Montag, 1. M�rz 2010


Topthema

Donnerstag, 15. Dezember 2005 | Topthema

About Security #36: Die Firewall — Demilitarisierte Zone

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/025851)

Eine demilitarisierte Zone (DMZ, auch "Screened Subnet" oder "Grenznetz" genannt) ist ein mithilfe zweier Paketfilter aufgebautes isoliertes Teilnetz zwischen zu sch�tzendem Netz und unsicherem Netz. Die Paketfilter kontrollieren die Verbindung zwischen der demilitarisierten Zone und dem zu sch�tzenden bzw. unsicheren Netz.

Der �u�ere Paketfilter sch�tzt die demilitarisierte Zone und das dahinter liegende zu sch�tzende Netz vor Angriffen aus dem unsicheren Netz.

N E U ! Security aktuell
T�glich aktuelle Security-Infos!

Zwei Paketfilter, loales Netz in DMZ

Au�erdem kontrolliert er Zugriffe aus dem unsicheren Netz auf Systeme in der demilitarisierten Zone.

Der innere Paketfilter sch�tzt das zu sch�tzende Netz vor eventuell in die demilitarisierte Zone eingedrungenen Angreifern. Au�erdem kontrolliert er Zugriffe aus dem gesch�tzten Netz auf Systeme in der demilitarisierten Zone.

Zugriffe auf die Systeme in der demilitarisierten Zone werden also von beiden Seiten aus kontrolliert.

Demilitarisierte Zone mit Single-Homed Application Level Gateway

Wie bei der Kombination eines einzelnen Paketfilters mit einem Single-Homed Application Level Gateway k�nnen auch hier die Paketfilter so konfiguriert werden, dass eine Kommunikation nur �ber das Application Level Gateway m�glich ist. Dieses befindet sich in der demilitarisierten Zone und wird durch die Paketfilter gesch�tzt.

Demilitarisierte Zone mit Single-Homed Application Level Gateway

Bewertung
Wie bei der Kombination eines einzelnen Paketfilters und eines Single-Homed Application Level Gateways k�nnen bestimmte Verbindungen zwingend �ber das Gateway geleitet werden. Erw�nschte Verbindungen, f�r die keine Proxies vorhanden sind, k�nnen von den Paketfiltern am Gateway vorbei direkt in das gesch�tzte bzw. unsichere Netz geleitet werden. Dadurch ist diese Kombination sehr flexibel.

About Security: Die komplette Serie

Die Sicherheit ist weitgehend von der Sicherheit der Paketfilter abh�ngig. Ist der Schutzbedarf des zu sch�tzenden Netzes h�her als der Schutz, den die Paketfilter leisten k�nnen, ist diese Kombination f�r den Anschluss eines zu sch�tzenden Netzes an das Internet nicht ausreichend. Zur Kopplung von Netzen mit unterschiedlichen Schutzniveaus innerhalb eines gemeinsamen Verantwortungsbereichs ist sie jedoch geeignet.

Demilitarisierte Zone mit Dual-Homed Application Level Gateway

Durch die Hintereinanderschaltung eines Paketfilters, eines (oder auch mehrerer) Dual-Homed Application Level Gateways und eines weiteren Paketfilters wird ein H�chstma� an Sicherheit erreicht. Die Paketfilter sch�tzen das Application Level Gateway vor Angriffen aus dem gesch�tzten und dem unsicheren Netz.

Demilitarisierte Zone mit Dual-Homed Application Level Gateway

Bewertung
Die gesamte Kommunikation zwischen Systemen im zu sch�tzenden Netz und Systemen im unsicheren Netz wird durch beide Paketfilter und das Dual-Homed Application Level Gateway kontrolliert. Es besteht keine M�glichkeit, das Gateway zu umgehen.

Die Sicherheit h�ngt von der Sicherheit sowohl der Paketfilter als auch des Application Level Gateways ab. Durch die Kombination der unterschiedlichen Schutzfunktionen wird eine besonders hohe Gesamtsicherheit erreicht.

Durch die Kombination der Paketfilter und des Gateways ergeben sich einige Vorteile:

  • Einfache Regeln
    Die Formulierung der Regeln f�r die einzelnen Komponenten wird einfacher. Bei den Paketfiltern muss jeweils nur eine Richtung beachtet werden, die Gegenrichtung wird vom jeweils anderen Paketfilter behandelt.
  • Gegenseitiger Schutz
    Die Paketfilter sch�tzen das Application Level Gateway und den jeweils anderen Paketfilter vor unerw�nschten Zugriffen aus dem unsicheren bzw. gesch�tzten Netz.
  • Gestaffelter Schutz
    F�r einen erfolgreichen Angriff auf das gesch�tzte Netz muss ein Angreifer aus dem unsicheren Netz der Reihe nach den ersten Paketfilter, das Application Level Gateway und den zweiten Paketfilter �berwinden.
    Da meist unterschiedliche Systeme f�r die Paketfilter und Application Level Gateways verwendet werden, wirken sich Schwachstellen immer nur auf einen Teil der Komponenten aus.
    Da Paketfilter und Application Level Gateway bei der Analyse mit verschiedenen Ans�tzen arbeiten, k�nnen sich auch Schwachstellen bei der Verarbeitung und Analyse der Pakete nur auf einen Teil der Komponenten auswirken.

Eine demilitarisierte Zone mit Dual-Homed Application Level Gateway eignet sich f�r die Anbindung eines Netzes mit hohem Schutzbedarf an ein Netz mit geringem Schutzniveau, auch wenn beide Netze zu verschiedenen Verantwortungsbereichen geh�ren. Insbesondere ist diese Kombination f�r die Verbindung eines zu sch�tzenden Netzes mit dem Internet geeignet.

Server in der demilitarisierten Zone

Wie schon in About Security #28 beschrieben, werden Server, die nur aus dem unsicheren Netz oder sowohl aus dem gesch�tzten als auch unsicheren Netz zug�nglich sein sollen, in der demilitarisierten Zone positioniert. Auf den genauen Aufbau wird in einem sp�teren Feature eingegangen.

In der n�chsten Folge werden die M�glichkeiten der Protokollierung durch die Firewall vorgestellt.

Wenn Sie Fragen oder Themenvorschl�ge haben, k�nnen Sie diese gerne an die angegebene E-Mail-Adresse senden oder im Security-Forum einbringen!

Carsten Eilers

About Security � �bersicht zum aktuellen Thema "Firewall"

Kommentare

Folgende Links könnten Sie auch interessieren