8
internetserver?
Ich habe ein frage spiziell routing. Ich habe ein netz mit vielen Maschinen . Diese PC führen über einen switch zu einem router, dieser router wiederum führt über WAN ins internet und Zusätzlich auch zu internet servern. Was haben diese Internet Server führ eine Aufgabe?
Was ist der sinn und zweck? Ich habe schon einiges darüber gelesen aber nicht schlau werden können.
MFG Sch0rsch
Bild:
Was ist der sinn und zweck? Ich habe schon einiges darüber gelesen aber nicht schlau werden können.
MFG Sch0rsch
Bild:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 112919
Url: https://administrator.de/contentid/112919
Printed on: April 20, 2024 at 09:04 o'clock
8 Comments
Latest comment
Bereitstellung von Internetseiten, FTP downloads etc.
Was da detailiert drauf läuft ist schwer zu sagen.
Was da detailiert drauf läuft ist schwer zu sagen.
Diese Server können alle möglichen Server sein, z.B. Webserver einer Firma, VPN Server zum Einloggen von remoten Mitarbeitern, FTP Server zum Download von Daten, und und und....
Das ist doch ein ganz banales Szenario was zigtausendfach im Einsatz ist so ???
Das ist doch ein ganz banales Szenario was zigtausendfach im Einsatz ist so ???
Was du suchst ist eine DMZ und was das Bild zeigt ist, wie man es vermeiden sollte einzurichten ;)
Die Intention dahinter ist ganz einfach: Du hast in deiner Firma einen Server, der sowohl vom Intranet als auch vom Internet aus erreichbar sein soll (z.B. Mailserver).
Natürlich möchte man aber auch nicht, dass der Server direkt in deinem Intranet mit drin ist, denn wenn er kompromittiert wird ist das ein hohes Risiko.
Darum kommt er in eine Demilitarized Zone:
Deine Server sind so per Firewall vor Angriffen geschützt und dein Intranet per Firewall vor den Servern...
Grüße
Max
Die Intention dahinter ist ganz einfach: Du hast in deiner Firma einen Server, der sowohl vom Intranet als auch vom Internet aus erreichbar sein soll (z.B. Mailserver).
Natürlich möchte man aber auch nicht, dass der Server direkt in deinem Intranet mit drin ist, denn wenn er kompromittiert wird ist das ein hohes Risiko.
Darum kommt er in eine Demilitarized Zone:
Internet <--> Firewall <------> Firewall <---> Intranet
|
DMZGrüße
Max
@dog
Wieso sollte man so eine DMZ vermeiden ??? Das ist ein absolut übliches und gängiges Design im Router Umfeld !!
Gerade mit Cisco Routern die entsprechende Accesslisten intern haben und auch eine Firewall Funktionalität ein entsprechendes IOS Image vorausgesetzt !
Wieso sollte man so eine DMZ vermeiden ??? Das ist ein absolut übliches und gängiges Design im Router Umfeld !!
Gerade mit Cisco Routern die entsprechende Accesslisten intern haben und auch eine Firewall Funktionalität ein entsprechendes IOS Image vorausgesetzt !
Weil die Sicherheit aller Hosts hier auf einem Gerät beruht.
Sprich, wenn der Cisco einen Bug hat sind Intranet und DMZ betroffen.
Darum sollte man zwei physikalisch getrennte Firewalls (idealerweise auch noch von anderen Herstellern) verwenden, so dass bei einer Sicherheitslücke in einem der Geräte nicht gleich alles angegriffen werden kann
Sprich, wenn der Cisco einen Bug hat sind Intranet und DMZ betroffen.
Darum sollte man zwei physikalisch getrennte Firewalls (idealerweise auch noch von anderen Herstellern) verwenden, so dass bei einer Sicherheitslücke in einem der Geräte nicht gleich alles angegriffen werden kann
Na ja, etwas übertrieben, finde ich. Entweder funktioniert die DMZ, oder nicht. Ein Router fault doch nicht weg, so daß seine Sicherheitseinstellungen erodieren....
Gruß, Arch Stanton
Gruß, Arch Stanton
Für daheim oder unwichtige Netze, die schnell reinstalliert sind, mag das sicherlich etwas übertrieben sein und da stellt sich die Kostenfrage.
Wenn ein lokales Netz aber sensible Daten enthält, kann der Aufwand gar nicht groß genug sein! Wenn die neuste Softwareentwicklung plötzlich futsch ist oder von der Konkurrenz zuerst veröffentlicht wird...
Ein kleiner Fehler in der NAT-Config und die DMZ könnte unerwünschte Zugriffsrechte auf das lokale Netz bekommen. Hat der Angreifer einen Rechner aus der DMZ unter Kontrolle, ist es immer noch besser, wenn er erst noch eine separate Firewall hin zu den sensiblen Daten durchbrechen muß.
Und selbst ein Windowssystem fault nicht weg, aber es werden immer wieder neue Sicherheitslücken entdeckt, die dann erst nachträglich gepatcht werden.
Wenn ein lokales Netz aber sensible Daten enthält, kann der Aufwand gar nicht groß genug sein! Wenn die neuste Softwareentwicklung plötzlich futsch ist oder von der Konkurrenz zuerst veröffentlicht wird...
Ein kleiner Fehler in der NAT-Config und die DMZ könnte unerwünschte Zugriffsrechte auf das lokale Netz bekommen. Hat der Angreifer einen Rechner aus der DMZ unter Kontrolle, ist es immer noch besser, wenn er erst noch eine separate Firewall hin zu den sensiblen Daten durchbrechen muß.
Und selbst ein Windowssystem fault nicht weg, aber es werden immer wieder neue Sicherheitslücken entdeckt, die dann erst nachträglich gepatcht werden.
wenn die DMZ richtig eingerichtet ist, dann ist sie zum LAN hin geschlossen und zu, basta!
Gruß, Arch Stanton
Gruß, Arch Stanton
