Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Verständnisfrage DMZ fuer Webservice

Frage Sicherheit Sicherheitsgrundlagen

Mitglied: soa

soa (Level 1) - Jetzt verbinden

14.06.2008, aktualisiert 16.06.2008, 7728 Aufrufe, 6 Kommentare

Ich würde gern einen Webservice im Netzwerk implementieren. Dieser soll in der DMZ stehen.

Ich habe eine Firewall im Einsatz. Wenn ich die DMZ richtig verstehe, wird der Rechner, auf dem der Webservice implementiert wird, nicht im gleichen IP-Nummernkreis eingebunden wie die restlichen Rechner ?

Alle Rechner haben also eine IP mit 192.168.0.xx
Mein neuer Rechner bekommt nun z.B 192.168.100.x


Somit hat der Webservice einen eigenen Ip-raum. Um auf einen Rechner im Netzwerk 192.168.0.xx
zugreifen zu können, muss die Anfrage indirekt über die Firewall erfolgen.

Ist das richtig ? Und ist damit der Sinn einer DMZ begründet ?


Vielen Dank im Voraus.
Mitglied: macadmin
14.06.2008 um 16:53 Uhr
Hallo Soa,

ja das kann man so einsetzen.

Damit der DMZ PC aus dem LAN erreichbar ist, musst Du auf der Firewall ein
zweites Interface mit dem DMZ Netz anlegen.
Welche Firewall benutzt Du?

Viele Grüße
Bitte warten ..
Mitglied: spacyfreak
14.06.2008 um 18:29 Uhr
DMZ steht für "Demilitarized Zone" (entmilitarisierte Zone).
Das sagt uns nun nicht besonderst viel.
Es soll einfach bedeuten, dass dieses Netz völlig frei aus dem Internet erreichbar sein soll.
In der DMZ stehen Server die aus dem Internet erreichbar sein sollen.
Der Sinn der DMZ ist, dass - falls der Server in der DMZ gehackt wird - kein Zugriff auf Intranet-Server möglich sein soll, da die DMZ VOR der eigentlichen Firewall angebunden ist bzw. zwischen DMZ und Intranet Firewall-Regeln den Zugriff blockieren.

Wenn du nun eine 192.168.100.X IP nimmst, bzw. ein separates Netz für die DMZ bereitstellts, ist das schonmal gut. Zwichen diesem Netz (DMZ) und dem Intranet-Netz muss jedoch der Zugriff blockiert sein (zumindest in der Richtung DMZ>>>Intranet), sonst ist das keine DMZ sondern nur ein zusätzliches Intranet-Subnetz.
Bitte warten ..
Mitglied: harald21
15.06.2008 um 14:25 Uhr
Hallo,

was für eine Firewall verwendest du?
Bei vielen Home-DSL-Routern ist lediglich eine "DMZ-Funktion" implementiert, die alle eingehenden Anfragen auf die IP-Adresse eines bestimmten PC umleitet.
Aus Sicherheitsgründen finde ich es entsetzlich, wenn sich dieser PC im selben Netzwerk befindet wie die normalen LAN-Rechner (selbst wenn er in einem anderen IP-Adressbereich liegt).
Professionelle Firewalls haben für LAN und DMZ getrennte Ports, nur so läßt sich wirklich sicherstellen, das der Datenverkehr zwischen DMZ und LAN über die Firewall fließen muß und dort reglementiert werden kann.
Die Daten vom Internet zur DMZ kömmen dann ebenfalls nicht mit dem LAN-Bereich in Berührung.

mfg
Harald
Bitte warten ..
Mitglied: soa
15.06.2008 um 16:06 Uhr
Vielen Dank für die Rückmeldung. Derzeit befindet sich eine RC 300 von Securepoint bei uns im Einsatz. Keine Ahnung ob das gut ist. Aber es soll natürlich schon so sein, dass ein Portforwarding zu dem neuen Subnetz zeigen soll.

Zum Beispiel Port 8081 geht auf 192.168.100.20 . Der Server, der sich dort im Einsatz befindet
muss dann schon auf das andere Subnetz zugreifen.

Also hat 192.168.100.20 eine Verbindung zu 192.168.0.230, einem DB-Server. Dann ist es also keine DMZ mehr ?? Aber 192.168.100.20 muss doch durch die Firewall gehen, um 192.168.100.20 anzusprechen. Dann stünde der Server nicht vor, aber irgendwie doch neben der Firewall.

Ist das OK ?

Vielen Dank

Grüße
SOA
Bitte warten ..
Mitglied: harald21
16.06.2008 um 07:51 Uhr
Hallo SOA,

hier scheint ein Missverständniss vorzuliegen, mit Ports meinte ich in meiner Antwort oben LAN-Ports (Hardware-Ports, RJ45-Anschlüsse, oder wie immer du das bezeichnen möchtest), durch die die DMZ und das LAN bereits mit der Verkabelung in unterschiedliche Bereiche getrennt werden.

Securepoint ist eigentlich ein bekannter Hersteller von Firewalls, laut Datenblatt besitzt die RC300-Appliance 6 Ethernet-Ports (http://www.securepoint.de/dokumente/Securepoint_UTM-Appliance_Uebersich ...).

Entsprechend deinem Beispiel oben erfolgt an der Firewall ein Portforwarding (tcp/8081) auf den Server mit der IP 192.168.100.20. Dieser steht im DMZ-Segment. Der Zugriff auf den DB-Server (192.168.0.230) erfolgt dann von der DMZ über die Firewall ins LAN-Segment. Ob du die DMZ vor, hinter oder neben der Firewall siehst, ist dir selbst überlassen, aus sicherheitstechnischer Sicht ist nur wichtig, das Zugriffe aus einem Bereich in einen Anderen IMMER durch die Firewall regelmentiert werden.

mfg
Harald
Bitte warten ..
Mitglied: soa
16.06.2008 um 08:01 Uhr
Ich danke Euch sehr. Das hat mir sehr weitergeholfen. UNd das man den Server über einen separaten Lan-Port anschließen muss, wußte ich auch noch nicht. Danke Harald.
Ich wünsche Euch eine schöne Woche und ein schönes Spiel heute
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Verständnisfrage DMZ
Frage von maddigLAN, WAN, Wireless11 Kommentare

Guten Morgen, ich habe schon immer eine Verständnisfrage in Bezug mit einer DMZ. Im Anhangsbild ist zum Beispiel unsere ...

Router & Routing
DMZ Verständnisfrage
Frage von PharITRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

LAN, WAN, Wireless
Verständnisfrage DMZ, warum nicht LAN2 Interface?
gelöst Frage von BytedreherLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich habe ein Verständnisproblem zum Thema DMZ am Beispiel einer ZyWALL USG 50. Ich habe mehrere Interfaces ...

PHP
Webservice Server
Frage von artonbinakajPHP8 Kommentare

Hallo administratoren, Ich wollte fragen ob jemand eine komplettlösung kennt unter der man viele verschiedene cms installiren kann. unter ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von Frank vor 3 StundenErkennung und -Abwehr

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücke Spectre und ...

Microsoft Office

Office 2010 Starter erneut auf einer frischen Windows-Version installieren

Tipp von Lochkartenstanzer vor 1 TagMicrosoft Office9 Kommentare

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 1 TagDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 1 TagSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Heiß diskutierte Inhalte
Netzwerke
NTFS-Berechtigung
Frage von Daoudi1973Netzwerke23 Kommentare

Hallo zusammen und frohes neues Jahr (Sorry, ich bin spät dran) Meine Frage: 1- Ich habe einen Ordner im ...

Drucker und Scanner
Gesucht DIN A3 Drucker
Frage von NebellichtDrucker und Scanner15 Kommentare

Hallo, ich möchte einen neuen DIN A3 Drucker kaufen. Um ab und zu, ca. 1 mal die Woche Farbausdrucke ...

iOS
Einladung vom iphone kalender
Frage von jensgebkeniOS15 Kommentare

Hallo Gemeinschaft, folgendes Problem - immer wenn ich von meinem Iphone einen Termin einztrage und diesem Termin Teilnehmer zuweise, ...

Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...