Pseudo-DMZ beim Router erkennen
Netzwerk absichern

Daniel Dubsky,
NetzwerkeOffice-AnwendungenSicherheitSicherheitsmanagementSoftware

Demilitarized Zone ___

Viele Router für Heimnetze oder kleine Büros schmücken sich mit einer DMZ (Demilitarized Zone). Dabei handelt es sich in der Regel aber nicht um das Sicherheitsfeature DMZ, sondern um einen Exposed Host und damit eher um ein Sicherheitsrisiko.

Eine echte DMZ ist ein separates Netzwerk zwischen lokalem Netz und Internet. Dieses schottet das LAN vor direkten Zugriffen aus dem Internet ab, denn von dort kann nur auf Systeme in der DMZ zugegriffen werden, etwa auf Webserver oder Mailserver. Auch die Rechner aus dem LAN können auf die Systeme in der DMZ zugreifen, umgekehrt funktioniert das aber nicht: Eine Verbindung aus der DMZ ins LAN ist nicht möglich, die Systeme können nur auf Anfragen aus dem LAN antworten. Bei einem Exposed Host werden dagegen alle Anfragen aus dem Internet an einen einzelnen PC im Netzwerk weitergeleitet. Das schafft keine Pufferzone vor dem LAN, sondern reißt ein Sicherheitsloch ins Netz. Denn der Rechner, an den alle Anfragen weitergeleitet werden, ist höchst gefährdet. Dazu kommt: Wird der PC von einem Angreifer übernommen, befindet sich dieser hinter der Firewall im LAN und kann auch die übrigen PCs attackieren.

Ob der eigene Router über eine echte DMZ verfügt, lässt sich leicht prüfen: Ist es möglich, vom PC in der DMZ einen PC im LAN anzupingen, handelt es sich um eine Pseudo-DMZ. Dann ist es besser, einzelne Ports via Port Forwarding an den gewünschten Rechner weiterzuleiten, statt ihn zum Exposed Host zu machen.

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Daniel Dubsky
Autor: Daniel Dubsky