Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Netzwerkgrundlagen

DMZ einrichten

Testen Sie unsere 2019 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Eine Demilitarized Zone bezeichnet ein Computernetz mit einem sicherheitstechnisch kontrollierten Zugriff auf einen daran angeschlossenen Server. Eigene Dienste, welche im Internet angeboten werden, sollten in dieser positioniert werden.

Transkript

Wenn man eigene Dienste im Internet anbieten möchte, dann stellt man sich die Frage: Wo positioniere ich diese Dienste überhaupt? Dieser Frage wollen wir in diesem Video nachgehen. Ich möchte ganz kurz das Szenario vorstellen: Ich habe hier ein Netzwerk aufgebaut, das hier auf der linken Seite aus einem LAN besteht. Das ist die 192.168.100.0/24. Auf der rechten Seite haben wir ein WAN, das habe ich mal in die 1.1.1.0/8 gemacht. Und ich habe in der Mitte eine Monowall, das ist ein FreeBSD-basiertes Firewall-Produkt, und das steht jetzt hier mit beiden Beinchen, mit dem linken Beinchen im LAN und mit dem rechten Beinchen im WAN. Wo positioniere ich Dienste, die ich im Internet anbieten möchte? Ich könnte die natürlich raus stellen ins WAN, das ist soweit auch OK. aber ich habe auch die Möglichkeit, meinen Dienst sozusagen im LAN anzubieten, so dass man sagt, man baut hier also eine Weiterleitung rein, so dass man den Dienst von draußen nutzen kann. Es gibt noch eine dritte Möglichkeit, und zwar sprechen wir hier von einer so genannten demilitarisierten Zone, die DMZ. Die DMZ ist also ein Bereich, der nicht im LAN liegt, sondern ein Extra-Bereich, und der Hintergrund ist der: Wenn sich ein Angreifer einen unbefugten Zugriff auf einen Dienst verschafft, dass er dann nicht gleich hier mitten in meinem produktiven LAN steht, sondern eben erst in der demilitarisierten Zone. Wir haben zwei Ansätze für die demilitarisierte Zone, eine Variante ist die Back-to-Back-Firewall, das heißt ich würde zwei Firewall-Produkte hintereinander schalten, das wäre dann in der Mitte die demilitarisierte Zone, oder wir haben hier eben die Variante mit einem Dreibein, also dass ich drei Schnittstellen habe, und eine davon definiere ich als DMZ. Viele Produkte bieten auch explizite DMZ-Ports am Gerät an. Ja, die erste Frage die man sich stellt ist in der DMZ, soll ich hier eine öffentliche IP nehmen oder eine private IP? Ich habe mich hier für eine private IP entschieden, bei einer öffentlichen, das würde prinzipiell funktionieren, allerdings muss ich dann den Provider natürlich überreden, eine Route zu meiner DMZ zu legen und das Problem, das stellt sich natürlich mit privaten Adressen nicht. Allerdings muss ich dann hier an der externen Schnittstelle der Firewall ein Port-Forwarding verwenden. Das wollen wir uns jetzt mal anschauen. Dazu habe ich Folgendes gemacht: Ich habe hier in meiner DMZ, die basiert auf der 192.168.20.0/8, und in diese DMZ habe ich hier einen Webserver rein gestellt. der ist auch schon online und hat hinten die IP "1". Die Firewall, die Monowall, die hat dann hinten die 20.254. Dann wollen wir mal gucken, ob wir eine Verbindung vom WAN in die DMZ hinbekommen. Ich mache einen ersten Test, ich stehe nämlich hier jetzt gerade draußen, sozusagen in diesem virtuellen Internet irgendwo hier unten, und komme hier über die externe Schnittstelle rein. So, und das will ich jetzt hier erstmal austesten, das wäre also die 1.1.1.11. Warum? Weil ich hier erwarte eben, dass ich eingeleitet werde auf meinen Webserver, schauen wir mal nach, ob's funktioniert. Nee, das funktioniert hier tatsächlich nicht. weil ich habe auch noch gar keine Regeln erstellt. Gut, dann wollen wir mal rüber wechseln auf die Monowall, die kann ich hier nur von intern erreichen, deswegen wechseln wir jetzt, wir sehen uns gleich wieder. So, da sind wir wieder. Ich befinde mich jetzt im LAN, ich befinde mich jetzt hier also im internen LAN, hier irgendwo, und ich kann diese Monowall jetzt von intern konfigurieren, und ich habe die Konfigurationsseite schon mal geöffnet. Was brauchen wir hier für so eine DMZ? Wir brauchen natürlich die korrekten Interfaces. Ich habe hier "LAN / WAN" und ich habe auch ein DMZ-Interface im Vorfeld vorbereitet, das mit der korrekten IP-Adresse konfiguriert ist. Ich sehe gerade, dass ich hier ein 8er-Netzwerk gebaut habe. Das ist natürlich völliger Schwachsinn. Gut, dass man immer noch mal nachguckt, es ist also hier eine 24er-Adresse. Wunderbar. Um jetzt den Traffic zu steuern, müssen wir also eine Regel bauen, die besagt: Wenn also eine Verbindung auf dieser externen Schnittstelle hier, auf Port 80 ankommt, dann leite ich sie weiter, hier runter an die 192.168.20.254 und erstelle bitte eine Firewall-Regel, die diesen Traffic zulässt. Die Gesamtverbindung besteht eigentlich aus zwei Regeln. Einmal ein Port-Forwarding, das mir sagt: wenn hier was auf der 80 aufschlägt, dann bitte leite es rein in die DMZ und rufe den Webserver auf, und die zweite Regel sagt: Moment mal, hier kommt ein Paket, gibt es ein Regelwerk dafür? Also, im Endeffekt eine Firewall-Regel. Wir müssen also zunächst mal in den Abschnitt "NAT" hinein gehen, und sagen, OK, hier erstellen wir jetzt eine Regel, die das eingehende NAT regelt. Wir brauchen also das Interface WAN, das ist die externe Schnittstelle, das passt, der nimmt auch gleich die korrekte Adresse, die ich im Vorfeld konfiguriert habe. Ich muss das Protokoll kennen, auch hier haben wir TCP, und jetzt müssen wir eingeben, was wir hier durchleiten wollen, die Monowall ist also so freundlich und bietet mir hier Vorlagen an, das entspräche dann dem Port 80. So, jetzt habe ich die NAT-IP, das ist also die 192.168.20, meine DMZ, Punkt, und jetzt muss ich die IP auswählen, der Webserver hat die 1. Und ich könnte jetzt den Port hier noch mappen, möchte ich aber garnicht machen, und noch eine Verbindung. So, ich mache also eine HTTP-Verbindung, die vom WAN in die DMZ rein leitet, ja und auch hier wieder, moderne Firewall-Produkte, die haben halt einige Automechanismen mit drin, und ich könnte jetzt hier eine Firewall-Regel gleich generieren lassen, wir machen das jetzt aber mal manuell. Wunderbar, die Verbindung steht, und jetzt gehen wir mal hier runter in die Firewall-Regeln, und wir sind jetzt hier draußen an der WAN-Schnittstelle, wir kontrollieren also Pakete, die jetzt auf dieser WAN-Schnittstelle eintreffen, also eine Verbindung zur WAN-Schnittstelle. Machen wir als Aktion "+", ja, und als Aktion nehmen wir hier "Zulassen". Das korrekte Interface ist bereits ausgewählt. Wir haben hier HTTP, es ist also ein auf TCP basierendes Protokoll, wir haben als Quelle hier tatsächlich "any", wir können also nicht festlegen welche IP jetzt der Client, der die Webseite aufruft, welche IP der hat, deswegen lassen wir hier also "any". Wir haben einen Quellport, da gilt das Gleiche, wir können also nicht festlegen, welchen Port der Browser dort als Quellport generiert, deswegen lassen wir hier "any", und als Ziel, da legen wir jetzt einen Single-Host fest. Wir könnten jetzt auch hier komplett die DMZ auswählen. Ich mache jetzt mal Folgendes: 192.168.20.1, das ist hier mein Webserver, und dann darf auch nur der Webserver angesprochen werden, mit dieser Regel. Ja, dann haben wir noch den Zielport, da nutzen wir wieder die Vorgaben, die uns die Monowall hier anbietet, das wäre hier HTTP, Port 80 und vergeben einen Namen, das wäre also HTTP vom WAN in die DMZ. So, speichern wir das Ganze ab und fügen die Änderungen hinzu. Und dann wollen wir mal nachschauen, ob das geklappt hat. Wir haben also jetzt eine Regel erstellt, die von sämtlichen Quelladressen und Quellports auf die Ziel-IP mit dem Zielport durchleiten darf. OK. Dann wollen wir das mal testen. Dazu begebe ich mich wieder raus ins Internet, ich gehe also jetzt hier von meinem LAN wieder raus ins Internet auf einen Client, und dort wollen wir mal die Regel austesten. Bis gleich. So, da bin ich wieder, bin jetzt auf einem WAN-Client, bin also draußen, sitze sozusagen zuhause, und jetzt wollen wir mal angucken, ob das funktioniert. Das wäre also dann hier die 1.1.1.11, die externe Schnittstelle von der Monowall, Jetzt gucken wir mal drauf, und tatsächlich: Ich bekomme die Webseite angezeigt. Und jetzt muss man natürlich noch beachten, was passiert wenn ich dort weitere Dienste drin habe, wie sieht es aus wenn ich jetzt vom LAN drauf zugreifen möchte in die DMZ, das muss ich dann alles mit eigenen Regeln bestücken, aber das Grundkonzept, das haben wir jetzt gesehen.

Netzwerkgrundlagen

Lassen Sie sich die grundlegenden Netzwerktechniken erklären und erfahren Sie anhand vieler Beispiele, wie Netzwerke in der Praxis aufgebaut werden und wie sie funktionieren.

6 Std. 38 min (63 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!