Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verständnisfrage DMZ

Mitglied: maddig

maddig (Level 1) - Jetzt verbinden

02.08.2017 um 08:49 Uhr, 1816 Aufrufe, 11 Kommentare

Guten Morgen,

ich habe schon immer eine Verständnisfrage in Bezug mit einer DMZ.

Im Anhangsbild ist zum Beispiel unsere kleine DMZ gezeichnet. Wir besitzen eine /29 Range und den dazugehörigen Router der Anbieterfirma. Jetzt hat unsere Firewall jeweils ein Bein in der DMZ und an dem Router der Public Range. Das selbe haben die Geräte (.197 und .198) auch.

Jetzt kommt meine Verständnisfrage. Wie kann man oder kann man jetzt überhaupt noch die Zugriffe von außen über die Public IP auf die Geräte mit der Firewall beschränken? Und warum benötigt dann die Firewall an sich selber auch noch eine Adresse in der Public Range? Eigentlich stehen ja jetzt die Geräte mit einem Bein direkt ohne Schutz im WAN. Vielleicht könnt ihr mir helfen bzw. meine Theorie bestätigen.

Dass unser Konstrukt vielleicht nicht das Beste ist weiß ich auch. Theoretisch würde man ja noch eine Firewall dazu nehmen.

Mfg
maddig
dmz - Klicke auf das Bild, um es zu vergrößern
Mitglied: emeriks
02.08.2017 um 08:58 Uhr
Hi,
Eine Analogie:
Warum hat das Haus eine Tür, wo doch alle Wohnungen jeweils auch eine Tür haben? Auch jene im Penthouse, bei welcher noch ein Bodyguard davor steht?

Eine zweistufige Firewall, welche mit zwei unabhängigen Geräten realisiert wird, ist im DMZ-Szenario immer die bessere Wahl.

E.
Bitte warten ..
Mitglied: maddig
02.08.2017 um 09:02 Uhr
Hi,

Ok, das heißt eigentlich schützt nur die jeweilige Software Firewall der einzelnen Geräte.

Warum hat dann die Firewall auch ein Bein in der DMZ?

mfg
maddig
Bitte warten ..
Mitglied: Lochkartenstanzer
02.08.2017 um 09:05 Uhr
Zitat von emeriks:

Eine zweistufige Firewall, welche mit zwei unabhängigen Geräten realisiert wird, ist im DMZ-Szenario immer die bessere Wahl.

es geht auch eine einzelne Firewall, die mehrere LANs dahinter hat und einen davon zu DMZ macht. Die IP-Adressen werden 1:1 auf die Geräte in der DMZ genattet.

Standardvorgehen.

lks

PS: Man kann natürlich dafür auch zwei einzelen Firewalls nehmen.
Bitte warten ..
Mitglied: emeriks
02.08.2017 um 09:06 Uhr
Diese beiden Geräte 197 und 198 sind da auch total kontraproduktiv, es sei denn, es sind auch Firewalls.
Um bei der Analogie zu bleiben: Du hast eine Wohnung mit Bodyguard vor der Haupttür. Und zwei Hintertüren ohne weiteren Schutz. Na hoffentlich kennt die niemand ....

E.
Bitte warten ..
Mitglied: aqui
02.08.2017, aktualisiert um 09:36 Uhr
Das DMZ Design ist falsch oder total kontraproduktiv wie oben schon gesagt. Dadurch das die Geräte in der DMZ eine NIC direkt im Internet exponiert haben ist die DMZ keine mehr und eigentlich vollkommen obsolet, denn die Firewall kann ja so den Zugriff auf die öffentlichen IPs der Endgeräte unmöglich mehr kontrollieren. Das sieht man eigentlich auch als Firewall Laie sofort.
Das /29er Subnetz sollte selber die DMZ sein oder aber wenn das ncht möglich ist sollte dann die Firewall mehrere Alias IPs haben aus der /29er Range die diese öffentliche IP transparent mit NAT auf die interne RFC 1918 IP der verwendeten DMZ umsetzt.
So wäre es eine DMZ die den Namen auch verdient. Das obige ist eher ein Basteldesign damit jemand denkt er kann ruhig schlafen, was er aber definitiv nicht kann.
Bitte warten ..
Mitglied: maddig
02.08.2017 um 09:40 Uhr
Ok, das heißt alle public IP´s bekommen eine Alias IP auf der FW und diese werden dann auf die interne 199.XXX Adresse genattet.

So würde ich den Sinn auch wieder verstehen. Denn so wie ich oben geschrieben hab stehen die zwei Geräte ja direkt im WAN.

Ich denke wir sollten das Konzept wirklich mal überdenken..

Die zwei Geräte sind zwar zwei ATA´s die als VPN Gateway benutzt werden ( haben also eine eigene Firewall ) aber das Design ist trz so falsch.

mfg
maddig
Bitte warten ..
Mitglied: emeriks
02.08.2017 um 09:54 Uhr
Die "public IP's" sind die "Aliase" für die in der DMZ befindlichen Adressen.
Bitte warten ..
Mitglied: ChriBo
02.08.2017 um 10:00 Uhr
Hi,
Die zwei Geräte sind zwar zwei ATA´s die als VPN Gateway benutzt werden ( haben also eine eigene Firewall ) aber das Design ist trz so falsch.
Das Design muß nicht falsch sein, ich sehe hier den Fehler im Begriff DMZ.
VPN Gateways will / kann man häufig nicht in ein "einfaches" Netzwerksegment mit NAT stellen.

CH
Bitte warten ..
Mitglied: aqui
02.08.2017 um 12:58 Uhr
...deshalb bekommt man ja auch ein öffentliches Subnetz vom Provider
Bitte warten ..
Mitglied: 108012
04.08.2017 um 11:27 Uhr
Hallo,

die Zone zwischen den beiden Geräten ist die DMZ, und von daher braucht man dort kein "Bein drinnen" zu haben, denn aus dem
netz hinter der Firewall kann man voll und ganz auf die gesamte DMZ zugreifen. nur eben aus der DMZ nicht ohne weiteres auf
die hinter der Firewall liegende "sichere Zone" das LAN.

Gruß
Dobby
Bitte warten ..
Mitglied: Lochkartenstanzer
04.08.2017 um 12:24 Uhr
Zitat von 108012:

die Zone zwischen den beiden Geräten ist die DMZ,

Diese Zone würde ich nciht als DMZ bezeichnen sondern als "Internet" oder höchstens als Transferzone, denn da hat man als Admin keine kontrolle über den Datenverkehr von dort zum Intermet. Die hat nur der Provider. eine DMZ ist üblicherweise hinter der ersten Firewall oder dem Router unter eigener Kontrolle.

Man könnte sie natürlichauch als weitere (vorgelagerte) DMZ betrachten.

lks
Bitte warten ..
Ähnliche Inhalte
Router & Routing
DMZ Verständnisfrage
Frage von PharITRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

Windows Server
Webserver DMZ
Frage von adrian138Windows Server7 Kommentare

Hallo, Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist. Frage: Es braucht eine AD ...

Firewall
Pfsense - DMZ
gelöst Frage von 118080Firewall14 Kommentare

Moin :-) Ich habe eine pfsense mit LAN und DMZ Im LAN klappt fast alles so wie ich es ...

Firewall
Firewallregeln Exchange - DMZ
gelöst Frage von A-MertenFirewall3 Kommentare

Hallo Zusammen, ich stehe gerade etwas auf dem Schlauch und benötige etwas Hilfe von euch. Infrastruktur ist wie folgt ...

Neue Wissensbeiträge
LAN, WAN, Wireless
OPNsense Captive Portal mit vordefnierten Voucher
Tipp von Crusher79 vor 13 StundenLAN, WAN, Wireless

Hallo, Ziel war es vorhandene Klienten-Daten (Nummer im System) und Kennwörter anzulegen. Voucher werden durch externes Programm in Papierform ...

Administrator.de Feedback
Entwicklertagebuch: Die nächste Version
Information von admtech vor 1 TagAdministrator.de Feedback6 Kommentare

Hallo Administrator User, vielleicht haben es einige User schon mitbekommen: Wir arbeiten aktuell an einer komplett neuen Version von ...

Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 5 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 5 TagenExchange Server5 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Heiß diskutierte Inhalte
Windows Server
Windows Domäne, SBS 2011, Anmeldung als Admin nicht mehr möglich
Frage von big-dummyWindows Server17 Kommentare

Hallo, vorab: ich habe nun leider keine Grundruhe mehr - die Folgen wären katastrophal. Was ist das Problem: Ich ...

Router & Routing
Anmeldung am Router von einer ext. IP?
Frage von BigSnakeyeRouter & Routing15 Kommentare

Hallo, ich habe gerade seltsames in meiner Fritzbox entdeckt. Plötzlich war die Verbindung unterbrochen - kein Internet. Also habe ...

Windows 10
Win 10 PC blockiert
Frage von tsunamiWindows 1013 Kommentare

Guten Morgen, ich habe ein komisches Problem: Windows 10 Pro PC startet normal. Internet ist für ca. 5 Sekunden ...

KVM
Performance Verlust durch Virtualisierung
Frage von RalleoniusKVM12 Kommentare

Hallo zusammen, ich überlege meinen Server mit Debian, der als Webserver dient zu virtualisieren um eine 2te Maschine auf ...