DMZ (Networking)

In Computernetzwerken ist eine DMZ (demilitarisierte Zone), die manchmal auch als Perimeternetzwerk oder abgeschirmtes Subnetzwerk bezeichnet wird, ein physisches oder logisches Subnetzwerk, das ein internes lokales Netzwerk (LAN) von anderen nicht vertrauenswürdigen Netzwerken – in der Regel dem öffentlichen Internet – trennt. Die nach außen gerichteten Server, Ressourcen und Dienste befinden sich in der DMZ. Sie sind also vom Internet aus zugänglich, aber der Rest des internen LAN bleibt unerreichbar. Dies bietet eine zusätzliche Sicherheitsebene für das LAN, da es die Möglichkeiten eines Hackers einschränkt, über das Internet direkt auf interne Server und Daten zuzugreifen.

Jeder Dienst, der Benutzern im öffentlichen Internet zur Verfügung gestellt wird, sollte im DMZ-Netzwerk platziert werden. Zu den gängigsten dieser Dienste gehören Webserver und Proxyserver sowie Server für E-Mail, Domain Name System (DNS), File Transfer Protocol (FTP) und Voice over IP (VoIP).

Hacker und Cyberkriminelle auf der ganzen Welt können die Systeme erreichen, auf denen diese Dienste auf DMZ-Servern laufen, die gehärtet sein müssen, um ständigen Angriffen standzuhalten. Der Begriff DMZ stammt von der geografischen Pufferzone, die am Ende des Koreakriegs zwischen Nord- und Südkorea eingerichtet wurde.

Architektur von Netzwerk-DMZs

Es gibt verschiedene Möglichkeiten, ein Netzwerk mit einer DMZ zu gestalten. Die beiden grundlegenden Methoden bestehen darin, entweder eine oder zwei Firewalls zu verwenden, wobei die meisten modernen DMZs mit zwei Firewalls konzipiert sind. Dieser grundlegende Ansatz kann erweitert werden, um komplexere Architekturen zu schaffen.

Eine einzelne Firewall mit mindestens drei Netzwerkschnittstellen kann verwendet werden, um eine Netzwerkarchitektur mit einer DMZ zu schaffen. Das externe Netzwerk wird gebildet, indem das öffentliche Internet – über die Verbindung zum Internet Service Provider (ISP) – mit der Firewall an der ersten Netzwerkschnittstelle verbunden wird. Das interne Netzwerk wird von der zweiten Netzwerkschnittstelle gebildet und das DMZ-Netzwerk selbst wird mit der dritten Netzwerkschnittstelle verbunden.

Unterschiedliche Firewall-Regelsätze zur Überwachung des Datenverkehrs zwischen dem Internet und der DMZ, dem LAN und der DMZ sowie dem LAN und dem Internet steuern genau, welche Ports und Arten von Datenverkehr aus dem Internet in die DMZ gelangen dürfen, schränken die Konnektivität zu bestimmten Hosts im internen Netzwerk ein und verhindern unerwünschte Verbindungen zum Internet oder zum internen LAN aus der DMZ.

Der sicherere Ansatz zur Einrichtung eines DMZ-Netzwerks ist eine Dual-Firewall-Konfiguration, bei der zwei Firewalls eingesetzt werden, zwischen denen sich das DMZ-Netzwerk befindet. Die erste Firewall – auch Perimeter-Firewall genannt – ist so konfiguriert, dass sie nur externen Datenverkehr zulässt, der für die DMZ bestimmt ist. Die zweite oder interne Firewall lässt nur den Verkehr von der DMZ zum internen Netzwerk zu. Dies gilt als sicherer, da zwei Geräte angegriffen werden müssen, bevor ein Angreifer auf das interne LAN zugreifen kann.

Sicherheitskontrollen können speziell auf jedes Netzwerksegment abgestimmt werden. So könnte beispielsweise ein in einer DMZ befindliches System zur Erkennung und Verhinderung von Eindringlingen im Netzwerk so konfiguriert werden, dass es den gesamten Datenverkehr mit Ausnahme von HTTPS-Anfragen an TCP-Port 443 blockiert.

Wie DMZs funktionieren

DMZs sollen als eine Art Pufferzone zwischen dem öffentlichen Internet und dem privaten Netzwerk fungieren. Der Einsatz der DMZ zwischen zwei Firewalls bedeutet, dass alle eingehenden Netzwerkpakete mit Hilfe einer Firewall oder eines anderen Sicherheitsgeräts überprüft werden, bevor sie bei den Servern ankommen, die das Unternehmen in der DMZ hostet.

Wenn ein besser vorbereiteter Angreifer die erste Firewall passiert, muss er sich erst unbefugten Zugang zu diesen Diensten verschaffen, bevor er Schaden anrichten kann, und diese Systeme sind wahrscheinlich gegen solche Angriffe gehärtet.

Angenommen, ein gut ausgerüsteter Angreifer ist in der Lage, die externe Firewall zu durchbrechen und ein in der DMZ gehostetes System zu übernehmen, muss er immer noch die interne Firewall durchbrechen, bevor er sensible Unternehmensressourcen erreichen kann. Auch wenn ein entschlossener Angreifer selbst die bestgesicherte DMZ-Architektur durchbrechen kann, sollte eine DMZ, die angegriffen wird, einen Alarm auslösen, so dass Sicherheitsexperten ausreichend gewarnt sind, um ein vollständiges Eindringen in ihr Unternehmen zu verhindern.

Vorteile von DMZs

Der Hauptvorteil einer DMZ besteht darin, dass sie Benutzern aus dem öffentlichen Internet Zugang zu bestimmten sicheren Diensten bietet und gleichzeitig einen Puffer zwischen diesen Benutzern und dem privaten internen Netzwerk aufrechterhält. Die Sicherheitsvorteile dieses Puffers zeigen sich unter anderem in folgenden Punkten:

Zugangskontrolle für Unternehmen. Unternehmen können Benutzern über das öffentliche Internet Zugang zu Diensten außerhalb ihrer Netzwerkgrenzen gewähren. Ein DMZ-Netzwerk bietet Zugang zu diesen notwendigen Diensten und führt gleichzeitig eine Netzwerksegmentierung ein, die die Anzahl der Hindernisse erhöht, die ein unbefugter Benutzer überwinden muss, bevor er Zugang zum privaten Netzwerk einer Organisation erhält. In einigen Fällen enthält eine DMZ einen Proxy-Server, der den internen Internet-Verkehr – in der Regel von Mitarbeitern – zentralisiert und die Aufzeichnung und Überwachung dieses Verkehrs vereinfacht.

Verhindern Sie, dass Angreifer das Netzwerk auskundschaften. Da eine DMZ als Puffer fungiert, verhindert sie, dass ein Angreifer potenzielle Ziele innerhalb des Netzwerks auskundschaften kann. Selbst wenn ein System innerhalb der DMZ angegriffen wird, ist das private Netzwerk immer noch durch die interne Firewall geschützt, die es von der DMZ trennt. Aus demselben Grund wird auch die Aufklärung von außen erschwert. Obwohl die Server in der DMZ öffentlich zugänglich sind, werden sie durch eine weitere Schutzschicht gesichert. Das öffentliche Gesicht der DMZ hält Angreifer davon ab, die Inhalte des internen privaten Netzwerks zu sehen. Sollte es Angreifern gelingen, die Server in der DMZ zu kompromittieren, sind sie dennoch durch die interne Barriere der DMZ vom privaten Netz isoliert.

Schutz vor IP-Spoofing. In einigen Fällen versuchen Angreifer, die Zugriffskontrollbeschränkungen zu umgehen, indem sie eine autorisierte IP-Adresse fälschen, um sich als ein anderes Gerät im Netzwerk auszugeben. Eine DMZ kann potenzielle IP-Spoofing-Angreifer aufhalten, während ein anderer Dienst im Netz die Legitimität der IP-Adresse prüft, indem er testet, ob sie erreichbar ist.

In jedem Fall bietet die DMZ eine Ebene der Netzwerksegmentierung, die einen Raum schafft, in dem der Datenverkehr organisiert werden kann und öffentliche Dienste in sicherer Entfernung vom privaten Netzwerk zugänglich sind.

Wofür DMZs verwendet werden

DMZ-Netzwerke sind schon fast so lange ein wichtiger Bestandteil der Sicherheit von Unternehmensnetzwerken wie Firewalls und werden größtenteils aus ähnlichen Gründen eingesetzt: zum Schutz sensibler Unternehmenssysteme und -ressourcen. DMZ-Netzwerke können verwendet werden, um potenzielle Zielsysteme von internen Netzwerken zu isolieren und getrennt zu halten sowie den Zugriff auf diese Systeme außerhalb des Unternehmens zu reduzieren und zu kontrollieren. Die Verwendung einer DMZ ist seit langem der Ansatz für das Hosting von Unternehmensressourcen, um zumindest einige von ihnen für autorisierte externe Benutzer verfügbar zu machen.

In jüngerer Zeit haben sich Unternehmen für die Verwendung von virtuellen Maschinen (VMs) oder Containern entschieden, um Teile des Netzwerks oder bestimmte Anwendungen vom Rest der Unternehmensumgebung zu isolieren. Cloud-Technologien haben viele Unternehmen weitgehend von der Notwendigkeit befreit, eigene Webserver zu betreiben. Viele der nach außen gerichteten Infrastrukturen, die sich früher in der DMZ des Unternehmens befanden, sind jetzt in die Cloud gewandert, z. B. Software-as-a-Service-Anwendungen (SaaS).

Beispiele für DMZs

Einige Cloud-Dienste, wie Microsoft Azure, implementieren einen hybriden Sicherheitsansatz, bei dem eine DMZ zwischen dem lokalen Netzwerk eines Unternehmens und dem virtuellen Netzwerk eingerichtet wird. Dieser hybride Ansatz wird in der Regel in Situationen verwendet, in denen die Anwendungen des Unternehmens teilweise vor Ort und teilweise im virtuellen Netzwerk ausgeführt werden. Er wird auch in Situationen verwendet, in denen der ausgehende Datenverkehr überprüft werden muss oder in denen eine granulare Datenverkehrskontrolle zwischen dem virtuellen Netzwerk und dem lokalen Rechenzentrum erforderlich ist.

Eine DMZ kann auch in einem Heimnetzwerk nützlich sein, in dem Computer und andere Geräte über einen Breitbandrouter mit dem Internet verbunden und zu einem lokalen Netzwerk konfiguriert sind. Einige Heimrouter verfügen über eine DMZ-Host-Funktion, die im Gegensatz zu den DMZ-Subnetzen steht, die üblicherweise in Unternehmen mit viel mehr Geräten als in Privathaushalten eingesetzt werden. Die DMZ-Host-Funktion bestimmt ein Gerät im Heimnetzwerk, das außerhalb der Firewall arbeitet und als DMZ fungiert, während der Rest des Heimnetzwerks innerhalb der Firewall liegt. In manchen Fällen wird eine Spielkonsole als DMZ-Host ausgewählt, damit die Firewall den Spielbetrieb nicht beeinträchtigt. Außerdem ist die Konsole ein guter Kandidat für einen DMZ-Host, weil sie wahrscheinlich weniger sensible Daten enthält als ein PC.

Abgesehen von der selektiven Verwendung im Heimnetzwerk und in der Cloud bieten DMZs eine potenzielle Lösung für die Sicherheitsrisiken, die durch die zunehmende Konvergenz von IT und OT (Betriebstechnologie) entstehen. Industrielle Geräte wie Turbinenmotoren oder industrielle Steuerungssysteme werden mit IT-Technologien verschmolzen, was Produktionsumgebungen intelligenter und effizienter macht, aber auch eine größere Angriffsfläche bietet. Ein Großteil der OT-Ausrüstung, die mit dem Internet verbunden ist, ist nicht in gleicher Weise wie IT-Geräte für Angriffe ausgelegt.

Auch eine kompromittierte OT ist potenziell gefährlicher als eine IT-Verletzung. OT-Verletzungen können zu einem Zusammenbruch kritischer Infrastrukturen und zum Verlust wertvoller Produktionszeit führen und sogar die Sicherheit von Menschen gefährden, während eine IT-Verletzung zu kompromittierten Informationen führt. Außerdem kann sich die IT-Infrastruktur in der Regel mit einem einfachen Backup von Cyberangriffen erholen, im Gegensatz zur OT-Infrastruktur, die oft keine Möglichkeit hat, verlorene Produktionszeit oder physische Schäden wiedergutzumachen.

Im Jahr 2016 wurde beispielsweise ein US-amerikanisches Energieversorgungsunternehmen von Ransomware angegriffen, die seine OT-Geräte beeinträchtigte und dafür sorgte, dass viele seiner Kunden keinen Strom mehr erhielten. Das Unternehmen verfügte nicht über eine DMZ zwischen seinen IT- und OT-Geräten, und seine OT-Geräte waren nicht gut gerüstet, um mit der Ransomware umzugehen, sobald sie sie erreicht hatte. Diese Sicherheitsverletzung hatte schwerwiegende Auswirkungen auf die Infrastruktur des Energieversorgungsunternehmens und auf eine Vielzahl von Kunden, die sich auf die Dienste des Unternehmens verlassen.

Eine DMZ hätte für eine stärkere Netzwerksegmentierung gesorgt (sowohl innerhalb des OT-Netzwerks selbst als auch zwischen dem OT- und dem IT-Netzwerk) und hätte möglicherweise den durch die Ransomware verursachten Spillover-Schaden in der industriellen Umgebung eindämmen können.