Eine demilitarisierte Zone (DMZ, auch "Screened Subnet" oder "Grenznetz" genannt) ist ein mithilfe zweier Paketfilter aufgebautes isoliertes Teilnetz zwischen zu schützendem Netz und unsicherem Netz. Die Paketfilter kontrollieren die Verbindung zwischen der demilitarisierten Zone und dem zu schützenden bzw. unsicheren Netz.

Der äußere Paketfilter schützt die demilitarisierte Zone und das dahinter liegende zu schützende Netz vor Angriffen aus dem unsicheren Netz.

Außerdem kontrolliert er Zugriffe aus dem unsicheren Netz auf Systeme in der demilitarisierten Zone.

Der innere Paketfilter schützt das zu schützende Netz vor eventuell in die demilitarisierte Zone eingedrungenen Angreifern. Außerdem kontrolliert er Zugriffe aus dem geschützten Netz auf Systeme in der demilitarisierten Zone.

Zugriffe auf die Systeme in der demilitarisierten Zone werden also von beiden Seiten aus kontrolliert.

Demilitarisierte Zone mit Single-Homed Application Level Gateway

Wie bei der Kombination eines einzelnen Paketfilters mit einem Single-Homed Application Level Gateway können auch hier die Paketfilter so konfiguriert werden, dass eine Kommunikation nur über das Application Level Gateway möglich ist. Dieses befindet sich in der demilitarisierten Zone und wird durch die Paketfilter geschützt.

Bewertung
Wie bei der Kombination eines einzelnen Paketfilters und eines Single-Homed Application Level Gateways können bestimmte Verbindungen zwingend über das Gateway geleitet werden. Erwünschte Verbindungen, für die keine Proxies vorhanden sind, können von den Paketfiltern am Gateway vorbei direkt in das geschützte bzw. unsichere Netz geleitet werden. Dadurch ist diese Kombination sehr flexibel.

Die Sicherheit ist weitgehend von der Sicherheit der Paketfilter abhängig. Ist der Schutzbedarf des zu schützenden Netzes höher als der Schutz, den die Paketfilter leisten können, ist diese Kombination für den Anschluss eines zu schützenden Netzes an das Internet nicht ausreichend. Zur Kopplung von Netzen mit unterschiedlichen Schutzniveaus innerhalb eines gemeinsamen Verantwortungsbereichs ist sie jedoch geeignet.

Demilitarisierte Zone mit Dual-Homed Application Level Gateway

Durch die Hintereinanderschaltung eines Paketfilters, eines (oder auch mehrerer) Dual-Homed Application Level Gateways und eines weiteren Paketfilters wird ein Höchstmaß an Sicherheit erreicht. Die Paketfilter schützen das Application Level Gateway vor Angriffen aus dem geschützten und dem unsicheren Netz.

Bewertung
Die gesamte Kommunikation zwischen Systemen im zu schützenden Netz und Systemen im unsicheren Netz wird durch beide Paketfilter und das Dual-Homed Application Level Gateway kontrolliert. Es besteht keine Möglichkeit, das Gateway zu umgehen.

Die Sicherheit hängt von der Sicherheit sowohl der Paketfilter als auch des Application Level Gateways ab. Durch die Kombination der unterschiedlichen Schutzfunktionen wird eine besonders hohe Gesamtsicherheit erreicht.

Durch die Kombination der Paketfilter und des Gateways ergeben sich einige Vorteile:

• Einfache Regeln
  Die Formulierung der Regeln für die einzelnen Komponenten wird einfacher. Bei den Paketfiltern muss jeweils nur eine Richtung beachtet werden, die Gegenrichtung wird vom jeweils anderen Paketfilter behandelt.
• Gegenseitiger Schutz
  Die Paketfilter schützen das Application Level Gateway und den jeweils anderen Paketfilter vor unerwünschten Zugriffen aus dem unsicheren bzw. geschützten Netz.
• Gestaffelter Schutz
  Für einen erfolgreichen Angriff auf das geschützte Netz muss ein Angreifer aus dem unsicheren Netz der Reihe nach den ersten Paketfilter, das Application Level Gateway und den zweiten Paketfilter überwinden.
  Da meist unterschiedliche Systeme für die Paketfilter und Application Level Gateways verwendet werden, wirken sich Schwachstellen immer nur auf einen Teil der Komponenten aus.
  Da Paketfilter und Application Level Gateway bei der Analyse mit verschiedenen Ansätzen arbeiten, können sich auch Schwachstellen bei der Verarbeitung und Analyse der Pakete nur auf einen Teil der Komponenten auswirken.

Eine demilitarisierte Zone mit Dual-Homed Application Level Gateway eignet sich für die Anbindung eines Netzes mit hohem Schutzbedarf an ein Netz mit geringem Schutzniveau, auch wenn beide Netze zu verschiedenen Verantwortungsbereichen gehören. Insbesondere ist diese Kombination für die Verbindung eines zu schützenden Netzes mit dem Internet geeignet.

Server in der demilitarisierten Zone

Wie schon in About Security #28 beschrieben, werden Server, die nur aus dem unsicheren Netz oder sowohl aus dem geschützten als auch unsicheren Netz zugänglich sein sollen, in der demilitarisierten Zone positioniert. Auf den genauen Aufbau wird in einem späteren Feature eingegangen.

In der nächsten Folge werden die Möglichkeiten der Protokollierung durch die Firewall vorgestellt.

Carsten Eilers

About Security – Übersicht zum aktuellen Thema "Firewall"

• About Security #29: Die Firewall – Grundlagen
• About Security #30: Die Firewall – Paketfilter
• About Security #31: Die Firewall – FTP-Verbindungen
• About Security #32: Die Firewall – Application Level Gateway
• About Security #33: Die Firewall – Application Level Proxies
• About Security #34: Die Firewall – Circuit Level Proxies
• About Security #35: Die Firewall – Zusammenspiel der Komponenten
• About Security #36: Die Firewall – Demilitarisierte Zone