3
DMZ-Aufbau Dos and Don ts
Hallo in die Runde,
ich hab jetzt schon einiges gelesen, aber leider noch nicht die richtigen Antworten gefunden. Ich mache im moment meine Ausbildung zum Fachinformatiker und beschäftige mich mit DMZ. Ich hab viel über offene und halboffene DMZ gelesen und stellen mir Fragen zur Praktikabilität. Wenn ich zum Beispiel eine Webanwendung habe die auf eine DB zugreifen muss (wo Kunden und Mitarbeiter drauf arbeiten), muss ich dann nicht zwangsläufig auch Zugriffe ins interne LAN erlauben oder kann/sollte man sowas anders lösen? Was gehört aus eurer Sicht niemals in eine DMZ und was findet man häufig für Dienste in einer DMZ? Lese mich gerne auch noch tiefer ein, finde aber keine so guten Quellen ... steh überall nur so allgemeines blabla "mache eine DMZ" .. ja und wie? :D
Danke für eure Hilfe.
Grüße
Ben
ich hab jetzt schon einiges gelesen, aber leider noch nicht die richtigen Antworten gefunden. Ich mache im moment meine Ausbildung zum Fachinformatiker und beschäftige mich mit DMZ. Ich hab viel über offene und halboffene DMZ gelesen und stellen mir Fragen zur Praktikabilität. Wenn ich zum Beispiel eine Webanwendung habe die auf eine DB zugreifen muss (wo Kunden und Mitarbeiter drauf arbeiten), muss ich dann nicht zwangsläufig auch Zugriffe ins interne LAN erlauben oder kann/sollte man sowas anders lösen? Was gehört aus eurer Sicht niemals in eine DMZ und was findet man häufig für Dienste in einer DMZ? Lese mich gerne auch noch tiefer ein, finde aber keine so guten Quellen ... steh überall nur so allgemeines blabla "mache eine DMZ" .. ja und wie? :D
Danke für eure Hilfe.
Grüße
Ben
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 376799
Url: https://administrator.de/contentid/376799
Ausgedruckt am: 19.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
Danke, sieht auf den ersten Blick schon mal sehr gut aus, damit werde ich mich mal näher beschäftigen! Vielen Dank
Noch eine Frage weil es mir gleich bei der cisco-Seite aufgefallen ist. Da sind u. a. zwei Zonen, eine für den Remote Access VPN und dann eine DMZ. Würde man normalerweise einen VPN concentrator in die DMZ stellen und dann darüber weiter ins LAN gehen oder hat VPN und DMZ überhaupt nichts miteinander zu tun? Hab sowas schon paar mal in so Netzwerkschaubildern gesehen, dass das VPN-Gateway in der "DMZ" steht, dachte nur VPN und DMZ haben eigentlich nicht viel gemeinsam und sind eher ein "entweder-oder" ... oder liege ich da falsch?
Danke euch!
Noch eine Frage weil es mir gleich bei der cisco-Seite aufgefallen ist. Da sind u. a. zwei Zonen, eine für den Remote Access VPN und dann eine DMZ. Würde man normalerweise einen VPN concentrator in die DMZ stellen und dann darüber weiter ins LAN gehen oder hat VPN und DMZ überhaupt nichts miteinander zu tun? Hab sowas schon paar mal in so Netzwerkschaubildern gesehen, dass das VPN-Gateway in der "DMZ" steht, dachte nur VPN und DMZ haben eigentlich nicht viel gemeinsam und sind eher ein "entweder-oder" ... oder liege ich da falsch?
Danke euch!
Also: Das mit "entweder-oder" ist vollkommen falsch. Beide ergänzen sich.
Ausserdem: nicht in "die" DMZ, sondern in "eine" DMZ.
Merke: Oft macht mehr als eine DMZ Sinn.
Z.B. VPN Gateway:
Warum sollte man das Ding ins LAN stellen? Weil es bequem ist!
Warum in eine DMZ? Weil es sicher ist.
Steht das VPN Gateway aber in "der" DMZ, wo auch der anfällige Webserver steht, dann ist das VPN Gateway ja auch per se unsicherer als wenn es in einer eigenen DMZ steht, oder?
Merke:
Packe immer nur das nötigste in eine gemeinsame DMZ, Services die komplett unabhängig von einander sind packst Du in verschiedene DMZ.
Aber:
Hab immer die Komplexität im Blick und denk immer daran das eine hohe Komplexität, gerade für kleine IT Organisationen, immer auch wieder das Risiko (Fehlkonfiguration) erhöht.
Ausserdem: nicht in "die" DMZ, sondern in "eine" DMZ.
Merke: Oft macht mehr als eine DMZ Sinn.
Z.B. VPN Gateway:
Warum sollte man das Ding ins LAN stellen? Weil es bequem ist!
Warum in eine DMZ? Weil es sicher ist.
Steht das VPN Gateway aber in "der" DMZ, wo auch der anfällige Webserver steht, dann ist das VPN Gateway ja auch per se unsicherer als wenn es in einer eigenen DMZ steht, oder?
Merke:
Packe immer nur das nötigste in eine gemeinsame DMZ, Services die komplett unabhängig von einander sind packst Du in verschiedene DMZ.
Aber:
Hab immer die Komplexität im Blick und denk immer daran das eine hohe Komplexität, gerade für kleine IT Organisationen, immer auch wieder das Risiko (Fehlkonfiguration) erhöht.
1
