Understanding DMZ - Demilitarized Zone
In der Computersicherheit ist eine DMZ (manchmal auch als Perimeter-Netzwerk bezeichnet) ein physisches oder logisches Subnetzwerk, das die nach außen gerichteten Dienste einer Organisation einem größeren nicht vertrauenswürdigen Netzwerk, normalerweise dem Internet, enthält. Der Zweck einer DMZ besteht darin, dem lokalen Netzwerk (LAN) einer Organisation eine zusätzliche Sicherheitsschicht hinzuzufügen. Ein externer Angreifer hat nur Zugriff auf Geräte in der DMZ und nicht auf andere Teile des Netzwerks. Der Name leitet sich von demilitarisierten Zone ab, einem Gebiet zwischen Nationalstaaten, in dem militärische Aktionen nicht erlaubt sind.
Es ist üblich, eine Firewall und eine demilitarisierte Zone (Demilitarized Zone, DMZ) in Ihrem Netzwerk zu haben, aber viele Menschen, selbst IT-Fachleute, verstehen nicht wirklich warum, außer für eine vage Idee von Halbsicherheit.
Die meisten Unternehmen, die ihre eigenen Server hosten, betreiben ihre Netzwerke mit einer DMZ, die sich am Rand ihres Netzwerks befindet und normalerweise auf einer separaten Firewall als halb vertrauenswürdiger Bereich für Systeme arbeitet, die mit der Außenwelt kommunizieren.
Warum existieren solche Zonen und welche Arten von Systemen oder Daten sollten darin enthalten sein?
Um echte Sicherheit zu gewährleisten, ist es wichtig, den Zweck einer DMZ klar zu verstehen.
Die meisten Firewalls sind Sicherheitsvorrichtungen auf Netzwerkebene, normalerweise eine Appliance oder eine Appliance in Kombination mit Netzwerkgeräten. Sie sollen eine granulare Art der Zugriffssteuerung an einem wichtigen Punkt in einem Unternehmensnetzwerk bieten. Eine DMZ ist ein Bereich Ihres Netzwerks, der von Ihrem internen Netzwerk und dem Internet getrennt ist, aber mit beiden verbunden ist.
Eine DMZ soll Systeme hosten, die für das Internet zugänglich sein müssen, aber auf andere Weise als Ihr internes Netzwerk. Der Grad der Verfügbarkeit für das Internet auf Netzwerkebene wird von der Firewall gesteuert. Der Grad der Verfügbarkeit für das Internet auf der Anwendungsebene wird durch Software gesteuert, in Wirklichkeit eine Kombination aus Webserver, Betriebssystem, benutzerdefinierter Anwendung und häufig Datenbanksoftware.
PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klickenDie DMZ ermöglicht typischerweise einen eingeschränkten Zugriff aus dem Internet und aus dem internen Netzwerk. Interne Benutzer müssen in der Regel auf Systeme innerhalb der DMZ zugreifen, um Informationen zu aktualisieren oder dort erfasste oder verarbeitete Daten zu verwenden. Die DMZ soll den Zugang der Öffentlichkeit zu Informationen über das Internet ermöglichen, jedoch in begrenztem Umfang. Aber da es eine Verbindung zum Internet und einer Welt von genialen Menschen gibt, besteht immer ein Risiko, dass diese Systeme kompromittiert werden können.
Die Auswirkungen eines Kompromisses sind zweifacher Art: erstens können Informationen über das oder die exponierten Systeme verloren gehen (dh kopiert, zerstört oder beschädigt werden) und zweitens kann das System selbst als Plattform für weitere Angriffe auf sensible interne Systeme verwendet werden.
Um das erste Risiko zu mindern, sollte die DMZ den Zugriff nur über begrenzte Protokolle zulassen (z. B. HTTP für normalen Webzugriff und HTTPS für verschlüsselten Webzugriff). Dann müssen die Systeme selbst sorgfältig konfiguriert werden, um Schutz durch Berechtigungen, Authentifizierungsmechanismen, sorgfältige Programmierung und manchmal Verschlüsselung zu bieten.
Denken Sie darüber nach, welche Informationen Ihre Website oder Anwendung sammelt und speichert. Das kann verloren gehen, wenn Systeme durch häufige Webattacken wie SQL-Injection, Pufferüberläufe oder falsche Berechtigungen kompromittiert werden.
Um das zweite Risiko zu mindern, sollten DMZ-Systeme nicht von Systemen vertraut werden, die tiefer im internen Netzwerk liegen. Mit anderen Worten, DMZ-Systeme sollten nichts über interne Systeme wissen, obwohl einige interne Systeme von DMZ-Systemen wissen. Darüber hinaus sollten DMZ-Zugriffssteuerungen DMZ-Systemen nicht ermöglichen, weitere Verbindungen in das Netzwerk zu initiieren. Stattdessen sollte jeder Kontakt zu DMZ-Systemen von internen Systemen initiiert werden. Wenn ein DMZ-System als Angriffsplattform kompromittiert wird, sollten als einzige Systeme andere DMZ-Systeme sichtbar sein.
Es ist von entscheidender Bedeutung, dass IT-Manager und Unternehmenseigentümer die Arten von Schäden verstehen, die für Systeme, die im Internet verfügbar sind, sowie die Schutzmechanismen und -methoden wie DMZs möglich sind. Eigentümer und Manager können nur dann fundierte Entscheidungen darüber treffen, welche Risiken sie eingehen wollen, wenn sie wissen, wie effektiv ihre Instrumente und Prozesse diese Risiken mindern.
PRO TIPP: Wenn das Problem bei Ihrem Computer oder Laptop / Notebook auftritt, sollten Sie versuchen, die Reimage Plus Software zu verwenden, die die Repositories durchsuchen und beschädigte und fehlende Dateien ersetzen kann. Dies funktioniert in den meisten Fällen, in denen das Problem aufgrund einer Systembeschädigung auftritt. Sie können Reimage Plus herunterladen, indem Sie hier klicken