Wenn die Beziehungen zwischen Nachbarnländer angespannt sind, schaffen sie normalerweise eine sogenannte (DMZ) zwischen ihnen. Es ist ein Gebiet, in dem keine Seite das Recht hat, Truppen einzusetzen oder die Kontrolle zu beanspruchen. Es ist ein Niemandsland, das als Pufferzone zwischen Ländern fungiert, die zu keinem Territorium gehören. Der Grund, warum ich das erkläre, ist, dass ein ähnliches Konzept verwendet werden kann, um die Sicherheit beim Einrichten eines Netzwerks zu verbessern. Es ist eine einfache Idee, denn wenn Sie darüber nachdenken, „stellt jede Maschine, die direkt dem Internet ausgesetzt ist, ein höheres Sicherheitsrisiko dar als diejenigen, die dies nicht sind.“ Daher sollten Computer, die Verbindungen aus dem Internet hosten, in Ihrem Netzwerk als „DMZ“ bezeichnet werden.
Was ist eine DMZ für ein Computernetzwerk?
Jedes Unternehmen weiß, dass es, um sich selbst zu schützen, eine Firewall zwischen sich und dem Internet setzen muss. Die meisten Unternehmen verwenden eine Firewall, die den Datenverkehr auf Bedrohungen scannen kann.
Was wir bei Computernetzwerken oft sehen, ist ein Setup, bei dem der Datenverkehr durch eine Firewall hereinkommt, durch einen Switch geht und auf einen Server gelangt. Das ist, solange in Ordnung, bis Sie glauben, dass Ihr Computer von einem Web-Angreifer kompromittiert wurde. Sobald ein Computer gehackt wurde, hat dieser meisten vollen Zugriff und versucht, sich mit jedem Computer in Ihrem Netzwerk zu verbinden, ohne dass der Datenverkehr überprüft oder eingeschränkt wird.
Aus Sicht des Netzwerkdesigns bedeutet das Einrichten einer DMZ einfach, den Datenverkehr im Netzwerk zu ändern. Bei Computern, die Hosting-Dienste für das Internet öffnen, müssen Sie sicherstellen, dass Firewalls zwischen ihnen und dem Internet sowie zwischen ihnen und Ihrem internen Netzwerk vorhanden sind.
Auf diese Weise können Sie Firewall-Regeln einrichten, um Prüfmechanismen zu ermöglichen und den Datenverkehr von Ihrem normalen Netzwerk und der DMZ einzuschränken.
Nehmen wir als Beispiel an, Sie richten eine DMZ für ein kleines Unternehmen oder eine Gemeinde ein. Sie haben die richtigen Serverkonfigurationen verwendet, sodass alle ihre Server einen einzigen Zweck haben, der Folgendes enthält:
- Ein Domänencontroller
- Ein Dateiserver
- Ein Mailserver (mit Exchange)
Der einzige Computer, auf den direkt aus dem Internet zugegriffen werden kann, ist der Exchange-Server. Es kann E-Mails senden und empfangen, und Benutzer können ihren Browser verwenden, um über Outlook Web Access (OWA) eine Verbindung zu ihren Postfächern herzustellen. Auf andere Computer kann nicht über das Internet zugegriffen werden.
Bei einem so kleinen Setup ist es wahrscheinlich (und ich habe es oft gesehen), dass ihr Netzwerkdesign bedeutet, dass der Datenverkehr in einen Switch geht, der intern mit der Firewall verbunden ist, und hinaus ins Internet geht. Wenn dieser Mailserver kompromittiert ist, kann der Angreifer nicht daran gehindert werden, andere Computer im Netzwerk mit einer beliebigen Kommunikationsmethode anzugreifen.
Das Einrichten einer DMZ für dieses Netzwerk ist so einfach wie das Verbinden des Mailservers mit einem separaten Port auf der Firewall und das Ändern einiger IP-Adressreferenzen in der E-Mail-Software des Benutzers.
Mithilfe einer DMZ-Einrichtung können Netzwerkadministratoren Firewall-Richtlinien für den Datenverkehr von internen Computern zum Exchange-Server und umgekehrt festlegen. Es ermöglicht ihnen auch, die Inspektion dieses Datenverkehrs für eine zusätzliche Schutzebene zu ermöglichen. Schließlich ermöglicht es eine eingeschränkte Kommunikation, sodass Computer keinen freien und uneingeschränkten Zugriff mehr auf alles andere im Netzwerk haben. Jeder im Netzwerk muss sich mit einem Exchange-Server verbinden, um seine E-Mails abzurufen, aber mit welchen Computern muss Exchange eine Verbindung herstellen und warum?
Das ist die Idee hinter DMZ. Im Allgemeinen erkennen Sie, dass das Hosten der Dienste von einem Computer, der dem Internet ausgesetzt ist, eigene größere Risiken birgt. Der Verkehrsfluss wird also so eingestellt, dass diese Möglichkeit eingeschränkt werden. Angenommen, ein Server ist kompromittiert, bedeutet die Zugriffsbeschränkung, die Möglichkeiten des Angreifers einzuschränken. Dies verringert Ihre potenzielle Angriffsfläche und macht es Angreifern schwerer, Ihren Zugang auszunutzen.
Richtiges Einrichten und Optimieren des Netzwerkverkehrs erhöht die Sicherheit, ohne dass zusätzliche Software installiert werden muss. Es trägt nicht einmal wesentlich zu den Kosten Ihrer Ausrüstung bei. In einigen Fällen steigen die Kosten überhaupt nicht.
Die Trennung und Kontrolle, die DMZs bieten, macht es einfacher, interne Ressourcen zu schützen, Zugriff zu gewähren und das Risiko von Cyberangriffen zu verringern.
Für die Nerds unter euch habe ich noch ein paar Punkte aufgegliedert:
Dienste von Datenbanken entkoppeln
- Nach außen gerichtete Systeme erfordern oft Zugriff auf proprietäre Datenbanken und andere Ressourcen.
Webserver benötigen Zugriff auf Kundeninformationen.
- Der E-Mail-Server benötigt Zugriff auf das Unternehmensverzeichnis. Der API-Server benötigt Zugriff auf die Backend-Datenbank. Es ist jedoch zu riskant, diese proprietären Ressourcen auf einen öffentlich zugänglichen Server zu stellen. Das Hosten von Front-End-Servern in einer DMZ bei gleichzeitiger Aufbewahrung sensibler Back-End-Ressourcen in einem geschützten internen Netzwerk vermeidet diese Risiken.
Isolieren Sie weniger sichere Dienste
- FTP und andere Dienste mit wenigen Sicherheitskontrollen können potenzielle Ziele für Cyberangriffe sein. Das Platzieren von FTP-Servern in ihrer eigenen DMZ verringert das Risiko, dass sich ein Angriff erfolgreich auf das interne Netzwerk ausbreitet.
Internetzugang für interne Benutzer
- Zugriffssteuerungsregeln können die gesamte interne Nutzung des Internets über einen dedizierten Proxyserver in der DMZ erzwingen. Dadurch erhalten Administratoren eine transparentere Kontrolle über die Internetnutzung eines Unternehmens.
Verbessern Sie die Leistung des internen Netzwerks
- Häufig aufgerufene Webserver belasten das Netzwerk stark. Die Platzierung dieser Server in der DMZ reduziert den Traffic auf das interne Netzwerk.
Eine Dual-Firewall-Architektur erhöht die Sicherheit auf Kosten zusätzlicher administrativer Komplexität.
- Bei diesem Ansatz kontrolliert eine externe Firewall den Zugriff zwischen dem Internet und DMZ-Ressourcen. Eine interne Firewall (vorzugsweise von einem anderen Anbieter) kontrolliert die Ressourcen der DMZ und des internen Netzwerks.
Consumer-Internet-Router, die kleine Unternehmen verwenden können, oft eine DMZ-Funktion haben.
- Hier sollten Sie auf alle Fälle recherchieren, ob Ihre Fritz!Box oder gleiches eine DMZ besitzt.
Welche Sicherheitsrisiken bestehen bei der Verwendung eines DMZ-Netzwerks?
- Eine DMZ ist so sicher wie ihre Konfiguration, Richtlinie und Verwaltung. Eine falsche Konfiguration kann Türen für einen Angreifen öffnen
Wenn Sie Fragen zum Einrichten einer DMZ in Ihrem Unternehmensnetzwerk haben, melden Sie sich bei ITNEXTGEN!