Ich hatte vor kuzrem ein Post von (wenn es mich richtig erinnere von MathiasS) gelesen, in dem er schrieb, das es wohl kein Problem ist den HS in der DMZ zu betreiben.

Ich kann mir, auch bei meinen beschränkten Netzwerkkenntnissen, keine wirkliche Gefahr vorstellen.

Über den HS kommt man sicher nicht ins Netz. (Linux eben)


EDIT: PW'ter sollten schon vergeben werden ;-)

Ich würde mir erklären lassen was der Kunde genau mit DMZ meint. Das ist genauso ein schwammiger Begriff wie Firewall. Im Prinzip kann man den HS dort sicher unterbringen, aber die Frage ist ob das sinnvoll ist. Mein HS kann z.B. die Wohnungstür öffnen. Daher habe ich den lieber im internen Netz als in der DMZ. Allerdings will der Kunde ja evtl. von extern darauf zugreifen ...

Ich schließe mich babel voll an!
!!!
Was soll die DMZ bezwecken, bzw warum soll der HS/FS in die DMZ?

Eine DMZ soll grundsätzlich dazu dienen, von 2 Netzten (z.b. einem "sicheren" und einem "unsicheren") zugänglich zu sein, aber aus der DMZ sollen die anderen Netze grundsätzlich nicht zugänglich sein.

Das wirft im konkreten Fall 2 Fragen/Möglichkeiten auf:
1) Der HS/FS soll von außen und innen zugänglich sein - dann wäre die DMZ eine Möglichkeit. Bedeutet aber, dass der HS keine Telegramme (bei richtiger Konfig der DMZ) in das "sichere" Netz senden kann. -> Will man das wirklich?
Vorteil wäre, wenn der HS/FS "gehackt" wird, erreicht der Angreifer nichts im "sicheren" Netz. Andererseits könnte dann natürlich das Haus "ferngesteuert" werden - sieh Anmerkung mit Wohnungstüre auf...
2) Der HS/FS steht im "sicheren Netz" - dann sollte er grundsätzlich nicht von außen zugegriffen werden können, der HS/FS kann sich aber im "sicheren" Netz mit Telegrammen austoben...

Wenn man nur auf Stati, oder Bilder von Cams von außen zugreifen will, bietet es sich an, den HS/FS diese Bilder per ftp an einen Server in der DMZ zu senden. So werde ich das bei mir regeln...

Noch 2 Anmerkungen: Ich persönlich glaube nicht das der HS/FS einfach "gehackt" werden kann - und Passwörter stellen nur einen SEHR BESCHRÄNKTEN Schutz dar (Verbindung belauschen, Bute-Force-Attack, ...)

Hallo,

ich moechte meinen beiden Vorrednern etwas widersprechen. Ich denke, den HS und den IP-Router in eine DMZ zu stellen ist nicht so unsinnig. Ich habe das hier auch so gemacht. Das Risiko ist einfach geringer.

Sollte auf dem HS ein Unbefugter, auf welchem Wege auch immer, Zugriff bekommen, hat er "nur" den HS und kann sich auf dem und auf'm EIB austoben. In diesem Fall hat der Unbefugte dann nicht auch gleich Zugriff auf das interne LAN.

Die Zugriffe zwischen der DMZ und dem Internet und der DMZ und dem internen LAN sind per Regelwerk auf der Firewall (hier eine Cisco ASA-5510), welche die DMZ meist mitttels einem physikalischen- oder VLAN-Interface zur Verfuegung stellt, ganz streng zu reglementieren.

Damit kann man dann auch noch steuern, wer aus dem internen LAN ueberhaupt mit dem HS kommunizieren darf. Wenn ich an der richtigen Stelle im LAN sitze, habe ich das Login/Password sofort, wenn sich am HS jemand angemeldet hat. Nicht jeder Azubi-PC braucht ueber LAN bzw. auf Layer3 Zugang zum HS.

Man wird dann nur die wirklich benoetigten Ports (z.B. tcp/80), IP-Adressen bzw. User freigeben und noch ein wenig ruhiger schlafen....

Naja, wollt ja nix mehr posten aber bei solchen Behauptungen kann ich einfach nicht nur widerstehen.

Das was Du hier als Grundsätzlich beschreibst ist deine falsche Interpretation der DMZ und kann in diesem konkreten Fall für viel verwirrung sorgen.

Punkt 1: Eine DMZ soll grundsätzlich dazu dienen, von 2 Netzten (z.b. einem "sicheren" und einem "unsicheren") zugänglich zu sein

Falsch! Grundsätzlich sind in der DMZ alle Server unter zu bringen die von aussen zugänglich sind um diese vom Internen, sicheren Netzwerk zu trennen. Falls nötig kann dann auch von innen drauf zugegriffen werden. Die DMZ iszt jedoch nicht dazu da griundsätzlich von beiden Netzen zugänglich zu sein.

Punkt 2: aber aus der DMZ sollen die anderen Netze grundsätzlich nicht zugänglich sein.

Falsch! Es ist sehr wohl möglich, und in den meisten Fällen auch nötig dass Server der DMZ zugriff auf das Interne Netz haben.

Ich beuge mal solchen Sätzen wie "Ich weiss, aber ich sagte ja Grundsätzlich" etc... vor: Folgendes Zitat zeigt genau wie es gemeint war:

Es ist sehr wohl zulässig dass bei richtig konfigurierter DMZ der FS auf das Interne Netz zugreift.

Worauf nun achten wenn der FS in der DMZ liegt ? Das iat nicht so einfach und hängt vom Projekt ab und vom Typ der Firewall also nicht pauschal zu beantworten. Der FS gehört allerdings nur in die DMZ wenn er auch von aussen zugänglich sein soll.

Ob der EIB/IP Router in die DMZ oder ins interne Netz gehört, darüber lässt sich diskutieren. Rein formal sicherheitstechnisch gesehen würde er in das interne Netz gehören, aber eine Unterbringung in die DMZ lässt sich argumentieren.

Gruss,
Gaston

Schön dass dich mein Tread wieder "aufgeweckt" hat

@ Gaston:
Da schriftliche Diskussionen mit Dir immer besonders spannend sind , möchte ich hier noch ein wenig anmerken :

Um die Verwirrung perfekt zu machen hier mal eine Definition aus der Wikipedia:
Ich lasse das jetzt unkommentiert, da ich unterstelle das wir von der selben Sache sprechen!

Der Punkt auf den ich hinaus will ist der letzte Satz:
Selbstverständlich kann ich die Firewall dann so konfigurieren, dass bestimmte Ports weitergeleitet werden, damit weiche ich aber per se die "Sicherheit" einer DMZ auf. Das soll jetzt nicht heißen, das es unzulässig ist, aber es muss darauf hingewiesen werden!

Grundsätzlich stimme ich Dir zu, aber wenn der FS von der DMZ ins interne Netz kann, dann kann auf dem selben Weg möglicherweise auch jemand unbefugter hinein!

So sehe ich das auch!!
Den FS nur in die DMZ wenn er von aussen zugänglich sein soll, und dann genau überlegen welche Risiken man eingeht, wenn gewisse Ports von der DMZ ins interne Netz geöffnet werden.

Im professionellen Bereich wäre auch eine Bedrohungsanalyse notwendig, um abschätzen zu können welche Gefahren drohen. Wenn das Pentagon mit EIB betrieben wird vermute ich mal, das der FS nicht in der DMZ landet, da das Risiko zu groß wäre, für einen normalen Häuselbauer wird es aber tragbar sein ...

Wenn der Sicherheitsgedanke präsent ist, und nicht darauf vergessen wird ist man schon mal auf dem richtigen Weg

Welcome back!

Ach ich hab gar keine Lust noch gibt es überhaupt etwas darüber zu diskutieren Ich arbeite an Firewalls seit anfang der 90er Jahren als es noch keien komerziellen Firewalls gab sondern nur einige customized Lösungen die grosse Firmen für sich selbst gestrickt hatten. Damals war ich in der Internet Forschung und habe meine Kenntnisse darüber als Dozent an Studenten weitergegeben, woraus sich später meine Tätigkeit als Sicherheitsfirmenberater ergab. Ich bin also bestens plaziert DMZ selbst zu definieren, und ja der Wikipedia Schreiber sorgt für etwas verwirrung mit seinem Beitrag der so nicht ganz stimmt.

Die DMZ dient wie gesagt grundsätzlich dazu einen Server der von aussen zugänglich sein muss unterzubringen. Punkt!

Folgender Satz von Wikipedia ist somit falsch, oder zumindest irreführend:
Natürlich kann ein Server in der DMZ vom sicheren internen Netzt aus erreichbar sein, aber dies ist nicht der Sinn der DMZ !

Grundprinzip ist also (nochmals): Jeder Server der aus dem Internet (bzw. unsicheren Netz) erreichbar sein muss, gehört grundsätzlich in die DMZ, und nix anderes. Dies ist wie gesagt das Prinzip!

Server aus der DMZ die ins interne Netz zugreifen sind dabei keine Seltenheit: Email-server (bei grossen Unternehmen), e-banking, e-shops,...

Der Sinn der DMZ ist es vom Internet nur eingeschränkten Zugriff auf den Server zu geben und zum anderen falls der Server Zugriff auf das interne Netz benötigt diesen auch soweit wie möglich zu beschränken, weshalb man den Server weder ins interne Netz noch direkt auf externe Netzt hängen tut.

Es ist schon bemerkenswert, sowohl von Studenten wie auch Unternehmen höre ich immer wieder "Pentagon-Beispiele" . Diese klingen meistens sehr gut sind aber in den meisten Fällen an der realität vorbei oder lassen sich auf ein simples x-beliebiges Grundsatzbeispiel reduzieren. Letzteres trifft auf dein Beispiel zu: Das Pentagon würde den HS nicht in die DMZ tun weil er nicht von aussen zugänglich sein sollte (weil u.a. keine TCSEC klassifizierung möglich ist). Somit ist es einfach das Grundprinzip.

OT: In einer Bastion wie das Pentagon hängen nur sehr wenige rechner in einer DMZ, nähmlich nur die die zum sicherern Netzwerk Zugriff benötigen. Alle anderen sind in eigenen gesicherten Netzen (nicht DMZ). Dei Firewall selbst ist mehrstuffig mit virtuellen Firewalls und Honeypots ausgestattet. Ausserdem sind die DMZ Rechner mit entsprechend sicherem Betriebsystem ausgerüstet wie z.B. SEVMS (Security Enhanced OpenVMS) mit B1 Sicherheitslevel. Mit der embeded Linux Version ist kein C2 zu schaffen (absolutes Sicherheits minimum für externen Gebrauch), und für eine DMZ unterbringung würde wahrscheinlich mindestens B1 gefordert.

Back to topic:

Wenn es also gefordert wird dass der HS durchgängig (also nicht nur zu Wartungszwecken) von aussen zugänglich sein muss dann gehört er in die DMZ. Falls es nur zu Wartungszwecken ist (sprcih eher selten von aussen drauf zugegriffen wird) kann man Ihn unter Umständen auch ins interne Netz stellen. Dies hängt aber von verschiedenen Faktoren ab, also grundsätzlich doch in die DMZ.

Der Zugrif auf interne Netz sollte auf ein minium reduziert werden (grundsatz). Z.B.: Schaltzeitren vom FTP server, oder email versand. Hier kann man keine pauschale Aussage machen. Diese Zugriffe kann man Grundsätzlich vermeiden wenn z.B. die emails an einen externen mailserver (oder an den bestehenden in der DMZ) sendet und dieser sie dann nach innen leitet (single path), und die Zeiten z.B. auf einen externen FTP server geschoben werden. Es könnte jedoch sein dass die emails sensitive Daten oder die Schaltzeiten sehr wichtig sind und dies somit nicht möglich sei.

Muss der HS auf das interne Netz zugreifen so ist eine Sicherheitsimpaktstudie fällig. Dies kann wohl kaum Aufgabe eines Systemintegrators sein, dies bedarf eines guten Internet Sicherheitsexperten. Da die Sicherheit des HS nur geschätzt werden kann muss also der interne zugriffs Pfad so gut wie möglich gesichert sein, da dieser die minimale Sicherheitsstufe der Gesammtlösung festlegt.

Gruss,
Gaston

@Michel & Helmut

Danke, aber freut (oder befürchtet das schlimmste ) nicht zu früh. Im Moment bin ich nur im "Gewissenswächtermodus" . Mal sehen wie's weiter geht...

Gruss,
Gaston