Der Zweck einer DMZ
Eine DMZ soll einen Speicherort für Dienste bereitstellen, die zu einer Organisation gehören, aber weniger vertrauenswürdig oder stärker anfällig für Kompromittierungen sind. Beispiele für Systeme, die üblicherweise in einer DMZ bereitgestellt werden, sind:
- Webserver
- DNS Server
- Mail-Server
- FTP-Server
Alle diese Systeme müssen öffentlich zugänglich sein. Allerdings sind sie alle auch potenziell anfällig für Kompromittierungen (z. B. durch Ausnutzung der Schwachstelle der Webanwendung) oder könnten für einen Angriff verwendet werden, z. B. durch die Verwendung von DNS zur Verstärkung von DDoS-Angriffen (Distributed-Denial-of-Service).
Eine DMZ ermöglicht es einer Organisation, mit dem Internet verbundene Funktionen offenzulegen, ohne den Rest ihrer internen Systeme zu gefährden. Während in der DMZ befindliche Systeme möglicherweise Zugriff auf interne Systeme und sensible Daten haben – etwa die in Datenbanken gespeicherten und von Webanwendung genutzten Kundendaten – werden Verbindungen zwischen diesen DMZ-basierten Systemen und internen Systemen zusätzlich auf schädliche Inhalte überprüft.
DMZ-Netzwerkarchitektur
Eine DMZ ist ein isoliertes Subnetzwerk innerhalb des Netzwerks einer Organisation. Die DMZ wird durch zwei streng segmentierte Grenzen definiert: eine zwischen der DMZ und dem nicht vertrauenswürdigen externen Netzwerk (dh dem Internet) und eine zwischen der DMZ und dem vertrauenswürdigen internen Netzwerk.
Diese Grenzen zwischen der DMZ und anderen Netzwerken werden streng durchgesetzt und geschützt. Eine Organisation wird an beiden DMZ-Grenzen Firewall bereitstellen. Diese Firewall der nächsten Generation (NGFWs) überprüfen den gesamten Datenverkehr, der die Netzwerkgrenze überschreitet, und können schädliche Inhalte erkennen und blockieren, bevor sie die Grenze vom Internet zur DMZ oder von der DMZ zum geschützten internen Netzwerk überschreiten.
Diese Netzwerk- Firewall sind für die Sicherheit der DMZ von entscheidender Bedeutung, da sie die Möglichkeit haben, Zugriffskontrollen zwischen der DMZ und internen Systemen durchzusetzen. Diese Zugriffskontrollen sind von entscheidender Bedeutung, um das Risiko zu minimieren, dass ein kompromittiertes System interne Systeme gefährdet und dass ein Angreifer von einem kompromittierten System aus in der DMZ im gesamten Netzwerk vordringen kann.
Während eine Firewall ausreicht, um die Grenzen einer DMZ zu definieren, kann eine Organisation auch an diesen Grenzen zusätzliche Abwehrmaßnahmen implementieren. Abhängig von den in der DMZ implementierten Diensten möchte eine Organisation möglicherweise eine Web Application Firewall (WAF), eine E-Mail-Scan-Lösung oder andere Sicherheitskontrollen bereitstellen, um die bereitgestellten Dienste gezielt zu schützen.
Vorteile des DMZ-Netzwerks
Durch die Implementierung einer DMZ kann eine Organisation mehrere verschiedene Vertrauensebenen und -zonen innerhalb ihres Netzwerks definieren. Dies bietet einer Organisation eine Reihe von Vorteilen, darunter:
- Schutz von mit dem Internet verbundenen Systemen: E-Mail-Server, Webanwendungen und andere mit dem Internet verbundene Systeme benötigen Zugriff auf sensible Daten und müssen daher vor Angriffen geschützt werden. Durch die Platzierung dieser Systeme in der DMZ sind sie für das öffentliche Internet zugänglich und dennoch durch die externe Firewall geschützt.
- Schutz interner Systeme: Einige Systeme in der DMZ (z. B. FTP-Server) stellen eine Bedrohung für die Systeme im Netzwerk einer Organisation dar. Durch die Platzierung dieser Systeme in einer DMZ wird sichergestellt, dass zwischen diesen Systemen und dem internen Netzwerk der Organisation eine weitere Ebene der Sicherheitsüberprüfung besteht.
- Eingeschränkte laterale Bewegung: Cyberangreifer nutzen häufig ein System aus, um in einem Netzwerk Fuß zu fassen, und erweitern dann von dort aus ihren Zugriff. Da sich die anfälligsten und ausnutzbarsten Systeme in der DMZ befinden, ist es schwieriger, sie als Stützpunkt zu nutzen, um Zugang zum internen geschützten Netzwerk zu erhalten und dieses auszunutzen.
- Verhindern von Netzwerk-Scans: Angreifer scannen häufig das Netzwerk von Organisationen, um Computer und Software zu identifizieren, die möglicherweise anfällig für Angriffe sind. Durch die Implementierung einer DMZ wird das Netzwerk so strukturiert, dass nur Systeme, die mit dem Internet verbunden sein sollen, tatsächlich im öffentlichen Internet sichtbar und scannbar sind.
- Verbesserte Zugangskontrolle: Durch die Platzierung einer Firewall zwischen dem internen Netzwerk und den mit dem Internet verbundenen Systemen können alle Verbindungen zwischen diesen Systemen überprüft werden. Dies ermöglicht es der Organisation, Zugriffskontrollen streng zu definieren und durchzusetzen, um die internen Systeme zu schützen.
- Verbesserte Netzwerkleistung: Mit dem Internet verbundene Systeme sind für den häufigen Zugriff durch externe Benutzer konzipiert. Durch die Platzierung dieser Systeme in einer DMZ wird die Belastung der internen Netzwerkinfrastruktur und Firewall verringert und deren Leistung verbessert.
Implementierung einer sicheren DMZ
Eine DMZ bietet einer Organisation eine zusätzliche Schutzebene zwischen dem internen Netzwerk einer Organisation und dem öffentlichen Internet. Durch die Isolierung potenziell anfälliger Systeme in einer DMZ verringert eine Organisation das Risiko für ihre internen Systeme.
Eine DMZ ist jedoch nur dann sinnvoll, wenn die Firewall , die ihre Grenzen verteidigt, in der Lage ist, potenzielle Bedrohungen zu erkennen und strenge Zugriffskontrollen zu implementieren. Um zu erfahren, worauf Sie bei einer NGFW achten sollten, lesen Sie diesen Einkaufsführer. Schauen Sie sich auch gerne diese Demo an , um zu sehen, wie Check Point NGFWs die Sicherheit Ihres Netzwerks verbessern können.
Feedback