Firewall: Besonderheit des DMZ-Ports?

[TrueAzrael]

Bisher eigentlich, außer vor über nem Jahrzehnt im Unterricht, nichts mit Business Firewalls zu tun gehabt, ein Kollege hat mir jetzt aber eine Frage gestellt deren Antwort mich doch interessiert.
Daher die Frage: Gibt es einen Unterschied zwischen einem DMZ-Port und einem "normalen" Internal-Port, außer das der DMZ-Port von Haus aus als solcher konfiguriert wurde? Die eigentliche Frage ist, kann man einen normalen Internal-Port zu einem DMZ konfigurieren, oder gibt es da im Normalfall auch Unterschiede in Hardware?

Ist hier zwar HEIMnetzwerke und Internethardware, aber vielleicht springt der Post ja zufällig den richtigen an.

 

[Necareor]

In den professionellen Geräten, die mir unter gekommen sind, gibt es eigentlich gar keine gesonderten DMZ-Ports. Jeder einzelne Port kann da frei konfiguriert werden.
Ein DMZ-Port ja auch nichts anderes als ein normaler Port, der andere Firewall- und Routing-/NAT-Konfigurationen hat.

Ich kann mir vorstellen, dass es bei dem Gerät deines Kollegen eben einen Port gibt, der schon vorkonfiguriert wurde. Also eine Sache der Benutzerfreundlichkeit/Bequemlichkeit.

Oder aber das Gerät verfügt nicht über die nötigen Konfigurationsmöglichkeiten, um einzelne Ports logisch voneinander zu trennen.

 

[HominiLupus]

Ein Port ist keine Zone, aber eine DMZ ist eben genau das wie der Begriff schon sagt. Wie man eine DMZ physisch einrichtet ist wieder was anderes, da gibts diverse Möglichkeiten.

 

[TrueAzrael]

Ergänzung: Handelt sich im konkreten Fall um eine Fortigate 60D, also Entry-Level laut Fortinet, dürfte also wirklich nur ein vorkonfigurierter Port sein.

 

[h00bi]

Die DMZ ist eine Zone mit Rechten und Zugängen, die man auf keinen Fall im internen Netz oder direkt im WAN haben will.
Es ist daher durfchaus sinnvoll eine DMZ über dedizierte Hardware laufen zu lassen und die DMZ damit durch mehr zu trennen als nur Software Logik.

Der "un-ipcop" ist ein gutes Beispiel dafür, hier wird die Thematik auch gut erklärt: http://www.ipcop-forum.de/unipcop.php
Hier geht es zwar um virtualisierung, aber ob der Port jetzt von dem Hypervisor oder der Forti Firmware virtualisert wird spielt ja ansich keine Rolle.

Auf einem dedizierten System sind die Schnittstellen mit, im einfachen Fall, RED und GREEN klar definiert und jeweils einer Netzwerkkarte zugeordnet. Der Datenfluss vom Internet ins LAN muss zwingend durch die eine Karte hinein und durch die andere Karte heraus. Dazwischen liegen die IP-Filter der Firewall, es gibt keinen anderen Weg. Anders sieht es aus, wenn Virtualisierungstechniken ins Spiel kommen. Hier durchlaufen Pakete zuerst das Hostsystem, um dann auf dem virtuellen System zu landen. Durch die Verwendung eigener IP-Stacks ist zwar keine direkte Verbindung zwischen Host- und Guest-System gegeben, ein Fehler in diesem Stack kann aber prinzipiell nicht ausgeschlossen werden, womit dann ein direkter Zugriff auf alle virtuellen Systeme möglich wäre.

 

[b1nb4sh]

Ein DMZ Port ist nichts anderes als ein Port mit einem anderem VLAN. Bei ipFire oder ipCop heißen die Zonen nur Green und Red, damit sich viele Leute leichter tun. Bei OpenWRT heißt es LAN (VLAN 2) / Wan (VLAN 1).

Manche Hersteller definieren einen Port als DMZ, weil dieser bereits vorkonfiguriert ist. Anonsten kann jeder Port ein DMZ Port sein. Es kommt hier immer auf die jeweilige Netzwerkkonfiguration an.

https://de.wikipedia.org/wiki/Demilitarized_Zone

Ein komplexerer Aufbau liefert dieser Heise Artikel, in dem 2 Router/FW verwendet werden.

http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html

DMZ Exposed Host

http://www.elektronik-kompendium.de/sites/net/0907241.htm

 

[TrueAzrael]

Danke nochmal, was eine DMZ ist weiß ich schon, dachte allerdings die DMZ Ports auf den Firewalls für Businesskunden sind intern in Hardware anders beschaltet, fragt mich nicht wie...

Einen extra Port für ein reines VLAN(DMZ) vorzukonfigurieren und auch noch extra zu Beschriften erschien mir irgendwie unnötig. Aber gut wusste da noch nicht, dass er von Entry-Level (Small Business) spricht.