flyingkangaroo
Goto Top

Wann kommt ein Service in die DMZ?

Hallo,

wann implementiert man einen Dienst besser in der DMZ, bzw. wann nicht?

Ein Service muß in die DMZ sobald er aus dem Internet (& LAN) erreichbar sein soll, das ist soweit klar.
Gibt es aber eine Empfehlung was man mit Services macht, die nur für ein eng begrenztes Publikum (einzeln aufzählbar) erreichbar sein soll (z.B. einzelne Mitarbeiter, einzelne Externe)?
Es gäbe ja die Mögilchkeit den Dienst trotzdem in der DMZ zu platzieren und eine Authentifizierung davor zu schalten, und damit haben die gewünschten Mitarbeiter auch aus dem Internet zugriff...

Andererseits gäbe es die Mögilchkeit diesen speziellen Leuten einen (auf diesen Dienst eingeschränkten?) VPN-Zugang für's LAN einzurichten und ... was ist nun die 'sauberere' Lösung?
Gibt es da Richtlinien/Abhandlungen darüber? Ich hätte sowas jetzt eigentlich vom BSI erwartet... habe aber bisher nichts finden können...

Danke.

Gruß
Dieter

Content-Key: 181715

Url: https://administrator.de/contentid/181715

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 09.03.2012 um 14:48:27 Uhr
Goto Top
Moin moin,

um es etwas platt auszudrücken:

Immer dann, wenn die Dienste gegen Zugriff von Unbefugten gesichert werden müssen und man dabei ggf. das Problem hat, daß der Host auch andere, nicht abschaltbare Dienste anbietet, die u.u. kompromittiert werden könnten.

Ob man die in die gleiche Zone steckt wie die Dienste, die vom internet erreichbar sein müssen, oder ob man denen eine eigene Zone spendiert, ist abhängig von einer Risikobewertung und einer Kosten-/Nutzen-Rechnung.


lks
Mitglied: spacyfreak
spacyfreak 09.03.2012 um 23:37:24 Uhr
Goto Top
Es kann je nach Sicherheitsphilosophie schon Sinn machen, z. B. Testumgebungen für externe Dienstleister in abgeschottete Bereiche zu stecken, wo sich die Entwickler dann austoben können und
nicht durch surfen im Firmen-Intranet vom Toben ablenken lassen. Das hat auch mit Datenschutz zu tun - vielerlei interne Informationen sind schlicht nicht für Firmenfremde gedacht.
Warum sollte man firmenfremden das ganze interne Netz zugänglich machen, wenn sie doch nur für was sehr spezielles Zugriff benötigen?
Wenn der Postmann kommt muss er an den Briefkasten ran, doch ich muss ihn ja nicht auch gleich ins Schlafzimmer spatzieren lassen...

Will man nur vereinzelten internen Mitarbeitern aus der Firma selbst autorisierten Zugriff auf etwas geben, macht man das in der Regel mit einer Authentisierungslösung, z. B. Benutzername/Kennwort an der Anwendung/Webportal.

Abhandlungen kenn ich dazu keine, und wenn man 10 Admins frägt kriegt man 6 Antworten.
Aus den 6 kann man dann ggfs. das ableiten was wohl dem "empfehlenswerten" am nächsten kommt...
Mitglied: Dani
Dani 02.05.2012 um 23:07:29 Uhr
Goto Top
Moin,
hast du neue Informationen zu dem Thread?


Grüße,
Dani
Mitglied: flyingKangaroo
flyingKangaroo 14.05.2012 um 09:59:58 Uhr
Goto Top
Hallo,

nö, neue Infos zu dem Thema habe ich nicht.

Die meine Ansicht nach optimale Lösung für unseren internen Dienst, der vereinzelt von (bzgl. dem restlichen Netz Unbefugten) Partnerunternehmen genutzt werden soll, wäre ein VPN, welches auf diesen einen Dienst beschränkt ist.
Ist wie sich oben schon abgezeichnet hat, wohl wirklich sehr individuell...

Danke für die Antworten.

Gruß
Dieter