Vorlesung Kommunikationssysteme ... - Herzer Online
Vorlesung Kommunikationssysteme ... - Herzer Online
Vorlesung Kommunikationssysteme ... - Herzer Online
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
4.3 DMZ<br />
Die Demilitarisierte Zone ist ein besonderer Netzwerkbereich. Wie sein militärischer Name<br />
schon andeutet, handelt es sich dabei um eine Art Niemandsland. In der demilitarisierten<br />
Zone haben externe Nutzer (also solche die über das WAN kommunizieren) und lokale Nutzer<br />
(aus dem LAN) eine Plattform auf der sie relativ frei (aber trotzdem kontrolliert) bestimmte<br />
Ressourcen gemeinsam nutzen können. In der DMZ werden deshalb häufig Dienste wie ftp-,<br />
Mail oder auch ssh-Server angeboten.<br />
Host DMZ: Auch unechte DMZ genannt. Alle externen Anfragen werden an eine IP-<br />
Adresse im LAN weitergeleitet. Diese Funktion findet man oft bei Billig-Routern. Der Schutz<br />
des LANs ist hier aber ähnlich schwach wie bei einer Software-Firewall.<br />
DMZ: Bei der echten DMZ hat man ein Netzwerkgerät mit zwei LAN-Schnittstellen (im<br />
wesentlichen also einen Router). Aus diesem Grund kann man sich auch aus zwei Routern die<br />
jeweils eine LAN-Schnittstelle haben ebenfalls eine DMZ aufbauen.<br />
Ein weiteres Thema sind LAN-Angriffe von innen, also den lokalen LAN-Usern. Durch<br />
VLAN-Segmentierung und Verwendung von geswitchten Netzwerken sind solche Probleme<br />
aber meist relativ leicht in den Griff zu kriegen.<br />
Demilitarisierte Zone:<br />
Aufbau einer DMZ<br />
DMZ 69 / 110<br />
Die DMZ ist ein isolierter Bereich, der sich zwischen zwei IP-<br />
Netzen befindet. Man kann nun den Zugriff auf öffentliche Dienste<br />
(z.B. WWW-Server) innerhalb der DMZ anbieten und gleichzeitig<br />
das LAN vor unberechtigten Zugriffen aus dem WAN schützen.<br />
Zwei Router: Der eine mit HOST DMZ, der andere mit echter<br />
DMZ.<br />
Abbildung 4.5: DMZs sind besonders gesicherte Netzwerkbereiche.<br />
83