Boerny's Blog Sparkles in my mind
Sparkles in my mind
Stacheldrahtrolle

Netzwerk absichern mit einer DMZ

Sicher von zu Hause im Internet Arbeiten mit Hilfe einer DMZ (De-Militarized Zone). Durch den Einsatz zweier Internetrouter kann ein guter Schutz mit einfachen Mitteln erzielt werden.

Konfiguration

Für die praktische Konfiguration verwende ich hier zwei Fritzbox Router. Das sind gebräuchliche Modelle und es sollte so einfach nachzuvollziehen sein. Die Methodik lässt sich aber auch mit allen anderen Routern umsetzen.

Mit drei einfachen Schritten erhält man hier einen weiteren wichtigen Baustein einer professionellen Absicherung:

1. Router 1 wird wie folgt konfiguriert

  • Verbindung als DSL Router -> Stellt also die Internetverbindung her
  • KEINE WLAN Verbindung!
  • Der Router baut ein eigenes Netzwerk auf (verwenden wir hier beispielhaft das Segment 192.168.1.x). Dieses Netzwerk ist unsere DMZ.
  • Wollen wir verschiedene Dienst in der DMZ aus dem Internet erreichen, richten wir nun die Portweiterleitungen ein.

2.  Router 2 wird als Heimnetzrouter konfiguriert

  • Er öffnet ein WLAN für unsere Tablets, Mobiltelefone, etc.
    Beispielhaft verwende ich hier das Netzwerksegment 10.1.x.y. So kann man auch schon anhand der IPs sehr leicht zwischen DMZ und Heimnetz unterscheiden.
  • Der Router stellt eine Internetverbindung über Router 1 her.

3. Fertig!

 

Was ist eine DMZ und wozu benötige ich diese?

DMZ Schema
DMZ Schema

Der Einsatz einer DMZ ist eine ebenso alte, wie einfache und vor allem effektive Methode des Schutz des eigenen Netzwerks.

Für ein Heimnetz bietet sich die hier abgebildete Architektur an, bei der durch das DMZ eine weitere Schutzschicht vor das eigentlichen Heimnetz geschalten wird.

Betrachten wir einmal die aktuelle Anbindung von Rechnern zu Hause an das Internet. Oftmals wird hier ein DSL Router oder eine Kombination aus einem DSL Modem + Router eingesetzt. Effektiv befindet sich der eigene Rechner zu Hause nun lediglich geschützt durch einen Router direkt am Internet. Hängen hinter dem Router noch weitere Geräte wie weitere Desktop Computers, Laptops, Tablets, Media-Server etc., so bilden diese alle zusammen genommen ein Netzwerk: das Heimnetzwerk.

Gelingt es nun einem Eindringling nur ein Gerät in diesem Netzwerk zu kompromittieren, so kann er dieses Gerät als Brückenkopf nutzen, um weitere Gerät im Heimnetz zu attackieren. Der vermeintliche Schutz des Internetrouters greift ab dem komrpimittierten System nicht mehr und alle weiteren Rechner sind praktisch frei zugänglich.

Für die meisten reicht der Schutz der Firewall eines Internetrouters, denn man will nur aus dem Heimnetz auf das Internet zugreifen. Ein Zugriff AUS dem Internet AUF die heimischen Geräte ist selten geplant.

Doch was, wenn genau dieser Zugriff möglich sein soll? In diesem Fall ist der Internetrouter sehr schnell am Ende seiner Möglichkeiten – und die Sicherheit auch.

Internet Router oder Firewall?

Da praktisch jeder über einen Internet Router an das Internet angebunden ist, und auch dieses Gerät gewisse Sicherheitsmerkmale bietet, hier eine kurze Übersicht über die Begriffe.

Ein Router verbindet streng genommen nur Netze miteinander. Das Internet als Netz der Netze bietet die Verbindung zu anderen Netzen. Private Netzwerke, wie ein Heimnetzwerk, nutzt private Netzwerkadressen die im Internet nicht weitergeleitet werden. Diese sind 10.x.y.z, 192.168.x.y oder 172.16.x.y. Hat man nun mehrere dieser Netze (beispielsweise in einer Firme in verschiedenen Abteilungen oder Niederlassungen), oder zu Hause (beispielsweise für das WLAN und eines für das Festverkabelung mit Ethernet) benötigt man einen Router um diese Adressbereiche miteinander zu verknüpfen und zu die Datenpakete zu vermitteln.

Ein Internet Router hat nun die Aufgabe ein eigentlich nicht zu vermittelndes privates Netzwerk an das Internet anzubinden. Dazu nutzt er zusätzliche Techniken wie bspw. NAT (Network Adress Translation) und Techniken aus der Firewall Ecke, wie bspw. SPI (Stateful Packet Inspection) oder UPnP Paketfilter. Mit ersterem wird eingehender Netzwerkverkehr nur dann erlaubt, wenn vorher ein ausgehender Verkehr stattgefunden hat mit letzterem können Geräte selbst Regeln in der Firewall definieren.

So gesehen ist also ein Internet Router wie die FritzBox ein DSL Modem, Router UND eine (kleine) Firewall.

Geräte die allerdings als professionelle “Firewall” verkauft werden, bieten in der Regel weiter reichende Möglichkeiten, wie bspw.

  • Filterregeln
  • IDS (Intrusion Detection System)
  • DoS Erkennung (Denial of Service)
  • Proxy Funktionalitäten mit bspw. Contentfiltern
  • zertifikatsbasiertes VPN und SSL-VPN
  • Mehr Rechenleistung für die Netzwerkkontrolle
  • DMZ

Das sind alles Funktionen die eher in die Überwachung des Netzwerkverkehrs gehen und daher einem Internet Router wie der FritzBox fehlen, da deren primäre Aufgabe ja die Anbindung an das Internet darstellt. Die Firewall Funkionen die wir nun aber benötigen sind fokusiert auf den Zugriff von aussen an einige Systeme zu Hause ohne dass diese erst aktive Verbindungen zum Internet herstellen.

Situationen

Beispiele, bei denen es gewünscht ist aus dem Internet auf sein eigenes System zuzugreifen gibt es viele bspw:

  • Betrieb eines eigenen kleinen Webservers
  • Zugriff auf freigegebene Dokument, Bilder etc., eventuell auf seine eigene private Cloud
  •  Dateidienste
  • usw.

Die Lösung der Internetrouteranbieter ist sehr einfach: eine Portweiterleitung leitet Anfragen aus dem Internet an das Zielsystem weiter. Ich erreiche also unter der Adresse meines Internetrouters dann de-facto nicht mehr einen Dienst auf dem Router (der ja eigtl. das einzige extern sichtbare Gerät darstellt), sondern einen anderen Rechner im Netz. Das können auch mehrere Geräte sein, wenn verschiedene Ports auf verschiedene Geräte umgeleitet werden.

Und hier beginnt es dann haarig zu werden. Denn der Schutz des Zielsystems ist dann die letzt Bastion des gesamten Heimnetzes. Ist beispielsweise der Dienst der sich hinter einer Weiterleitung befindet nicht stabil, kann das ein Angreifer ausnutzen um den gesamten Rechner zu übernehmen oder von dort weitere Angriffe zu tätigen. Ein typisches Beispiel für derartige Methoden sind Bot-Netzwerke.

Mancher Router-Hersteller verkauft dann eine andere Funktion als Absicherung: den “Exposed Host”. Hier wird einfach der gesamte Verkehr AUS dem Internet AN einen speziellen Rechner im Heimnetz weitergeleitet. Aber das verbessert die Situation nicht wirklich. Man muss zwar keine einzelnen Ports und Protokolle mehr angeben, aber der Rechner an den alles weitergeleitet wird ist selbst nun praktisch komplett im Internet erreichbar – gar nicht gut!!!

Problemlösung: DMZ

Wie löst man nun also dieses Problem? Schon seit Jahrzehnten gibt es das bewährte und einfache Konzept einer weiteren Schutzschicht, der DMZ. Unter dem dem Begriff einer DMZ (Demilitarized Zone) wird ein weiteres Netzwerk verstanden, welches Zwischen Internet und Heimnetz angesiedelt ist.

Internetverkehr kann beschränkt an alle Rechner im DMZ weitergeleitet werden. Die Rechner in der DMZ haben nämlich keine Verbindung zum Heimnetz! (Ausser es wird explizit für ganz spezielle Dienste gewünscht. Das ist aber die absolute Ausnahme!)

Umgekehrt können aber alle Rechner aus dem Heimnetz auf Dienste und Rechner in der DMZ zugreifen UND auf das Internet.

Das DMZ agiert also wie ein Puffer für das Internet. Alles aus dem Heimnetz darf hinaus, aber nichts darf hinein, bzw. nur bis zu den Diensten in der DMZ.

Umsetzung

Die Realisierung einer DMZ ist sehr einfach. Man unterscheidet prinzipiell zwei Methoden:

  • mit einer Firewall: hier ist die Firewall direkt an den Internetrouter angeschlossen und öffnet hinter einem speziellen Port das DMZ Netz und hinter einem anderen Port das Heimnetz. In diesem Konzept hat die einzige eingesetzte Firewall also drei “Beinchen”: (1) in das Heimnetz, (2) in die DMZ und (3) in das Internet
    • Vorteil: günstig. Nur eine Firewall wird benötigt.
    •  Nachteile:
      • die Firewall ist das einzige Dreh- und Angelstelle. Fällt sie aus, geht nichts mehr.
      • teurer als der Einsatz von Routern! (Oftmals deutlich teurer!)
      • komplizierter in der Konfiguration, da man mehr aufpassen muss.
  • Einsatz von 2 Firewalls oder Routern. Hier setzt man in der Regel auch höherwertigere Firewalls ein, aber Router tun es für unseren Zweck auch. Damit ist die Lösung deutlich günstiger! Man kann auch bspw. einen zweiten alten Internetrouter aus dem Upgrade dafür nutzen.
    • Vorteile
      • günstig und sehr effektiv
    • Nachteile
      • zwei Router zu konfigurieren statt einem (das ist aber nicht komplizierter!)
      • zwei Geräte auf dem Weg in das Internet bedeutet auch zwei mögliche Fehlerquellen, statt einer.

Ich bevorzuge die Methode mit den zwei Firewalls/Routern, da ich sie einfach praktischer in der Wartung finde. Die Konfiguration und Verkabelung ist auch etwas logischer, da man an einem Gerät immer nur zwei Netze sieht: entweder das internet und die DMZ oder die DMZ und das Heimnetz.

Aus letzterem Grund ist die Methode zwei auch mit einfachen “Hausmitteln” wie zwei Internetroutern umsetzbar. Die erste Methode mit den drei Standbeinchen geht nur mit einer richtigen Firewall die die Netzwerksegmente auch richtig trennen kann. Das gibt es leider nicht von der Stange und kostet deutlich mehr wie zwei einzelne (Internet)router.

Was meinst du dazu?

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

7 Gedanken zu “Netzwerk absichern mit einer DMZ”