6
Verständnisfrage DMZ fuer Webservice
Ich würde gern einen Webservice im Netzwerk implementieren. Dieser soll in der DMZ stehen.
Ich habe eine Firewall im Einsatz. Wenn ich die DMZ richtig verstehe, wird der Rechner, auf dem der Webservice implementiert wird, nicht im gleichen IP-Nummernkreis eingebunden wie die restlichen Rechner ?
Alle Rechner haben also eine IP mit 192.168.0.xx
Mein neuer Rechner bekommt nun z.B 192.168.100.x
Somit hat der Webservice einen eigenen Ip-raum. Um auf einen Rechner im Netzwerk 192.168.0.xx
zugreifen zu können, muss die Anfrage indirekt über die Firewall erfolgen.
Ist das richtig ? Und ist damit der Sinn einer DMZ begründet ?
Vielen Dank im Voraus.
Alle Rechner haben also eine IP mit 192.168.0.xx
Mein neuer Rechner bekommt nun z.B 192.168.100.x
Somit hat der Webservice einen eigenen Ip-raum. Um auf einen Rechner im Netzwerk 192.168.0.xx
zugreifen zu können, muss die Anfrage indirekt über die Firewall erfolgen.
Ist das richtig ? Und ist damit der Sinn einer DMZ begründet ?
Vielen Dank im Voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 89840
Url: https://administrator.de/contentid/89840
Printed on: April 26, 2024 at 13:04 o'clock
6 Comments
Latest comment
Hallo Soa,
ja das kann man so einsetzen.
Damit der DMZ PC aus dem LAN erreichbar ist, musst Du auf der Firewall ein
zweites Interface mit dem DMZ Netz anlegen.
Welche Firewall benutzt Du?
Viele Grüße
ja das kann man so einsetzen.
Damit der DMZ PC aus dem LAN erreichbar ist, musst Du auf der Firewall ein
zweites Interface mit dem DMZ Netz anlegen.
Welche Firewall benutzt Du?
Viele Grüße
DMZ steht für "Demilitarized Zone" (entmilitarisierte Zone).
Das sagt uns nun nicht besonderst viel.
Es soll einfach bedeuten, dass dieses Netz völlig frei aus dem Internet erreichbar sein soll.
In der DMZ stehen Server die aus dem Internet erreichbar sein sollen.
Der Sinn der DMZ ist, dass - falls der Server in der DMZ gehackt wird - kein Zugriff auf Intranet-Server möglich sein soll, da die DMZ VOR der eigentlichen Firewall angebunden ist bzw. zwischen DMZ und Intranet Firewall-Regeln den Zugriff blockieren.
Wenn du nun eine 192.168.100.X IP nimmst, bzw. ein separates Netz für die DMZ bereitstellts, ist das schonmal gut. Zwichen diesem Netz (DMZ) und dem Intranet-Netz muss jedoch der Zugriff blockiert sein (zumindest in der Richtung DMZ>>>Intranet), sonst ist das keine DMZ sondern nur ein zusätzliches Intranet-Subnetz.
Das sagt uns nun nicht besonderst viel.
Es soll einfach bedeuten, dass dieses Netz völlig frei aus dem Internet erreichbar sein soll.
In der DMZ stehen Server die aus dem Internet erreichbar sein sollen.
Der Sinn der DMZ ist, dass - falls der Server in der DMZ gehackt wird - kein Zugriff auf Intranet-Server möglich sein soll, da die DMZ VOR der eigentlichen Firewall angebunden ist bzw. zwischen DMZ und Intranet Firewall-Regeln den Zugriff blockieren.
Wenn du nun eine 192.168.100.X IP nimmst, bzw. ein separates Netz für die DMZ bereitstellts, ist das schonmal gut. Zwichen diesem Netz (DMZ) und dem Intranet-Netz muss jedoch der Zugriff blockiert sein (zumindest in der Richtung DMZ>>>Intranet), sonst ist das keine DMZ sondern nur ein zusätzliches Intranet-Subnetz.
Hallo,
was für eine Firewall verwendest du?
Bei vielen Home-DSL-Routern ist lediglich eine "DMZ-Funktion" implementiert, die alle eingehenden Anfragen auf die IP-Adresse eines bestimmten PC umleitet.
Aus Sicherheitsgründen finde ich es entsetzlich, wenn sich dieser PC im selben Netzwerk befindet wie die normalen LAN-Rechner (selbst wenn er in einem anderen IP-Adressbereich liegt).
Professionelle Firewalls haben für LAN und DMZ getrennte Ports, nur so läßt sich wirklich sicherstellen, das der Datenverkehr zwischen DMZ und LAN über die Firewall fließen muß und dort reglementiert werden kann.
Die Daten vom Internet zur DMZ kömmen dann ebenfalls nicht mit dem LAN-Bereich in Berührung.
mfg
Harald
was für eine Firewall verwendest du?
Bei vielen Home-DSL-Routern ist lediglich eine "DMZ-Funktion" implementiert, die alle eingehenden Anfragen auf die IP-Adresse eines bestimmten PC umleitet.
Aus Sicherheitsgründen finde ich es entsetzlich, wenn sich dieser PC im selben Netzwerk befindet wie die normalen LAN-Rechner (selbst wenn er in einem anderen IP-Adressbereich liegt).
Professionelle Firewalls haben für LAN und DMZ getrennte Ports, nur so läßt sich wirklich sicherstellen, das der Datenverkehr zwischen DMZ und LAN über die Firewall fließen muß und dort reglementiert werden kann.
Die Daten vom Internet zur DMZ kömmen dann ebenfalls nicht mit dem LAN-Bereich in Berührung.
mfg
Harald
Vielen Dank für die Rückmeldung. Derzeit befindet sich eine RC 300 von Securepoint bei uns im Einsatz. Keine Ahnung ob das gut ist. Aber es soll natürlich schon so sein, dass ein Portforwarding zu dem neuen Subnetz zeigen soll.
Zum Beispiel Port 8081 geht auf 192.168.100.20 . Der Server, der sich dort im Einsatz befindet
muss dann schon auf das andere Subnetz zugreifen.
Also hat 192.168.100.20 eine Verbindung zu 192.168.0.230, einem DB-Server. Dann ist es also keine DMZ mehr ?? Aber 192.168.100.20 muss doch durch die Firewall gehen, um 192.168.100.20 anzusprechen. Dann stünde der Server nicht vor, aber irgendwie doch neben der Firewall.
Ist das OK ?
Vielen Dank
Grüße
SOA
Zum Beispiel Port 8081 geht auf 192.168.100.20 . Der Server, der sich dort im Einsatz befindet
muss dann schon auf das andere Subnetz zugreifen.
Also hat 192.168.100.20 eine Verbindung zu 192.168.0.230, einem DB-Server. Dann ist es also keine DMZ mehr ?? Aber 192.168.100.20 muss doch durch die Firewall gehen, um 192.168.100.20 anzusprechen. Dann stünde der Server nicht vor, aber irgendwie doch neben der Firewall.
Ist das OK ?
Vielen Dank
Grüße
SOA
Hallo SOA,
hier scheint ein Missverständniss vorzuliegen, mit Ports meinte ich in meiner Antwort oben LAN-Ports (Hardware-Ports, RJ45-Anschlüsse, oder wie immer du das bezeichnen möchtest), durch die die DMZ und das LAN bereits mit der Verkabelung in unterschiedliche Bereiche getrennt werden.
Securepoint ist eigentlich ein bekannter Hersteller von Firewalls, laut Datenblatt besitzt die RC300-Appliance 6 Ethernet-Ports (http://www.securepoint.de/dokumente/Securepoint_UTM-Appliance_Uebersich ..).
Entsprechend deinem Beispiel oben erfolgt an der Firewall ein Portforwarding (tcp/8081) auf den Server mit der IP 192.168.100.20. Dieser steht im DMZ-Segment. Der Zugriff auf den DB-Server (192.168.0.230) erfolgt dann von der DMZ über die Firewall ins LAN-Segment. Ob du die DMZ vor, hinter oder neben der Firewall siehst, ist dir selbst überlassen, aus sicherheitstechnischer Sicht ist nur wichtig, das Zugriffe aus einem Bereich in einen Anderen IMMER durch die Firewall regelmentiert werden.
mfg
Harald
hier scheint ein Missverständniss vorzuliegen, mit Ports meinte ich in meiner Antwort oben LAN-Ports (Hardware-Ports, RJ45-Anschlüsse, oder wie immer du das bezeichnen möchtest), durch die die DMZ und das LAN bereits mit der Verkabelung in unterschiedliche Bereiche getrennt werden.
Securepoint ist eigentlich ein bekannter Hersteller von Firewalls, laut Datenblatt besitzt die RC300-Appliance 6 Ethernet-Ports (http://www.securepoint.de/dokumente/Securepoint_UTM-Appliance_Uebersich ..).
Entsprechend deinem Beispiel oben erfolgt an der Firewall ein Portforwarding (tcp/8081) auf den Server mit der IP 192.168.100.20. Dieser steht im DMZ-Segment. Der Zugriff auf den DB-Server (192.168.0.230) erfolgt dann von der DMZ über die Firewall ins LAN-Segment. Ob du die DMZ vor, hinter oder neben der Firewall siehst, ist dir selbst überlassen, aus sicherheitstechnischer Sicht ist nur wichtig, das Zugriffe aus einem Bereich in einen Anderen IMMER durch die Firewall regelmentiert werden.
mfg
Harald
Ich danke Euch sehr. Das hat mir sehr weitergeholfen. UNd das man den Server über einen separaten Lan-Port anschließen muss, wußte ich auch noch nicht. Danke Harald.
Ich wünsche Euch eine schöne Woche und ein schönes Spiel heute
Ich wünsche Euch eine schöne Woche und ein schönes Spiel heute