In diesem Artikel wollen wir einen ersten Einblick in die IT-Systemlandschaft, speziell der IT-Sicherheit, geben und mit der Definition einer „demilitarisierten Zone“ beginnen.

Die demilitarisierte Zone (kurz: DMZ; auch demilitarized zone) ist für den durchschnittlichen Internet-User kein gängiger Begriff und klingt mehr nach militärischem Fachjargon als nach einem Begriff aus der IT-Sicherheit. Dabei gehören die Bedeutung und der Aufbau einer solchen Zone zum Grundlagenwissen eines jeden IT-Fachmanns.

Wozu dient eine demilitarisierte Zone

Eine DMZ wird genutzt um, die Sicherheit eines Unternehmensnetzwerkes durch das Trennen von Geräten hinter einer Firewall zu erhöhen.

Was genau dieser Satz aber bedeutet, soll anhand von drei Beispielen verdeutlicht werden.

Beispiel 1

Das in Beispiel 1 dargestellte Unternehmensnetzwerk besitzt eine Firewall und ein Netzwerk aus Computern und Servern. Dieses Netzwerk befindet sich „hinter“ der Firewall. „Dahinter“ bedeutet in diesem Zusammenhang, dass sich das Netzwerk in einem durch die Firewall geschützten Bereich außerhalb der Öffentlichkeit des Internets befindet.

Das Problem an diesem System ist jedoch, dass bspw. Webserver oder Emailserver, die aus dem Internet erreichbar sein sollen, „hinter“ der Firewall liegen und erstmal nicht für die Öffentlichkeit erreichbar sind. Die Erreichbarkeit kann aber durch ein gezieltes „Öffnen“ zu diesen Web- bzw. Emailservern gewährleistet werden.

Dies bedeutet aber auch, dass Personen von nicht vertrauenswürdigen Netzwerken (Internet) hinter die Firewall gelassen werden und somit kein Schutz mehr zwischen den vertraulichen Unternehmensdaten und etwaigen Personen mit böswilliger Absicht besteht. Abhilfe schafft hier das Errichten einer demilitarisierten Zone, die in Beispiel 2 zu sehen ist.

Beispiel 2
Werden die Server, die für die Öffentlichkeit bestimmt sind, nun durch eine Firewall von den schutzbedürftigen Unternehmensdaten getrennt, also „vor“ die Firewall gesetzt, entsteht die sog. demilitarisierte Zone.
Personen aus nicht vertrauenswürdigen Netzwerken, die sich nun mit den Servern verbinden, gelangen nicht mehr länger in das Netzwerk „hinter“ der Firewall, sondern lediglich auf die Server „vor“ der Firewall.
Die hier vorgestellte Variante nutzt lediglich eine Firewall, eine sichere Variante hingegen nutzt zwei Firewalls (siehe Beispiel 3).
Beispiel 3

Die sicherste Variante, um die Unternehmensdaten und die eigenen Server zu schützen, ist das Implementieren einer weiteren Firewall als Sicherungsschicht. Diese zusätzliche Firewall wird vor die Server gesetzt, welche der Öffentlichkeit zur Verfügung gestellt werden sollen, um nur authentifizierten Datenverkehr in die DMZ zuzulassen. Dies bedeutet auch, dass Angreifer durch zwei Firewalls müssen, um in das Firmennetzwerk gelangen können.

 

Bei Fragen zu Ihrer DMZ helfen wir Ihnen gerne weiter, sprechen Sie uns einfach an.