In der Computersicherheit ist ein DMZ (manchmal gekennzeichnet als ein Umfang-Netzwerkanschluss) ein physisches oder logisches Teilnetz, das enthält und Außendienstleistungen einer Organisation zu einem größeren unvertrauten Netz, gewöhnlich das Internet ausstellt. Der Zweck eines DMZ ist, eine zusätzliche Schicht der Sicherheit zu einem lokalen Bereichsnetz (LAN) einer Organisation hinzuzufügen; ein Außenangreifer hat nur Zugang zur Ausrüstung im DMZ, aber nicht jeden anderen Teil des Netzes. Der Name wird aus dem Begriff "aus entmilitarisierter Zone", einem Gebiet zwischen Nationsstaaten abgeleitet, in denen militärische Handlung nicht erlaubt wird.

Grundprinzip

In einem Computernetz sind die für den Angriff am verwundbarsten Gastgeber diejenigen, die Dienstleistungen Benutzern außerhalb des lokalen Bereichsnetzes, wie E-Mail, Web und Server von Domain Name System (DNS) zur Verfügung stellen. Wegen des vergrößerten Potenzials dieser Gastgeber, die in Verlegenheit bringen werden, werden sie in ihr eigenes Teilnetz gelegt, um den Rest des Netzes zu schützen, wenn ein Einbrecher schaffen sollte, einigen von ihnen anzugreifen.

Gastgeber im DMZ haben Konnektivität auf spezifische Gastgeber im inneren Netz beschränkt, obwohl der Kommunikation mit anderen Gastgebern im DMZ und zum Außennetz erlaubt wird. Das erlaubt Gastgebern im DMZ, Dienstleistungen sowohl dem inneren als auch äußerlichen Netz zur Verfügung zu stellen, während eine vorläufige Brandmauer den Verkehr zwischen den DMZ Servern und den inneren Netzkunden kontrolliert.

Eine DMZ Konfiguration stellt normalerweise Sicherheit von Außenangriffen zur Verfügung, aber es hat normalerweise keine sich beziehenden inneren Angriffe wie schnüffelnde Kommunikation über ein Paket Analysator oder Manipulation wie E-Mail-Manipulation.

Dienstleistungen im DMZ

Jeder Dienst, der Benutzern im Außennetz zur Verfügung gestellt wird, kann in den DMZ gelegt werden. Die allgemeinsten von diesen Dienstleistungen sind:

• Webserver
• Mailserver
• FTP Server
• Server von VoIP

Webserver, die mit einer inneren Datenbank kommunizieren, verlangen Zugang zu einem Datenbankserver, der nicht öffentlich zugänglich sein kann und empfindliche Information enthalten kann. Die Webserver können mit Datenbankservern entweder direkt oder durch eine Anwendungsbrandmauer für Sicherheitsgründe kommunizieren.

E-Mail-Nachrichten und ist besonders die Benutzerdatenbank vertrauliche Information, so werden sie normalerweise auf Servern versorgt, auf die vom Internet (mindestens nicht auf eine unsichere Weise) nicht zugegriffen werden kann, aber von den SMTP Servern zugegriffen werden kann, die zum Internet ausgestellt werden.

Der Mailserver innerhalb des DMZ passiert ankommende Post zu den gesicherten/inneren Mailservern. Es behandelt auch aus dem Amt schied Post.

Für die Sicherheit, den gesetzlichen Gehorsam und die kontrollierenden Gründe, in einer Geschäftsumgebung, installieren einige Unternehmen einen Proxyserver innerhalb des DMZ. Das hat die folgenden Folgen:

• Verpflichtet die inneren Benutzer (gewöhnlich Angestellte), die Vertretung zu verwenden, um Internetzugang zu bekommen.
• Erlaubt der Gesellschaft, Internetzugriffsbandbreite-Voraussetzungen zu reduzieren, weil etwas vom Webinhalt durch den Proxyserver versteckt werden kann.
• Vereinfacht die Aufnahme und Überwachung von Benutzertätigkeiten und Block-Inhalt das Verletzen annehmbarer Gebrauch-Policen.

Ein Rückproxyserver, wie ein Proxyserver, ist ein Vermittler, aber wird der andere Weg ringsherum verwendet. Anstatt einen Dienst inneren Benutzern zur Verfügung zu stellen, die wollen auf ein Außennetz zugreifen, stellt es indirekten Zugang für ein Außennetz (gewöhnlich das Internet) zu inneren Mitteln zur Verfügung.

Zum Beispiel konnte ein Zurückbüroanwendungszugang, wie ein E-Mail-System, Außenbenutzern zur Verfügung gestellt werden (um E-Mails während außerhalb der Gesellschaft zu lesen), aber der entfernte Benutzer würde direkten Zugang zu seinem E-Mail-Server nicht haben. Nur der Rückproxyserver kann auf den inneren E-Mail-Server physisch zugreifen. Das ist eine Extraschicht der Sicherheit, die besonders empfohlen wird, wenn auf innere Mittel von außen zugegriffen werden muss. Gewöhnlich wird solch ein Rückproxymechanismus durch das Verwenden einer Anwendungsschicht-Brandmauer zur Verfügung gestellt, weil sie sich auf die spezifische Gestalt des Verkehrs konzentrieren, anstatt Zugang zu spezifischem TCP und UDP Häfen zu kontrollieren, wie eine Paket-Filterbrandmauer tut.

Architektur

Es gibt viele verschiedene Weisen, ein Netz mit einem DMZ zu entwerfen. Zwei der grundlegendsten Methoden sind mit einer einzelnen Brandmauer, auch bekannt als dem drei beinigen Modell, und mit Doppelbrandmauern. Diese Architekturen können ausgebreitet werden, um sehr komplizierte Architekturen abhängig von den Netzvoraussetzungen zu schaffen.

Einzelne Brandmauer

Eine einzelne Brandmauer mit mindestens 3 Netzschnittstellen kann verwendet werden, um eine Netzarchitektur zu schaffen, die einen DMZ enthält. Das Außennetz wird vom ISP bis die Brandmauer auf der ersten Netzschnittstelle gebildet, das innere Netz wird von der zweiten Netzschnittstelle gebildet, und der DMZ wird von der dritten Netzschnittstelle gebildet. Die Brandmauer wird ein einzelner Punkt des Misserfolgs für das Netz und muss im Stande sein, den ganzen Verkehr zu behandeln, der zum DMZ sowie dem inneren Netz geht.

Die Zonen werden gewöhnlich mit Farben - zum Beispiel, purpurrot für LAN gekennzeichnet, der für DMZ grün ist, der für das Internet (mit häufig einer anderen Farbe rot ist, die für Radiozonen verwendet ist).

Doppelbrandmauer

Eine sicherere Annäherung soll zwei Brandmauern verwenden, um einen DMZ zu schaffen. Die erste Brandmauer (hat auch die "Vorderende"-Brandmauer genannt), muss konfiguriert werden, um Verkehr zu erlauben, der dem DMZ nur bestimmt ist. Die zweite Brandmauer (auch genannt "Zurückende"-Brandmauer) erlaubt nur Verkehr vom DMZ bis das innere Netz.

Diese Einstellung wird sicherer betrachtet, da zwei Geräte würden in Verlegenheit gebracht werden müssen. Es gibt noch mehr Schutz, wenn die zwei Brandmauern von zwei verschiedenen Verkäufern zur Verfügung gestellt werden, weil er es weniger wahrscheinlich macht, dass beide Geräte unter derselben Sicherheitsverwundbarkeit leiden. Zum Beispiel wird zufälliger misconfiguration mit geringerer Wahrscheinlichkeit derselbe Weg über die Konfigurationsschnittstellen von zwei verschiedenen Verkäufern vorkommen, und ein Sicherheitsloch, das gefunden ist, im System eines Verkäufers zu bestehen, wird mit geringerer Wahrscheinlichkeit im anderen vorkommen. Diese Architektur ist natürlich, kostspieliger. Die Praxis, verschiedene Brandmauern von verschiedenen Verkäufern zu verwenden, wird manchmal als ein Bestandteil einer "Verteidigung eingehend" Sicherheitsstrategie beschrieben.

DMZ Gastgeber

Einige Hausrouter beziehen sich auf einen DMZ-Gastgeber. Ein DMZ Hausrouter-Gastgeber ist ein Gastgeber im inneren Netz, das alle Häfen ausgestellt hat außer jenen sonst nachgeschickten Häfen.

Definitionsgemäß ist das nicht ein wahrer DMZ (Entmilitarisierte Zone), seit ihm allein trennt den Gastgeber vom inneren Netz nicht. D. h. der DMZ-Gastgeber ist im Stande, Gastgebern im inneren Netz in Verbindung zu stehen, wohingegen Gastgeber innerhalb eines echten DMZ gehindert werden, mit dem inneren Netz durch eine Brandmauer in Verbindung zu stehen, die sie trennt, wenn die Brandmauer die Verbindung nicht erlaubt. Eine Brandmauer kann das erlauben, wenn ein Gastgeber im inneren Netz zuerst um eine Verbindung zum Gastgeber innerhalb des DMZ bittet.

Der DMZ-Gastgeber stellt keinen der Sicherheitsvorteile zur Verfügung, die ein Teilnetz zur Verfügung stellt und häufig als eine leichte Methode verwendet wird, alle Häfen zu einer anderen Brandmauer / NAT Gerät nachzuschicken.

Siehe auch

• Bastionsgastgeber
• SolutionBase: Stärken Sie Netzverteidigung, indem Sie einen DMZ durch Deb Shinder an TechRepublic verwenden.
• Eric Maiwald. Netzsicherheit: Ein Führer eines Anfängers. Die zweite Ausgabe. McGraw-Hill/Osborne, 2003.
• Internetbrandmauern: Häufig gestellte Fragen, die von Matt Curtin, Marcus Ranum und Paul Robertson kompiliert sind