[Firewall] Vorsicht Falle: Viele DMZ sind gar keine

Supernature

Und jetzt?
Teammitglied
Vorsicht Falle: Viele DMZ sind gar keine

Vorsicht Falle: Viele DMZ sind gar keine

Ein typisches Anwendungsszenario in einem kleinen oder mittleren Netzwerk:
Ein Rechner dient als externer Web- oder FTP-Server, auf ihm laufen Filesharing
oder ähnliche Programme, die eingehende Verbindungen erlauben müssen, um ihren Dienst zu tun.
Um nicht zahlreiche Ausnahmen konfigurieren zu müssen, stellt man diesen Rechner in eine DMZ
(demilitarized Zone).

Die DMZ ist ein separates Netz zwischen Internet und dem lokalen Netzwerk.
Auf den Rechner in der DMZ kann aus dem Internet zugegriffen werden, vom übrigen
LAN ist dieser jedoch getrennt. Erlangt ein Angreifer Zugriff auf den Rechner in
der DMZ, kann er sich also nur dort austoben.

Viele Router für den Heimbereich haben ein Feature, das sich DMZ nennt.
Die Falle dabei: Meist handelt es sich gar nicht um eine DMZ, sondern um
einen „exposed Host“. Der Rechner ist frei aus dem Internet zugänglich und bleibt
auch ins lokale Netz eingebunden – „Tag der offenen Tür“ also für alle böswilligen
Angriffe.

Ob der eigene Router das DMZ-Feature wirklich beherrscht, lässt sich leicht herausfinden:
Man setzt von dem als DMZ konfigurierten PC einen Ping auf einen anderen Rechner
im Netzwerk ab. Wenn das funktioniert, hat man es mit einem exposed Host zu tun und
sollte das schleunigst ändern, also mit Portforwarding-Regeln arbeiten.
 
Oben