Was ist eine DMZ (Demilitarized Zone) ?

Bei der Demilitarized Zone (DMZ) ist ein eigenständiges Netzwerk gemeint. Es kommt vor allem in größeren Unternehmensnetzwerken zum Einsatz und ist als Pufferzone vorgesehen und bildet einen Raum zwischen dem Internetzugang selber und dem Unternehmensnetzwerk.

So lassen sich Systeme abgrenzen, isolieren und Anwendungen gezielt platzieren. Der Einsatz mehrerer Firewalls kann zur Erhöhung des Sicherheitsniveaus beitragen.


Eine DMZ schützt vor allem das interne Netzwerk eines Unternehmens

Wer mit Unternehmensnetzwerken, Netzwerk-Infrastruktur oder auch der Planung und Durchführung von Pentests zu tun hat, der wird regelmäßig mit dem Akronym „DMZ“ konfrontiert. Dabei handelt es sich um die Demilitarized Zone (demilitarisierte Zone) und bildet einen Bereich zwischen dem Internet und dem internen Unternehmensnetzwerk. So lassen sich zweistufige-Firewall-Konzepte umsetzen, wie sie z.B. auch vom BSI empfohlen werden, umsetzen.

Anwendungen die ständig mit dem Internet kommunizieren müssen bzw. ohne nicht funktionieren, können in der DMZ platziert werden. Häufig werden in realen Umgebungen deshalb Web,- Mail- und Authentication Server in der DMZ platziert. Ausschließlich die in der DMZ platzierten Anwendungen sind für Nutzer aus dem Internet erreichbar. Das senkt die Angriffsfläche für Angreifer und ermöglicht die gezielte Umsetzung von IT-Sicherheitskonzepten. Das private Unternehmensnetzwerk ist aus dem Internet nicht erreichbar.




Unterschiedliche Firewall-Konzepte sind mit einer DMZ umsetzbar

Das einstufige Firewall-Konzept

Wer eine DMZ einsetzt, der muss keine zwei Firewalls zum Einsatz bringen. Es kann auch nur eine Firewall platziert werden. Dieses Konzept ist jedoch nur für Netzwerke geeignet, die keine hohen Anforderung an das IT-Sicherheitsniveau besitzen. Die stärken einer DMZ werden gerade durch den zweistufigen Einsatz einer Firewall ausgespielt.

Das einstufige Firewall Konzept sichert Intranet und DMZ gleichermaßen
Das einstufige FIrewall-Konzept funktioniert, erfüllt jedoch nicht die Anforderungen des BSI. Quelle:wikipedia.com

Das zweistufige Firewall-Konzept

Der Einsatz einer demilitarisierten Zone bringt den Vorteil mit sich das Intranet vom Internet isolieren zu können und den ein- und ausgehenden Verkehr durch zwei Firewalls umfangreich schützen zu können. Zwar geht mit diesem Konzept ein höherer Verwaltungsaufwand einher, doch wer der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik folgen will, der muss dieses Konzept umsetzen.

Das zweifache Firewall-Konzept mit einer DMZ ermöglicht ein hohes SIcherheitsniveau
Das zweifache Firewall-Konzept mit einer DMZ ermöglicht ein hohes SIcherheitsniveau. Quelle: wikipedia.com

Um das IT-Sicherheitsniveau bereits bei der Konzeption möglichst hoch anzulegen, sollte bereits bei der Beschaffung der Firewalls berücksichtigt werden, dass diese von zwei unterschiedlichen Herstellern stammen sollten. So wird das Risiko vermieden das Opfer einer Zero-Day Lücke zu werden.

Aber auch andere, kritische Sicherheitslücken schlagen nicht sofort durch die Schutzmauern durch. Alternativ kann als Firewall auch eine Open Source Lösung eingesetzt werden. Endkundenprodukte wie es sie z.B. für MacOS gibt funktionieren clientseitig und sind für diesen Einsatz nicht geeignet.