ComputerBase Menü
Aktuelles

Dmz

L

Lefori

Lieutenant
Registriert
Juli 2008
Beiträge
530
Moin,

ich habe jetzt ein wenig gelesen über demilitarisierte Zonen. Nun gibt es hier 1000 Meinungen und ich würde gerne mal eure Meinungen wissen. Macht eine DMZ noch Sinn? Wenn ja wo?

Zur Info:
Mein Ziel ist es einen Exchange möglichst sicher zu machen da kam schnell der Begriff DMZ auf.

lg
Lefori
 
Sicher ja. Allerdings nur so lange, bis das schwächste Glied hier alles zusammenbrechen lässt...
 
Weißt du denn, was eine DMZ ist inzwischen? Also nicht exposed Host, sondern eine DMZ?
Die macht nicht "noch" Sinn, die wird immer wichtiger.
Praktisch ist es ja so:
Untrusted/Internet <=> DMZ
Trusted <=> DMZ
Wenn die Regeln für den Zugriff AUS Internet auf DMZ Server möglichst gering/granular gehalten werden, was essentiell für das Konzept ist, dann hilft die DMZ natürlich.
Denn oft sind einige Dinge mehr offen aus dem Usernetzwerk, meist für irgendwelche speziellen Devices.

Also ist es faktisch nur so, dass man von innen und außen nur so viel öffnet wie nötig für die explizit in der DMZ platzierten Hosts. Die notwendigen Freigaben oder sonstigen riskanten Einstellungen, die die Clients im Standardnetz ggf. verwenden, fallen dann einfach nicht an durch die Abgrenzung.
Zudem ist ja auch der Zugriff von intern beschränkt. In Zeiten von Trojanern und nach wie vor unbedarft handelnden Arbeitskräften, die immer einen Weg finden die Sicherheitsrichtlinien zu untergraben ("ich bennene es in .txt um, dann gehts per Mail, nenn es dann einfach wieder in .exe um nach dem Speichern"), ist es ein zusätzlicher Schutz, nur den eigentlichen Serviceport offen zu haben (Trusted => DMZ meine ich), und z.B. RDP nur von dedizierten Admin-IPs (wie man es normal auch macht).

So ein paar logische Vorteile gibts und die werden immer relevanter.
 
Wie soll dadurch der Exchange sicherer werden? Er braucht ja weiterhin eine Verbindung zum Netz. Dass er nicht direkt dran hängt, sondern hinter einem Router mit Firewall ist ja wohl eh selbstverständlich.
Was im allgemeinen viel mehr bringt: Nicht irgendein Konstrukt einsetzen von dem man nicht mal weiß was es überhaupt ist. Das generiert nur eine vermeintliche Sicherheit. Wichtiger wäre mal die Techniken zu kapieren und zu verstehen was im Netz so abgeht. Hierzu ist eine Security Appliance sehr gut geeignet, weil man dadurch viel steuern und überwachen kann. Damit kannst du auch ein DMZ aufbauen, wie z.B. IPCop.
Wenn man kapiert was in seinem Netzwerk abläuft kann man auch eventuelle Angriffe früh erkennen und ggf. Gegenmaßnahmen einleiten.
Nur die Netze zu trennen und dann eh wieder stückchenweise eine Sache nach der anderen auf zu machen, weil sonst nichts sauber läuft bringt eher wenig bis gar nichts, außer Arbeit.
 
Das ist nicht korrekt.
Ohne DMZ, wenn der Exchange intern steht, dann kann jeder interne, ggf kompromittierte Rechner übers Netzwerk den Exchange attackieren.
Wenn nur der Serviceport offen ist und der Exchange sonst abgeschirmt ist in einer DMZ ist das nicht so ausgeprägt möglich.
Zudem, und jetzt weiß ich nicht bis zu welcher Größe von Netzwerken du Erfahrung hast, macht man für gewisse Geräte Ports auf. Das können Frankiermaschinen oder andere Dinge sein, die mit ihrem Provider kommunizieren müssen. Nun hast du offene Ports, die ins gemeinsame Netz von Clients und Exchange gehen. Gut administriert ist nur die freigeschaltete IP erreichbar. Dennoch.
Wenn ich hier eine DMZ habe betrifft die Freigabe nur eine Zone.
Außerdem dachte ich, er wolle die Erreichbarkeit von außen, nachdem er nach einer DMZ fragt.
 
Das letzte war eher darauf bezogen, wie ich es (leider) schon zigmal gesehen habe:
"Wir setzen jetzt einfach DMZ ein" dann läuft nichts, dann wird quasi wieder alles aufgemacht und am Schluß steht man bis auf Mehrarbeit wieder da wie zuvor.
Ahnung vom Netzwerk ist erstmal durch nichts zu ersetzen, wenn man es selber administrieren muss.
 
Das ist vollkommen richtig und so Situationen kenne ich auch. Tatsächlich wird so eine demnächst wieder entstehen (DMZ Umzug und die kennen nicht alle ihre Dienste). :freak:
Dennoch machen korrekt administrierte DMZs oder auch ganz generell Zones Sinn, viel Sinn. Aber auch viel Arbeit.
 
Ja klar macht es Sinn. Da sind wir ganz beisammen :)
Wenn jemand aber erst in einem Forum fragen muss und offenbar wenig bis keine Ahnung hat, dann wollt ich halt drauf hinweisen, dass es, wenn nicht richtig gemacht, mehr eine ABM ist anstatt eine sinnvolle Sache.

Und sicherer wird nunmal in erster Linie die interne grüne Zone, aber nicht der Exchange, den man ja durch simple Portsperren einer (Hardware-/Router-)Firewall auch nicht schlechter absichert. (Oder überseh ich grad irgendwas?)
 
@rg88 - was so in einem Netzwerk passiert ist mir nicht unbekannt das haben unsere Lehrer uns eingeprügelt.

Ich will mich allgemein mit IT-Sicherheit beschäftigen und da bin ich schnell auf DMZ gestoßen und will mich einfach damit auseinander setzen und suche mir daür gerne Beispiele an denen ich das üben kann.

Im Grunde geht es mir ums verstehen - ich hatte nicht vor das zu basteln und dann LIVE direkt einzusetzen und daher freue ich mich über Kritik, Anregungen usw.
 
Alles klar: Wenns ums basteln und üben geht, dann würd ich dir IPCop ans Herz legen. Brauchst dann halt einen Testrechner (Leistung ist relativ egal, tuts auch eine alte Kiste) und einige Netzwerkkarten. Je nachdem was du für Zonen machen willst. Zum einlesen und einlernen ist so eine Testumegbung immer sehr nützlich. Nach der Installation läuft quasi alles über ein Webinterface.

Im professionellen Bereich kann man so etwas auch einsetzen, nimmt aber in der Praxis meist eine fertige Security Aplliance für einiges an Geld.
 
Irgendwie verstehe ich nicht was so eine DMZ bringen soll, hier besonders nicht, weil ja Exchange ein imho reiner Intranet Dienst ist. Sinnvollerweise darf der ja niemals selber ans Internet sondern da hängt dann z.B. ein Postfix davor.
D.h ein Exchange kannst du einfacher gleich ins Intranet stellen und niemals in eine DMZ.

Dann noch ein Postfix, VPN Server und nen SOCKS Proxy davor. Ersterer für Mail, letzterer für Web und was auch immer die User sonst noch so wollen. Dieser Postifx/VPN/SOCKS kann man in eine DMZ stellen.

Daß der Exchange via Portsperren nur zum AD und den Clients, also praktisch gesamtes Intranet und raus eben nur Port 25/995/etc. zum Postfix funken darf und der Rest ist zu, ist ja klar.

Oder überseh ich da was?
 
Exchange nur für intern? Das ist aber selten in der Praxis so. je nachdem welche Connectoren du einsetzt hängt der Ex schon am iNet.
 
Ja. das Abschirmen von innen. Vielleicht sollte ich sagen, dass meine Betrachtungsweise auf ein großes LAN mit vielen, auch fahrlässigen, Usern gemünzt ist. Bzw. davon geprägt wurde.
Zudem hängt einiges am INet.
 
abschirmen von innen ist eher nicht der Sinn vom DMZ. Die interne grüne Zone ist eigentlich die "gute" und der kann und will man vertrauen. Die böse rote Zone ist das Internet.

Intern absichern geht schon am Client der User los und an den Switchen, welche gar keine fremden Geräte zulassen, die nicht von der IT-Administration freigegeben sind.
 
... ich spreche zum vierten Mal von kompromitierten Clients.
Wieso wird das ständig ignoriert?
Mir ist schon klar, welche Zones "mehr" trustworthy sind, aber das ist nunmal der Sinn getrennter Zonen. Egal wo was passiert, der Rest ist noch "sicher". Das geht in beide Richtungen. Das schützt Clients UND DMZ. Clients gegen die durch potentiell auf den Server stattfindenden Angriffe, falls sie Erfolg haben, und Server vor Angriffen durch infizierte Clients.
Die Windowsfirewall als MS Softwareprodukt ist keine Lösung, auf die ich mich 100% verlassen will, gerade wenn windowsservereigene Dienste die Schwachstellen sind. Beispielsweise SMB1, auch wenn veraltet.

Und durch das Aufteilen in granularere Bereiche sind in jedem Bereich auch weniger Kommunikationsbeziehungen da, die das ganze Netz gefährden können (am gravierendsten bei fahrlässigen Freischaltungen, wie du oben schon geschrieben hast). Dadurch entsteht der größte Vorteil.
 
Ganz ruhig ;) Die Erklärung zu den Zonen war eher für den TE gedacht, glaub schon, dass ich dir das nicht erklären muss. Deshalb auch die einfachen Worte und Farben.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Tempo
Ist das noch eine DMZ
2
Antworten
25
Aufrufe
2.069
Sykehouse
Sykehouse
RockNLol
Kein Bridge Mode -> DMZ?
Antworten
5
Aufrufe
599
qiller
Q
T
Andere Alternative zu CoD MW2 DMZ
Antworten
5
Aufrufe
1.329
Wischbob
Wischbob
David_mwd
Immer gleiche FPS in dmz?
2 3
Antworten
58
Aufrufe
2.968
Mircosfot
Mircosfot
Tempo
DMZ mittels MACVLAN realisierbar?
Antworten
6
Aufrufe
1.005
norKoeri
N
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz