Sollte Ihr Web-Server doch einmal erfolgreich attackiert werden (wer kommt schon immer mit dem patchen nach, besonders wenn es sich um Microsofts IIS handelt), dann haben die Hacker nicht viel gewonnen, denn an die LAN-Rechner kommen sie erst heran, wenn auch die Checkpoint FW gefallen ist. Eine DMZ verschafft Ihnen also Zeit auf einen Angriff zu reagieren, bevor die lebenswichtigen Systeme angegriffen werden.
Dabei ist die DMZ auch schon geschützt, denn da Sie nur einen Web-Server im Innern der DMZ betreiben, wird der Router zum einen
- nur Anfragen für Port 80, den klassischen Kommunikations-Port für Web-Server durchlassen und alle anderen Datenpakete verwerfen,
- via NAT die öffentliche IP-Adresse (z.B. 80.214.6.34) in eine private, dem Hacker unbekannte, IP-Adresse (z.B. 192.168.1.10) umwandeln.
Ein Beispiel
Jemand scannt Ihr Netz und sucht nach offen WWW-Ports (Port 80). Ihr Web-Server wird gefunden, jeder Amateur-Hacker wird sich freuen und denken, dass er einen Rechner gefunden hat, der direkt ans Internet angeschlossen ist und auf dem ein Web-Server läuft, ohne dass es der Nutzer weiß. Er wird also die Verbindung aufbauen und versuchen die Maschine zu knacken. Selbst dies wird sehr schwierig sein, denn da der Web-Server über eine private IP angesprochen wird hat er – was das Internet angeht – überhaupt keine sichtbare IP-Adresse und ist deshalb auch nicht erreichbar. Wenn Sie also diese IP-Adresse nicht an den Router weitergeben, wird ein Scan erfolglos sein.
Aber gesetzt den Fall, der Einbruch klappt, was hat der Hacker davon? Nicht sehr viel, nur einen Web-Server in Mimimal-Konfiguration ohne Zugriff auf das interne LAN. Wenn die interne Firewall so konfiguriert ist, dass sie sämtliche Anfragen aus der DMZ einfach verschluckt, wird der Hacker keine Chance haben – er starrt in ein schwarze Loch und kommt nicht weiter.
Was bleibt ihm? Entweder verlässt er Ihr Netzwerk sofort oder er zerstört vorher noch Ihren Server. Dieser Schaden hält sich aber in Grenzen, da Sie den Server in jedem Fall hätten neu aufsetzen müssen. Deshalb: Backup nicht vergessen!
Neueste Kommentare
5 Kommentare zu DMZ – Demilitarisierte Zonen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
DMZ
Ich bin angehender It-Systemelektroniker und habe auf Ihrer Seite eine Menge informatives zu diesem Thema gefunden.
Vielen Dank
DMZ
cool
DMZ
sory, ich habe vergesen.
Vielen Dank
DMZ – Danke
Danke für den Bericht. Beschäftige mich durch die Schule mit dem Thema und der Artikel hat mir geholfen das Prinzip grundlegend zu verstehen.
Also:
Danke :)
DMZ
Danke.
Verständliche Erklärungen und aufs Wesentliche beschränkt.