Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verständnisfrage DMZ fuer Webservice

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: soa

soa (Level 1) - Jetzt verbinden

14.06.2008, aktualisiert 16.06.2008, 7291 Aufrufe, 6 Kommentare

Ich würde gern einen Webservice im Netzwerk implementieren. Dieser soll in der DMZ stehen.

Ich habe eine Firewall im Einsatz. Wenn ich die DMZ richtig verstehe, wird der Rechner, auf dem der Webservice implementiert wird, nicht im gleichen IP-Nummernkreis eingebunden wie die restlichen Rechner ?

Alle Rechner haben also eine IP mit 192.168.0.xx
Mein neuer Rechner bekommt nun z.B 192.168.100.x


Somit hat der Webservice einen eigenen Ip-raum. Um auf einen Rechner im Netzwerk 192.168.0.xx
zugreifen zu können, muss die Anfrage indirekt über die Firewall erfolgen.

Ist das richtig ? Und ist damit der Sinn einer DMZ begründet ?


Vielen Dank im Voraus.
Mitglied: macadmin
14.06.2008 um 16:53 Uhr
Hallo Soa,

ja das kann man so einsetzen.

Damit der DMZ PC aus dem LAN erreichbar ist, musst Du auf der Firewall ein
zweites Interface mit dem DMZ Netz anlegen.
Welche Firewall benutzt Du?

Viele Grüße
Bitte warten ..
Mitglied: spacyfreak
14.06.2008 um 18:29 Uhr
DMZ steht für "Demilitarized Zone" (entmilitarisierte Zone).
Das sagt uns nun nicht besonderst viel.
Es soll einfach bedeuten, dass dieses Netz völlig frei aus dem Internet erreichbar sein soll.
In der DMZ stehen Server die aus dem Internet erreichbar sein sollen.
Der Sinn der DMZ ist, dass - falls der Server in der DMZ gehackt wird - kein Zugriff auf Intranet-Server möglich sein soll, da die DMZ VOR der eigentlichen Firewall angebunden ist bzw. zwischen DMZ und Intranet Firewall-Regeln den Zugriff blockieren.

Wenn du nun eine 192.168.100.X IP nimmst, bzw. ein separates Netz für die DMZ bereitstellts, ist das schonmal gut. Zwichen diesem Netz (DMZ) und dem Intranet-Netz muss jedoch der Zugriff blockiert sein (zumindest in der Richtung DMZ>>>Intranet), sonst ist das keine DMZ sondern nur ein zusätzliches Intranet-Subnetz.
Bitte warten ..
Mitglied: harald21
15.06.2008 um 14:25 Uhr
Hallo,

was für eine Firewall verwendest du?
Bei vielen Home-DSL-Routern ist lediglich eine "DMZ-Funktion" implementiert, die alle eingehenden Anfragen auf die IP-Adresse eines bestimmten PC umleitet.
Aus Sicherheitsgründen finde ich es entsetzlich, wenn sich dieser PC im selben Netzwerk befindet wie die normalen LAN-Rechner (selbst wenn er in einem anderen IP-Adressbereich liegt).
Professionelle Firewalls haben für LAN und DMZ getrennte Ports, nur so läßt sich wirklich sicherstellen, das der Datenverkehr zwischen DMZ und LAN über die Firewall fließen muß und dort reglementiert werden kann.
Die Daten vom Internet zur DMZ kömmen dann ebenfalls nicht mit dem LAN-Bereich in Berührung.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: soa
15.06.2008 um 16:06 Uhr
Vielen Dank für die Rückmeldung. Derzeit befindet sich eine RC 300 von Securepoint bei uns im Einsatz. Keine Ahnung ob das gut ist. Aber es soll natürlich schon so sein, dass ein Portforwarding zu dem neuen Subnetz zeigen soll.

Zum Beispiel Port 8081 geht auf 192.168.100.20 . Der Server, der sich dort im Einsatz befindet
muss dann schon auf das andere Subnetz zugreifen.

Also hat 192.168.100.20 eine Verbindung zu 192.168.0.230, einem DB-Server. Dann ist es also keine DMZ mehr ?? Aber 192.168.100.20 muss doch durch die Firewall gehen, um 192.168.100.20 anzusprechen. Dann stünde der Server nicht vor, aber irgendwie doch neben der Firewall.

Ist das OK ?

Vielen Dank

Grüße
SOA
Bitte warten ..
Mitglied: harald21
16.06.2008 um 07:51 Uhr
Hallo SOA,

hier scheint ein Missverständniss vorzuliegen, mit Ports meinte ich in meiner Antwort oben LAN-Ports (Hardware-Ports, RJ45-Anschlüsse, oder wie immer du das bezeichnen möchtest), durch die die DMZ und das LAN bereits mit der Verkabelung in unterschiedliche Bereiche getrennt werden.

Securepoint ist eigentlich ein bekannter Hersteller von Firewalls, laut Datenblatt besitzt die RC300-Appliance 6 Ethernet-Ports (http://www.securepoint.de/dokumente/Securepoint_UTM-Appliance_Uebersich ...).

Entsprechend deinem Beispiel oben erfolgt an der Firewall ein Portforwarding (tcp/8081) auf den Server mit der IP 192.168.100.20. Dieser steht im DMZ-Segment. Der Zugriff auf den DB-Server (192.168.0.230) erfolgt dann von der DMZ über die Firewall ins LAN-Segment. Ob du die DMZ vor, hinter oder neben der Firewall siehst, ist dir selbst überlassen, aus sicherheitstechnischer Sicht ist nur wichtig, das Zugriffe aus einem Bereich in einen Anderen IMMER durch die Firewall regelmentiert werden.

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: soa
16.06.2008 um 08:01 Uhr
Ich danke Euch sehr. Das hat mir sehr weitergeholfen. UNd das man den Server über einen separaten Lan-Port anschließen muss, wußte ich auch noch nicht. Danke Harald.
Ich wünsche Euch eine schöne Woche und ein schönes Spiel heute
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows Netzwerk
Ktpass für Anmeldung von LAMP an Win-Domäne (Verständnisfrage)

Frage von pablovic zum Thema Windows Netzwerk ...

Exchange Server
gelöst Verständnisfrage: "Vollzugriff" in Exchange (17)

Frage von honeybee zum Thema Exchange Server ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...