Wenn die Beziehungen zwischen Nachbarnländer angespannt sind, schaffen sie normalerweise eine sogenannte (DMZ) zwischen ihnen. Es ist ein Gebiet, in dem keine Seite das Recht hat, Truppen einzusetzen oder die Kontrolle zu beanspruchen. Es ist ein Niemandsland, das als Pufferzone zwischen Ländern fungiert, die zu keinem Territorium gehören. Der Grund, warum ich das erkläre, ist, dass ein ähnliches Konzept verwendet werden kann, um die Sicherheit beim Einrichten eines Netzwerks zu verbessern. Es ist eine einfache Idee, denn wenn Sie darüber nachdenken, „stellt jede Maschine, die direkt dem Internet ausgesetzt ist, ein höheres Sicherheitsrisiko dar als diejenigen, die dies nicht sind.“ Daher sollten Computer, die Verbindungen aus dem Internet hosten, in Ihrem Netzwerk als „DMZ“ bezeichnet werden.

Was ist eine DMZ für ein Computernetzwerk?

Jedes Unternehmen weiß, dass es, um sich selbst zu schützen, eine Firewall zwischen sich und dem Internet setzen muss. Die meisten Unternehmen verwenden eine Firewall, die den Datenverkehr auf Bedrohungen scannen kann.

Was wir bei Computernetzwerken oft sehen, ist ein Setup, bei dem der Datenverkehr durch eine Firewall hereinkommt, durch einen Switch geht und auf einen Server gelangt. Das ist, solange in Ordnung, bis Sie glauben, dass Ihr Computer von einem Web-Angreifer kompromittiert wurde. Sobald ein Computer gehackt wurde, hat dieser meisten vollen Zugriff und versucht, sich mit jedem Computer in Ihrem Netzwerk zu verbinden, ohne dass der Datenverkehr überprüft oder eingeschränkt wird.

Aus Sicht des Netzwerkdesigns bedeutet das Einrichten einer DMZ einfach, den Datenverkehr im Netzwerk zu ändern. Bei Computern, die Hosting-Dienste für das Internet öffnen, müssen Sie sicherstellen, dass Firewalls zwischen ihnen und dem Internet sowie zwischen ihnen und Ihrem internen Netzwerk vorhanden sind.

Auf diese Weise können Sie Firewall-Regeln einrichten, um Prüfmechanismen zu ermöglichen und den Datenverkehr von Ihrem normalen Netzwerk und der DMZ einzuschränken.

Nehmen wir als Beispiel an, Sie richten eine DMZ für ein kleines Unternehmen oder eine Gemeinde ein. Sie haben die richtigen Serverkonfigurationen verwendet, sodass alle ihre Server einen einzigen Zweck haben, der Folgendes enthält:

Der einzige Computer, auf den direkt aus dem Internet zugegriffen werden kann, ist der Exchange-Server. Es kann E-Mails senden und empfangen, und Benutzer können ihren Browser verwenden, um über Outlook Web Access (OWA) eine Verbindung zu ihren Postfächern herzustellen. Auf andere Computer kann nicht über das Internet zugegriffen werden.

Bei einem so kleinen Setup ist es wahrscheinlich (und ich habe es oft gesehen), dass ihr Netzwerkdesign bedeutet, dass der Datenverkehr in einen Switch geht, der intern mit der Firewall verbunden ist, und hinaus ins Internet geht. Wenn dieser Mailserver kompromittiert ist, kann der Angreifer nicht daran gehindert werden, andere Computer im Netzwerk mit einer beliebigen Kommunikationsmethode anzugreifen.
Das Einrichten einer DMZ für dieses Netzwerk ist so einfach wie das Verbinden des Mailservers mit einem separaten Port auf der Firewall und das Ändern einiger IP-Adressreferenzen in der E-Mail-Software des Benutzers.

Mithilfe einer DMZ-Einrichtung können Netzwerkadministratoren Firewall-Richtlinien für den Datenverkehr von internen Computern zum Exchange-Server und umgekehrt festlegen. Es ermöglicht ihnen auch, die Inspektion dieses Datenverkehrs für eine zusätzliche Schutzebene zu ermöglichen. Schließlich ermöglicht es eine eingeschränkte Kommunikation, sodass Computer keinen freien und uneingeschränkten Zugriff mehr auf alles andere im Netzwerk haben. Jeder im Netzwerk muss sich mit einem Exchange-Server verbinden, um seine E-Mails abzurufen, aber mit welchen Computern muss Exchange eine Verbindung herstellen und warum?

Das ist die Idee hinter DMZ. Im Allgemeinen erkennen Sie, dass das Hosten der Dienste von einem Computer, der dem Internet ausgesetzt ist, eigene größere Risiken birgt. Der Verkehrsfluss wird also so eingestellt, dass diese Möglichkeit eingeschränkt werden. Angenommen, ein Server ist kompromittiert, bedeutet die Zugriffsbeschränkung, die Möglichkeiten des Angreifers einzuschränken. Dies verringert Ihre potenzielle Angriffsfläche und macht es Angreifern schwerer, Ihren Zugang auszunutzen.

Richtiges Einrichten und Optimieren des Netzwerkverkehrs erhöht die Sicherheit, ohne dass zusätzliche Software installiert werden muss. Es trägt nicht einmal wesentlich zu den Kosten Ihrer Ausrüstung bei. In einigen Fällen steigen die Kosten überhaupt nicht.

Die Trennung und Kontrolle, die DMZs bieten, macht es einfacher, interne Ressourcen zu schützen, Zugriff zu gewähren und das Risiko von Cyberangriffen zu verringern.

Für die Nerds unter euch habe ich noch ein paar Punkte aufgegliedert:

Dienste von Datenbanken entkoppeln

Webserver benötigen Zugriff auf Kundeninformationen.

Isolieren Sie weniger sichere Dienste

Internetzugang für interne Benutzer

Verbessern Sie die Leistung des internen Netzwerks

Eine Dual-Firewall-Architektur erhöht die Sicherheit auf Kosten zusätzlicher administrativer Komplexität.

Consumer-Internet-Router, die kleine Unternehmen verwenden können, oft eine DMZ-Funktion haben.

Welche Sicherheitsrisiken bestehen bei der Verwendung eines DMZ-Netzwerks?

Wenn Sie Fragen zum Einrichten einer DMZ in Ihrem Unternehmensnetzwerk haben, melden Sie sich bei ITNEXTGEN!