Diskussion:Demilitarisierte Zone (Informatik)

Letzter Kommentar: vor 10 Jahren von Fabiwanne in Abschnitt Sicherheit von Exposed Hosts

Statt Paketfilter müsste hier eigentlich die Abgrenzung durch eine Firewall dargestellt werden. Eine Firewall ist nicht unbedingt gleich ein Paketfilter. Leider muss dann auch das Bild editiert werden, Freiwillige?

hamsta

Paketfilter vs. Firewall und Mail-Server-Zugriff

Bearbeiten

Die Paketfilter sind wirklich Paketfilter und keine Firewalls, das ganze "Konzept" ist eine Firewall, die eben eine DMZ enthält, oder? Die Paketfilter kennen sich wohl gegenseitig nicht, in der DMZ sollte ein Proxy sein über den alles läuft.

Im LAN sollte ein "privater" Mail-Server sein, der von den Rechnern im LAN benutzt wird. Nur dieser private Mail-Server kommuniziert mit dem Mail-Server in der DMZ.

der mailserver mag teil des security konzepts, gehoert aber nicht wirklich zur "dmz". zur erlaeuterung ihrer funktion ist er im letzten bild des fallbeispiels aufgefuehrt Firnacarl 18:16, 9. Jun 2006 (CEST)

Die Paketfilter können Paketfilter sein, das kommt eben auf das Konzept an. Sie setzen das Konzept durch. Durchsetzende Komponenten werden Firewall genannt. Deswegen muss da Firewall stehen, auf jeden Fall nicht Paketfilter. Paketfilter sind zwar eine gängiger, aber dennoch ein Spezialfall.

Zum Mailserver: Wieso muss da ein Mailserver stehen? Wieso nicht noch ganz andere Sachen. Du wirst auch hier zu speziell. Im allgemeinen muss da kein Mailserver stehen. Woher weisst Du, dass überhaupt Mails in diesem Netzwerk eine Rolle spielen?


zum Konzept: Das Bild stellt meiner Meinung nach eine spezielle Form einer Firewall, nämlich eine Firewall mit "screened subnet" dar. Die DMZ ist also nur ein Teil davon. Wie "durchsetzende Komponente" definiert ist, weiss ich leider nicht. Dass Paketfilter ein Sonderfall sind, war mir nicht bewusst, was könnte dort sonst sein?

z.b. ein dual homed host ohne routing mit weiterleitung auf layer 4 (z.b. redir, uredir, inetd/netcat). (don't try this at home) Firnacarl 18:16, 9. Jun 2006 (CEST)

Zu den Servern: Ich weiss nicht warum auf der Abbildung genau diese verschiedenen Server in der DMZ abgebildet sind, da sie aber nunmal dort sind, und in den 2 mittleren Absätzen speziell auf den Mail-Server eingegangen wird, stellte ich meine obige Aussage bezüglich eines privaten Mail-Servers zur Diskussion. Ich war also aufgrund des Bildes und des schon bestehenden Textes der Meinung, dass in dem Netzwerk Mails eine Rolle spielen.

der mailserver steht jetzt unter fallbeispiel. das dient hoffentlich der entwirrung Firnacarl 18:16, 9. Jun 2006 (CEST)

Für eine DMZ sind auch nicht unbedingt 2 Paketfilter (Firewalls etc.) notwendig. Die meisten Hardware-Firewalls (Cisco-PIX etc.) haben 3 Ethernet Interfaces. Davon je 1 für WAN, LAN und DMZ. Wenn genug Zeit vorhanden ist werd ich mich mal an die Überarbeitung machen.

MaPi


Das Bild ist in der Tat nicht wirklich passend.

fixed Firnacarl 18:16, 9. Jun 2006 (CEST)

Gibt es innerhalb der Wikipedia die Bilder auch in bearbeitbarer Form, z.B. als Datei in dem Vektorgrafikformat, in dem es erstellt wurde? Ist der Autor bekannt?

Anyway, der Begriff "DMZ" ist völlig verwässert und wird wahllos für Netze gebraucht, die vom Sicherheitslevel irgendwo zwischen dem bösen bösen Internet und dem internen Netz mit internen Servern und Arbeitsstationen angesiedelt sind. Das ist jammerschade, weil es die Kommunikation massiv erschwert.

In heutigen Architekturen mit üblicherweise "mehrbeinigen" Firewalls passt der Begriff DMZ am besten auf die "Transfer"-Netze, die die Daten zwischen unterschiedlichen Firmen, z.B. der lokal betrachteten Unternehmen, deren Internetprovider und/oder deren Geschäftspartnern aufgebaut sind. Heutzutage stellt man in diese Netze allerdings keine Server mehr, sondern legt für diese Server eigene Netze an, die ich gerne als "Servicenetze" bezeichnet wüsste. Ein Beispiel liefer ich nach.


Marc 'Zugschlus' Haber

 

Also die Zone.png aktuelle Darstellung ist nicht gerade 'ne DMZ, sondern eher eine Art DMZ-SOHO-Mix. Warum? Weil vom LAN zum Internet die DMZ durchlaufen wird, was ich bis jetzt in keinem der mindestens drei Schema aus dem O'Reilly-Buch gesehen habe. Korrekter wäre:

+----------+
| Internet |
+----------+
     |
+----------+         +----------+
|    PF    |---------|    DMZ   |
+----------+         +----------+
     |
+----------+
|   LAN    |
+----------+

Wobei idealerweise der PF nur eine interne IP hat, also nur aus dem LAN zu erreichen ist, nicht aus dem Internet oder der DMZ. Der PF ist dabei auch nicht im traceroute zwischen DMZ/Internet zu sehen.

Jengelh 19:59, 14. Nov 2005 (CET)

Building Internet Firewalls, ORA. Hier ist angegeben, dass es zwischen "exterior router" und "interior router" das "perimeter network" gibt, welches als DMZ verwendet werden kann. Es gibt eine neue Skizze DmzSchema.png, die beide Varianten darstellt Firnacarl 17:29, 9. Jun 2006 (CEST)

Da man hier eine Bezeichnung aus dem Bereich Militär-Strategie entliehen hat, müsste man sich meiner Meinung nach bei der Verwendung des Begriffs etwas näher an der gewählten Analogie orientieren.

Demnach bezeichnet DMZ lediglich das Netz zwischen meinem/meinen "äußeren" Router(n) und dem Router des ISP.


Internes LAN ----[Firewall]------[Firewall]------DMZ----[ISP Router]--- Internet


Alle Netze zwischen den Firewalls (oder an entsprechenden Interfaces einer Firewall) sind Screened Subnets. In diesen befinden sich dann die jeweiligen Dienste wie Mail-Gateway etc..

Vgl.: Inside Network Perimeter Security - The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems

by Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Fredrick, Ronald W. Ritchey

Wie sieht das der Rest der IT(Security)-Gemeinde?

Andreas Weick, 05. Dezember 2005

die DMZ ist ein screened subnet (SSN). wie zugschlus schon anmerkt, werden bei groesseren installationen gelegentlich mehrere SSN benoetigt. wie viele firewalls an dem setup beteiligt sind, ist nachrangig, solange zwischen DMZ und den beiden gekoppelten netzen ueberhaupt gefiltert wird. ausgehend von der mil. bedeutung des begriffs kann man evtl. postulieren: *braindunb*
- an der grenze zweier sich nicht vertrauender netze (ein labornetz mag ein screened subnet sein, ist aber gewoehnlich keine DMZ)
- ein aus beiden netzen zu erreichendes system (stimmt nur bedingt fuer z.b. webserver, der in der DMZ steht, weil man vor allem die schutzwirkung der FW im blick hat)
- vor allem: das in dem segment keine geraete herumstehen, die nicht unbedingt dort erforderlich sind (z.b. arbeitsplaetze)
=> nicht so einfach abzugrenzen.
historisch betrachtet ist die DMZ der ort fuer systeme "denen man nicht traut"
Definitionsversuch: Eine DMZ ist ein an der Grenze zweier Netzwerke eingerichtetes geschirmtes Netzwerk, das Systeme enthaelt, die von den beiden anderen Netzen betrachtet verschiedene Grade an Vertrauenswuerdigkeit besitzen. fuer das lemma ist das wohl zu abstrakt. :-) Firnacarl 18:01, 9. Jun 2006 (CEST)

Spricht etwas gegen die Verschiebung zum deutschen Namen "Umkreisnetzwerk"? Stern 17:05, 6. Dez 2005 (CET)

Habe es jetzt einfach mal gemacht. Stern 19:35, 4. Jan 2006 (CET)
Wieso wurde es rückverschoben? Habe ich was übersehen? Würde mich über eine kurze Begründung freuen. Stern 11:01, 19. Jan 2006 (CET)
Mir gefällt Umkreisnetzwerk auch besser -- und eine Begründung/Diskussion vor dem Rückverschieben wäre durchaus angebracht gewesen. Es hat einen Monat lang niemand dem Vorschlag widersprochen, da ist ein kommentarloser Revert nicht gerade feiner Umgangston. -- H005 11:59, 19. Jan 2006 (CET)
Falls also keine Einwände bestehen, würde ich es demnächst wieder nach Umkreisnetzwerk verschieben. Demnächst bitte Rückverschiebungen wenigstens kurz begründen. Stern 12:58, 7. Feb 2006 (CET)
Meine Unterstützung hast du. -- H005 13:24, 7. Feb 2006 (CET)
Umkreisnetzwerk entfernt, da kein zwingender Bestandteil einer DMZ.

Hallo, ich werde aus dem Artikel hier überhauptnicht schlau. Eigentlich ist das Zuweisen eines Rechners in die DMZ doch nichts anderes als "default port forwarding". Der Rechner, der vom Router in eine DMZ gestellt wurde, werden alle Ports zugewiesen, die nicht gefiltert bzw. nicht zu anderen Rechnern umgeleitet worden sind. So verhält sich das jedenfalls in meinem Netzwerk. Vielleicht kann man das ja noch irgenwie in den Artikel einbauen, weiß aber gerade nicht wie und stelle es hiermit zur Diskussion.

Gruß Lisi


He Lisi, von was du sprichst ist nur eine SOHO DMZ. Also das was die meisten Router als DMZ bezeichnen ist net mehr als ein forwarding port.
siehe en:DMZ_host Ich habe das mal unter Pseudo DMZ angedeutet. --Muffin 12:00, 4. Mär 2006 (CET)
Ich würde das nicht mal "Pseudo-DMZ" nennen. Wenn der Dialup-Router einfach alle einkommenden Verbindungen, die er nicht zuordnen kann, an einen Default-Host weiterschickt, ist dieser Host ein "Exposed Host". Wäre es eine echte DMZ müsste dieser Host eine offizielle IP haben oder es müsste via statischem NAT eine offizielle IP auf ihn abgebildet werden.
Demilitarized Zone ist die wesentlich gebräuchlichere Bezeichnung (von Umkreisnetzwerk dürften die meisten Leute, selbst die, die professionell Firewalls aufsetzen, noch nie gehört haben). Deshalb zurückverschoben. --Elian Φ 11:29, 20. Mär 2006 (CET)

Darstellungsfehler

Bearbeiten

sowohl firefox als auch opera produzieren hier darstellungsfehler im abschnitt "fallbeispiel mailserver", siehe [1] und [2]. mfg. --Theclaw 17:33, 15. Jun 2006 (CEST)

Ich habe <br clear="all"/> am Ende des jeweiligen Absatzes eingefügt. Sind die Darstellungsprobleme damit behoben? --Fomafix 18:40, 15. Jun 2006 (CEST)
sorry für die etwas späte antwort. najo, sieht zwar besser aus aber manche absätze sind immer noch eingerückt. ned so geil halt. muss ja nicht unbedingt sein dass die bilder auf selber höhe wie die absätze sind oder? dank der bildunterschriften sollte es ja nicht all zu schwer fallen die bilder zuzuordnen ;) mfg --Theclaw 22:38, 17. Jun 2006 (CEST)

Dieser Satz klingt für mich Seltsam:

Bearbeiten

"Das Risiko für den Server ist also gering, aber wenn er mal kompromittiert hat er ungehinderten Zugriff auf das interne Netz."

Ich bin nicht sehr tief in der Materie drin, aber dieser Satz klingt für mich irgendwie komisch. ja das ist so alles richtig. allerdings würde ich mal den unterschied mal zwischen wan und lan erklären

Aussprache

Bearbeiten

Kann jemand etwas zur üblichen englischen/amerikanischen Aussprache der Abkürzung sagen? Ich war neulich recht erstaunt, einen Ami von DieEmSie statt DieEmSed reden zu hören. Er meinte eindeutig die DMZ seiner IT-Struktur. --Jörg-Peter Wagner 07:27, 22. Mär. 2007 (CET)Beantworten

Hallo Joerg-Peter, er hat also "DMZ" so ausgesprochen, wie Du "DMC" aussprechen wuerdest? Gut beobachtet! Der Buchstabe "Z" wird im Englischen normalerweise "zed" (/zɛd/) ausgesprochen, historisch bedingt mancherorts aber auch "zieh" (/ziː/), so dass es vom "C", welches wie "sieh" (/siː/) ausgesprochen wird, akustisch kaum zu unterscheiden ist. Genauere Details findest Du im Englischen Wikipedia-Artikel zum Buchstaben Z. Gruss, ---volty » wanna talk? 19:44, 16. Apr. 2007 (CEST)Beantworten
Die Tatsache, dass ein Buchstabe im Amerikanischen generell anders ausgesprochen wird als im Englischen ist irgendwie trivial, aber dennoch bin ich nicht drauf gekommen, dass das der Fall sein könnte. Ich hielt die abweichende Aussprache von DMZ für einen Sonderfall, den ich mir nicht erklären konnte. Wie Opa sagte: Gebschd alt wie e Kuh, lernschd als noch dezu. Dank Dir, Volty! --Jörg-Peter Wagner 01:46, 17. Apr. 2007 (CEST)Beantworten

Allgemeinverständlichkeit

Bearbeiten

Hallo. Mich dünkt der Artikel noch nicht so verständlich, wie er m.E. noch werden könnte. Da werden öfter Wörter verwendet und davon ausgegangen, dass man die versteht, wie z.B. "Perimeternetz", "Perimeterrouter", "Exposed Server". Es wird auch auf anscheinend bekannte Aussagen/Vorgehensweisen eingegangen, ohne diese vorher (genügend) zu erklären, z.B. heisst es, Port Forwarding sei besser. Es wird aber nicht gesagt, was mit Port Forwarding in diesem Fall gemeint ist (welche Ports werden wie geforwardet?). Ausserdem kann man zwei Methoden nur vergleichen, wenn man das Ziel kennt. Was ist der Zweck eines Exposed Server resp. Port Forwardings?

Was ausserdem erheblich zum Verständnis beitragen könnte, ist, wenn zu den Abschnitten jeweils ein Schema abgebildet wäre, das die im Text erklärte Infrastruktur noch veranschaulicht.

Lieber Gruss, --Chiccodoro 09:51, 15. Sep. 2008 (CEST)Beantworten

Nachtrag: Falls ihr denkt, dass man Wörter wie "Exposed Server" halt kennen muss, so sollten sie zumindest entsprechend verlinkt sein.

Exposed Host als „Pseudo-DMZ“: NAT vs. PAT

Bearbeiten

"Dabei kann man die IP-Adresse eines Rechners im internen Netz angeben, an den alle Pakete aus dem Internet weitergeleitet werden, die nicht über die NAT-Tabelle einem anderen Empfänger zugeordnet werden können"

Ist hier nicht die PAT-Tabelle gemeint? Die Hersteller der Router bezeichnen dies oft als NAT, gemeint ist aber Port Address Translation, da eine öffentliche IP-Adr. auf mehrere intere IP-Adr. abgebildet werden. Siehe auch den NAT-Artikel der englischen Wikipedia (der deutsche hat ähnliche Probleme...)

--91.15.124.12 11:07, 10. Dez. 2012 (CET)Beantworten

Sicherheit von Exposed Hosts

Bearbeiten

natürlcih sind wir hier in einem Artikel zu externen Firewalls aber da wo der "Exposed Host" als DMZ beschrieben wird geht es im normalfall um Router mit primitiver NAT (Die eben sicherheistechnisch nicht wirklich viel bringt auch wenn sie gerne so beworben wird) und der Idee internetfähige Rechner an's Internet anzuschließen. Es gab in den letzten 10 Jahren praktsich keine Angriffe (Ich glaube genau eine DOS auf windows und ICMPv6 nachrichten), die einem gängiges OS probleme bereitet hätten, aber durch die typische NAT verhindert würden. Und die Dinste sind ja auch bei einfachem port-forwarding erreichbar. Den halben abschnitt mit den Gefahren zu füllen finde ich da schon stark übertriben. Ein satz, dass der Host danach nicht mehr durch die routerfirewll geschützt wird reicht und ist auch wesentlich infromatiever als diese komischen Warnungen. --Fabiwanne (Diskussion) 23:19, 27. Feb. 2014 (CET)Beantworten

Achso der Englsiche Artiukel ist da um längen Besser, weil er die wirklichen Probleme einer solchen Konfiguration anspricht. Soll ich das einfach übersetzen und das aktuelle hier damit ersetzen? Ich glaube da wird sonst auch nach 10 verbesserungen kein guter Abschnitt draus. Ich glaube das wäre einfach eine weit bessere Grundlage. --Fabiwanne (Diskussion) 20:59, 7. Mär. 2014 (CET)Beantworten