5
DMZ vs normale Firewall Rules
Hallo,
nachdem ich es auch nach einiger Zeit googeln nicht verstehe, muss ich jetzt doch noch mal fragen.
Was ist denn der Unterschied zwischen einer DMZ und den normalen Firewall-Regeln, wie ich sie beispielsweise für das Gast-Netzwerk einrichte?
Angenommen, die DMZ hat das VLAN 50. In der Firewall stelle ich nun ein, dass sämtliche packages ins LAN aus dem Subnetz, das VLAN 50 entspricht, gedropt werden.
Ist das dann bereits eine DMZ?
Wo ist der Unterschied?
nachdem ich es auch nach einiger Zeit googeln nicht verstehe, muss ich jetzt doch noch mal fragen.
Was ist denn der Unterschied zwischen einer DMZ und den normalen Firewall-Regeln, wie ich sie beispielsweise für das Gast-Netzwerk einrichte?
Angenommen, die DMZ hat das VLAN 50. In der Firewall stelle ich nun ein, dass sämtliche packages ins LAN aus dem Subnetz, das VLAN 50 entspricht, gedropt werden.
Ist das dann bereits eine DMZ?
Wo ist der Unterschied?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 305334
Url: https://administrator.de/forum/dmz-vs-normale-firewall-rules-305334.html
Ausgedruckt am: 08.01.2025 um 06:01 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
deine Frage könnte auch lauten: Was versteht ihr unter einer DMZ und wie richtet ihr sie ein.
In der DMZ stehen alle Server die aus dem Internet (und natürlich ggf. auch aus dem internen Netz) erreichbar sein sollen.
Regeln auf der (oder den) Firewalls: www -> DMZ = nach Bedarf, intern -> DMZ = nach Bedarf, DMZ -> Intern = deny.
in einem Gast Netzwerk stehen normalerweise kein Server, ist also keine DMZ, obwohl die Regel DMZ bzw. Gast -> Intern = deny die "gleiche" ist.
die Regel DMZ -> Intern = deny muß aber in der Praxis etwas eingeschränkt werden (z.B. Exchange oder Mailgateway) um z.B. erlaube eine Kommunikation mit einem internen DC. In einem Gast Netzwerk sollte dies nicht notwendig sein
CH
deine Frage könnte auch lauten: Was versteht ihr unter einer DMZ und wie richtet ihr sie ein.
In der DMZ stehen alle Server die aus dem Internet (und natürlich ggf. auch aus dem internen Netz) erreichbar sein sollen.
Regeln auf der (oder den) Firewalls: www -> DMZ = nach Bedarf, intern -> DMZ = nach Bedarf, DMZ -> Intern = deny.
in einem Gast Netzwerk stehen normalerweise kein Server, ist also keine DMZ, obwohl die Regel DMZ bzw. Gast -> Intern = deny die "gleiche" ist.
die Regel DMZ -> Intern = deny muß aber in der Praxis etwas eingeschränkt werden (z.B. Exchange oder Mailgateway) um z.B. erlaube eine Kommunikation mit einem internen DC. In einem Gast Netzwerk sollte dies nicht notwendig sein
CH
Hallo,
Es ist einfach ein VLAN mehr was als DMZ herhalten muss.
von Netzwerk zu Netzwerk, eines ist die LAN Zone und das andere ist die DMZ. Man hat in einem
Netzwerk meist Geräte die nicht über das Internet erreichbar sein sollen und welche die sehr wohl
über das Internet erreichbar sein sollen. Daher hat man einfach ab dem Router oder der Firewall
ein Netz in dem die Server und Geräte mit dem Internetkontakt platziert, in dem Ports vorne am
WAN Interface geöffnet und weitergeleitet werden und ein Netz, das LAN, in dem man alle
anderen Geräte platziert die nicht aus dem Internet erreichbar sein sollen.
Eine DMZ erstellen ist für viele recht einfach, nur sie abzusichern und zu verteidigen ist nicht
jedermann seine Sache, da das dann mit sehr viel Arbeit und Wartung und Kontrolle verbunden ist.
Erkundige Dich doch bitte einmal über "Inter-VLAN-Hopping"
Gruß
Dobby
Ist das dann bereits eine DMZ?
Das nennt man "eine DMZ für arme" und ist in der tat keine richtige DMZ.Es ist einfach ein VLAN mehr was als DMZ herhalten muss.
Wo ist der Unterschied?
In der Regel hat man ab dem Router oder der Firewall zwei Zonen, das kann natürlich auch variierenvon Netzwerk zu Netzwerk, eines ist die LAN Zone und das andere ist die DMZ. Man hat in einem
Netzwerk meist Geräte die nicht über das Internet erreichbar sein sollen und welche die sehr wohl
über das Internet erreichbar sein sollen. Daher hat man einfach ab dem Router oder der Firewall
ein Netz in dem die Server und Geräte mit dem Internetkontakt platziert, in dem Ports vorne am
WAN Interface geöffnet und weitergeleitet werden und ein Netz, das LAN, in dem man alle
anderen Geräte platziert die nicht aus dem Internet erreichbar sein sollen.
Eine DMZ erstellen ist für viele recht einfach, nur sie abzusichern und zu verteidigen ist nicht
jedermann seine Sache, da das dann mit sehr viel Arbeit und Wartung und Kontrolle verbunden ist.
Erkundige Dich doch bitte einmal über "Inter-VLAN-Hopping"
Gruß
Dobby
1
Alles klar.
Aber wie richtige ich nun ein echtes, sicheres DMZ ein?
Was muss ich tun außer ein VLAN für die DMZ einzurichten und dieses vom restlichen LAN zu trennen?
Aber wie richtige ich nun ein echtes, sicheres DMZ ein?
Was muss ich tun außer ein VLAN für die DMZ einzurichten und dieses vom restlichen LAN zu trennen?
Das wird dir keiner beantworten können ohne dein Netz genau in Augenschein zu nehmen. Es gibt nicht "DIE" DMZ - das können verschiedene Dinge sein.
Z.B. hast du bei dir div. Kunden-Systeme stehen - dann hast du DMZ 1-x, für jeden Kunden eine (ggf.), jeder Kunde kann von extern auf "seine" Server zugreiffen aber eben (z.B. wenn der auch Shell-Zugriff hat) nicht aus seiner DMZ den Server eines anderen Kunden einfach scannen.
Oder du hast nur deine eigenen Server - auch dann hängt es von deiner Umgebung ab wie du das sicherst. Hast du potentiell unsichere Server (Shell-Zugriffe durch Mitarbeiter,...) möchtest du ggf. andere Regeln haben als jemand der nur einen Webserver hinstellt. Der braucht aber noch andere Regeln (durch ggf. Angriffe auf CGI/DB,...) als jemand der nur einen FTP für Kundendownloads machten lässt...
Daher: Wie du das sicherst hängt von DEINER Umgebung ab. Solang die hier keiner kennt....
Z.B. hast du bei dir div. Kunden-Systeme stehen - dann hast du DMZ 1-x, für jeden Kunden eine (ggf.), jeder Kunde kann von extern auf "seine" Server zugreiffen aber eben (z.B. wenn der auch Shell-Zugriff hat) nicht aus seiner DMZ den Server eines anderen Kunden einfach scannen.
Oder du hast nur deine eigenen Server - auch dann hängt es von deiner Umgebung ab wie du das sicherst. Hast du potentiell unsichere Server (Shell-Zugriffe durch Mitarbeiter,...) möchtest du ggf. andere Regeln haben als jemand der nur einen Webserver hinstellt. Der braucht aber noch andere Regeln (durch ggf. Angriffe auf CGI/DB,...) als jemand der nur einen FTP für Kundendownloads machten lässt...
Daher: Wie du das sicherst hängt von DEINER Umgebung ab. Solang die hier keiner kennt....
Welche Funktionen soll deine "DMZ" haben ?
Welche(n) Firewall(s) / Router / Switche(e) hast du zur Verfügung ?
VLAN, Routing und entsprechende Regeln sind das Mittel der Wahl, aber für das exakte Wie müssen wir wissen, was du überhaupt bezweckst.
CH
Welche(n) Firewall(s) / Router / Switche(e) hast du zur Verfügung ?
VLAN, Routing und entsprechende Regeln sind das Mittel der Wahl, aber für das exakte Wie müssen wir wissen, was du überhaupt bezweckst.
CH
