mal auch Kunden, die wollen alles MS haben. Und dann kommt man um ISA nicht drum rum und muss das beste draus machen.

Tja, und welche Dienste, bzw. Server in der DMZ stehen sollten, ist auch eine Frage des Falls.

Wenn ich intern nen FTP brauche, wo die Außenwelt aber nix mit zu tun hat, dann gehört der logischerweise nicht in die DMZ.

Pauschal würde ich mal sagen, dass alle extern benötigten Dienste in der DMZ sein sollten, vorausgesetzt es wäre kein Weltuntergang oder Sicherheitsrisiko, wenn irgendwer sie doch hackt oder abschießt.