Bei der Demilitarized Zone (DMZ) ist ein eigenständiges Netzwerk gemeint. Es kommt vor allem in größeren Unternehmensnetzwerken zum Einsatz und ist als Pufferzone vorgesehen und bildet einen Raum zwischen dem Internetzugang selber und dem Unternehmensnetzwerk.
So lassen sich Systeme abgrenzen, isolieren und Anwendungen gezielt platzieren. Der Einsatz mehrerer Firewalls kann zur Erhöhung des Sicherheitsniveaus beitragen.
Eine DMZ schützt vor allem das interne Netzwerk eines Unternehmens
Wer mit Unternehmensnetzwerken, Netzwerk-Infrastruktur oder auch der Planung und Durchführung von Pentests zu tun hat, der wird regelmäßig mit dem Akronym “DMZ” konfrontiert. Dabei handelt es sich um die Demilitarized Zone (demilitarisierte Zone) und bildet einen Bereich zwischen dem Internet und dem internen Unternehmensnetzwerk. So lassen sich zweistufige-Firewall-Konzepte umsetzen, wie sie z.B. auch vom BSI empfohlen werden, umsetzen.
Anwendungen die ständig mit dem Internet kommunizieren müssen bzw. ohne nicht funktionieren, können in der DMZ platziert werden. Häufig werden in realen Umgebungen deshalb Web,- Mail- und Authentication Server in der DMZ platziert. Ausschließlich die in der DMZ platzierten Anwendungen sind für Nutzer aus dem Internet erreichbar. Das senkt die Angriffsfläche für Angreifer und ermöglicht die gezielte Umsetzung von IT-Sicherheitskonzepten. Das private Unternehmensnetzwerk ist aus dem Internet nicht erreichbar.
Unterschiedliche Firewall-Konzepte sind mit einer DMZ umsetzbar
Das einstufige Firewall-Konzept
Wer eine DMZ einsetzt, der muss keine zwei Firewalls zum Einsatz bringen. Es kann auch nur eine Firewall platziert werden. Dieses Konzept ist jedoch nur für Netzwerke geeignet, die keine hohen Anforderung an das IT-Sicherheitsniveau besitzen. Die stärken einer DMZ werden gerade durch den zweistufigen Einsatz einer Firewall ausgespielt.
Das zweistufige Firewall-Konzept
Der Einsatz einer demilitarisierten Zone bringt den Vorteil mit sich das Intranet vom Internet isolieren zu können und den ein- und ausgehenden Verkehr durch zwei Firewalls umfangreich schützen zu können. Zwar geht mit diesem Konzept ein höherer Verwaltungsaufwand einher, doch wer der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik folgen will, der muss dieses Konzept umsetzen.
Um das IT-Sicherheitsniveau bereits bei der Konzeption möglichst hoch anzulegen, sollte bereits bei der Beschaffung der Firewalls berücksichtigt werden, dass diese von zwei unterschiedlichen Herstellern stammen sollten. So wird das Risiko vermieden das Opfer einer Zero-Day Lücke zu werden.
Aber auch andere, kritische Sicherheitslücken schlagen nicht sofort durch die Schutzmauern durch. Alternativ kann als Firewall auch eine Open Source Lösung eingesetzt werden. Endkundenprodukte wie es sie z.B. für MacOS gibt funktionieren clientseitig und sind für diesen Einsatz nicht geeignet.