Diskussion:Demilitarized Zone
aus Wikipedia, der freien Enzyklopädie
Statt Paketfilter müsste hier eigentlich die Abgrenzung durch eine Firewall dargestellt werden. Eine Firewall ist nicht unbedingt gleich ein Paketfilter. Leider muss dann auch das Bild editiert werden, Freiwillige?
hamsta
Inhaltsverzeichnis |
[Bearbeiten] Paketfilter vs. Firewall und Mail-Server-Zugriff
Die Paketfilter sind wirklich Paketfilter und keine Firewalls, das ganze "Konzept" ist eine Firewall, die eben eine DMZ enthält, oder? Die Paketfilter kennen sich wohl gegenseitig nicht, in der DMZ sollte ein Proxy sein über den alles läuft.
Im LAN sollte ein "privater" Mail-Server sein, der von den Rechnern im LAN benutzt wird. Nur dieser private Mail-Server kommuniziert mit dem Mail-Server in der DMZ.
- der mailserver mag teil des security konzepts, gehoert aber nicht wirklich zur "dmz". zur erlaeuterung ihrer funktion ist er im letzten bild des fallbeispiels aufgefuehrt Firnacarl 18:16, 9. Jun 2006 (CEST)
Die Paketfilter können Paketfilter sein, das kommt eben auf das Konzept an. Sie setzen das Konzept durch. Durchsetzende Komponenten werden Firewall genannt. Deswegen muss da Firewall stehen, auf jeden Fall nicht Paketfilter. Paketfilter sind zwar eine gängiger, aber dennoch ein Spezialfall.
Zum Mailserver: Wieso muss da ein Mailserver stehen? Wieso nicht noch ganz andere Sachen. Du wirst auch hier zu speziell. Im allgemeinen muss da kein Mailserver stehen. Woher weisst Du, dass überhaupt Mails in diesem Netzwerk eine Rolle spielen?
zum Konzept: Das Bild stellt meiner Meinung nach eine spezielle Form einer Firewall, nämlich eine Firewall mit "screened subnet" dar. Die DMZ ist also nur ein Teil davon. Wie "durchsetzende Komponente" definiert ist, weiss ich leider nicht. Dass Paketfilter ein Sonderfall sind, war mir nicht bewusst, was könnte dort sonst sein?
- z.b. ein dual homed host ohne routing mit weiterleitung auf layer 4 (z.b. redir, uredir, inetd/netcat). (don't try this at home) Firnacarl 18:16, 9. Jun 2006 (CEST)
Zu den Servern: Ich weiss nicht warum auf der Abbildung genau diese verschiedenen Server in der DMZ abgebildet sind, da sie aber nunmal dort sind, und in den 2 mittleren Absätzen speziell auf den Mail-Server eingegangen wird, stellte ich meine obige Aussage bezüglich eines privaten Mail-Servers zur Diskussion. Ich war also aufgrund des Bildes und des schon bestehenden Textes der Meinung, dass in dem Netzwerk Mails eine Rolle spielen.
- der mailserver steht jetzt unter fallbeispiel. das dient hoffentlich der entwirrung Firnacarl 18:16, 9. Jun 2006 (CEST)
Für eine DMZ sind auch nicht unbedingt 2 Paketfilter (Firewalls etc.) notwendig. Die meisten Hardware-Firewalls (Cisco-PIX etc.) haben 3 Ethernet Interfaces. Davon je 1 für WAN, LAN und DMZ. Wenn genug Zeit vorhanden ist werd ich mich mal an die Überarbeitung machen.
MaPi
Das Bild ist in der Tat nicht wirklich passend.
- fixed Firnacarl 18:16, 9. Jun 2006 (CEST)
Gibt es innerhalb der Wikipedia die Bilder auch in bearbeitbarer Form, z.B. als Datei in dem Vektorgrafikformat, in dem es erstellt wurde? Ist der Autor bekannt?
Anyway, der Begriff "DMZ" ist völlig verwässert und wird wahllos für Netze gebraucht, die vom Sicherheitslevel irgendwo zwischen dem bösen bösen Internet und dem internen Netz mit internen Servern und Arbeitsstationen angesiedelt sind. Das ist jammerschade, weil es die Kommunikation massiv erschwert.
In heutigen Architekturen mit üblicherweise "mehrbeinigen" Firewalls passt der Begriff DMZ am besten auf die "Transfer"-Netze, die die Daten zwischen unterschiedlichen Firmen, z.B. der lokal betrachteten Unternehmen, deren Internetprovider und/oder deren Geschäftspartnern aufgebaut sind. Heutzutage stellt man in diese Netze allerdings keine Server mehr, sondern legt für diese Server eigene Netze an, die ich gerne als "Servicenetze" bezeichnet wüsste. Ein Beispiel liefer ich nach.
Marc 'Zugschlus' Haber
[Bearbeiten] Grafik
Also die aktuelle Darstellung ist nicht gerade 'ne DMZ, sondern eher eine Art DMZ-SOHO-Mix. Warum? Weil vom LAN zum Internet die DMZ durchlaufen wird, was ich bis jetzt in keinem der mindestens drei Schema aus dem O'Reilly-Buch gesehen habe. Korrekter wäre:
+----------+
| Internet |
+----------+
|
+----------+ +----------+
| PF |---------| DMZ |
+----------+ +----------+
|
+----------+
| LAN |
+----------+
Wobei idealerweise der PF nur eine interne IP hat, also nur aus dem LAN zu erreichen ist, nicht aus dem Internet oder der DMZ. Der PF ist dabei auch nicht im traceroute zwischen DMZ/Internet zu sehen.
Jengelh 19:59, 14. Nov 2005 (CET)
-
- Building Internet Firewalls, ORA. Hier ist angegeben, dass es zwischen "exterior router" und "interior router" das "perimeter network" gibt, welches als DMZ verwendet werden kann. Es gibt eine neue Skizze DmzSchema.png, die beide Varianten darstellt Firnacarl 17:29, 9. Jun 2006 (CEST)
[Bearbeiten] DMZ
Da man hier eine Bezeichnung aus dem Bereich Militär-Strategie entliehen hat, müsste man sich meiner Meinung nach bei der Verwendung des Begriffs etwas näher an der gewählten Analogie orientieren.
Demnach bezeichnet DMZ lediglich das Netz zwischen meinem/meinen "äußeren" Router(n) und dem Router des ISP.
Internes LAN ----[Firewall]------[Firewall]------DMZ----[ISP Router]--- Internet
Alle Netze zwischen den Firewalls (oder an entsprechenden Interfaces einer Firewall) sind Screened Subnets. In diesen befinden sich dann die jeweiligen Dienste wie Mail-Gateway etc..
Vgl.: Inside Network Perimeter Security - The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems
by Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Fredrick, Ronald W. Ritchey
Wie sieht das der Rest der IT(Security)-Gemeinde?
Andreas Weick, 05. Dezember 2005
- die DMZ ist ein screened subnet (SSN). wie zugschlus schon anmerkt, werden bei groesseren installationen gelegentlich mehrere SSN benoetigt. wie viele firewalls an dem setup beteiligt sind, ist nachrangig, solange zwischen DMZ und den beiden gekoppelten netzen ueberhaupt gefiltert wird. ausgehend von der mil. bedeutung des begriffs kann man evtl. postulieren: *braindunb*
- - an der grenze zweier sich nicht vertrauender netze (ein labornetz mag ein screened subnet sein, ist aber gewoehnlich keine DMZ)
- - ein aus beiden netzen zu erreichendes system (stimmt nur bedingt fuer z.b. webserver, der in der DMZ steht, weil man vor allem die schutzwirkung der FW im blick hat)
- - vor allem: das in dem segment keine geraete herumstehen, die nicht unbedingt dort erforderlich sind (z.b. arbeitsplaetze)
- => nicht so einfach abzugrenzen.
- historisch betrachtet ist die DMZ der ort fuer systeme "denen man nicht traut"
- Definitionsversuch: Eine DMZ ist ein an der Grenze zweier Netzwerke eingerichtetes geschirmtes Netzwerk, das Systeme enthaelt, die von den beiden anderen Netzen betrachtet verschiedene Grade an Vertrauenswuerdigkeit besitzen. fuer das lemma ist das wohl zu abstrakt. :-) Firnacarl 18:01, 9. Jun 2006 (CEST)
[Bearbeiten] Lemma
Spricht etwas gegen die Verschiebung zum deutschen Namen "Umkreisnetzwerk"? Stern 17:05, 6. Dez 2005 (CET)
- Habe es jetzt einfach mal gemacht. Stern 19:35, 4. Jan 2006 (CET)
-
- Wieso wurde es rückverschoben? Habe ich was übersehen? Würde mich über eine kurze Begründung freuen. Stern 11:01, 19. Jan 2006 (CET)
-
-
- Mir gefällt Umkreisnetzwerk auch besser -- und eine Begründung/Diskussion vor dem Rückverschieben wäre durchaus angebracht gewesen. Es hat einen Monat lang niemand dem Vorschlag widersprochen, da ist ein kommentarloser Revert nicht gerade feiner Umgangston. -- H005 11:59, 19. Jan 2006 (CET)
-
-
-
-
- Falls also keine Einwände bestehen, würde ich es demnächst wieder nach Umkreisnetzwerk verschieben. Demnächst bitte Rückverschiebungen wenigstens kurz begründen. Stern 12:58, 7. Feb 2006 (CET)
-
-
-
-
-
-
- Meine Unterstützung hast du. -- H005 13:24, 7. Feb 2006 (CET)
-
-
-
-
-
-
-
-
- Umkreisnetzwerk entfernt, da kein zwingender Bestandteil einer DMZ.
-
-
-
-
Hallo, ich werde aus dem Artikel hier überhauptnicht schlau. Eigentlich ist das Zuweisen eines Rechners in die DMZ doch nichts anderes als "default port forwarding". Der Rechner, der vom Router in eine DMZ gestellt wurde, werden alle Ports zugewiesen, die nicht gefiltert bzw. nicht zu anderen Rechnern umgeleitet worden sind. So verhält sich das jedenfalls in meinem Netzwerk. Vielleicht kann man das ja noch irgenwie in den Artikel einbauen, weiß aber gerade nicht wie und stelle es hiermit zur Diskussion.
Gruß Lisi
- He Lisi, von was du sprichst ist nur eine SOHO DMZ. Also das was die meisten Router als DMZ bezeichnen ist net mehr als ein forwarding port.
-
- siehe en:DMZ_host Ich habe das mal unter Pseudo DMZ angedeutet. --Muffin 12:00, 4. Mär 2006 (CET)
-
- Ich würde das nicht mal "Pseudo-DMZ" nennen. Wenn der Dialup-Router einfach alle einkommenden Verbindungen, die er nicht zuordnen kann, an einen Default-Host weiterschickt, ist dieser Host ein "Exposed Host". Wäre es eine echte DMZ müsste dieser Host eine offizielle IP haben oder es müsste via statischem NAT eine offizielle IP auf ihn abgebildet werden.
- Demilitarized Zone ist die wesentlich gebräuchlichere Bezeichnung (von Umkreisnetzwerk dürften die meisten Leute, selbst die, die professionell Firewalls aufsetzen, noch nie gehört haben). Deshalb zurückverschoben. --Elian Φ 11:29, 20. Mär 2006 (CET)
[Bearbeiten] Darstellungsfehler
sowohl firefox als auch opera produzieren hier darstellungsfehler im abschnitt "fallbeispiel mailserver", siehe [1] und [2]. mfg. --Theclaw 17:33, 15. Jun 2006 (CEST)
- Ich habe
<br clear="all"/>am Ende des jeweiligen Absatzes eingefügt. Sind die Darstellungsprobleme damit behoben? --Fomafix 18:40, 15. Jun 2006 (CEST)- sorry für die etwas späte antwort. najo, sieht zwar besser aus aber manche absätze sind immer noch eingerückt. ned so geil halt. muss ja nicht unbedingt sein dass die bilder auf selber höhe wie die absätze sind oder? dank der bildunterschriften sollte es ja nicht all zu schwer fallen die bilder zuzuordnen ;) mfg --Theclaw 22:38, 17. Jun 2006 (CEST)
![[1]](http://theclaw.dnsalias.org/pics/darstellungsfehler_firefox.jpg){kind=link}
![[2]](http://theclaw.dnsalias.org/pics/darstellungsfehler_opera.jpg){kind=link}